Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / KEITARO TDS EXPOSED

[REDACTED] TDS dévoilé : répartition du trafic

The Enablers Registry·Editorial mirror·/fr/keitaro-tds-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Le moteur de dissimulation derrière toutes les arnaques que vous n’avez jamais vues. THE ENABLERS REGISTRY a analysé plus de 50 000 sites, découvert 1 565 panneaux d’administration [REDACTED] TDS et n’a trouvé aucun déploiement légitime. Chaque panneau était lié à une fraude liée aux cryptomonnaies, au hameçonnage, à la distribution de logiciels malveillants, voire pire. Parmi ses clients figurent EvilCorp, le ransomware LockBit et VexTrio. Une boîte à outils de détection open source, une méthodologie en 7 points et un fichier CSV complet répertoriant tous les panneaux sont désormais disponibles.

1 565 panneaux trouvésTaux de malveillance de 100 %7 méthodes de détection4 outils mis à disposition
[REDACTED] TDS démasqué
0
Panneaux d'administration trouvés
50,000+
Sites analysés
0%
Utilisations légitimes
7
Méthodes de détection

Qu'est-ce que le [REDACTED] TDS ?

[REDACTED] TDS est un système commercial de répartition du trafic commercialisé par Apliteni OU, une société constituée à Estonie. À première vue, il se présente comme un outil de gestion du trafic destiné aux spécialistes du marketing d'affiliation. En réalité, il s'agit du moteur de cloaking le plus largement utilisé dans l'écosystème mondial de la fraude.

Le « cloaking » est l'art de présenter un contenu différent selon les visiteurs. Lorsqu'un chercheur en sécurité, un modérateur publicitaire ou un agent des forces de l'ordre se rend sur une URL, [REDACTED] l'identifie et lui affiche une page « propre » et inoffensive. Lorsqu’une véritable victime se rend sur cette même URL, elle est redirigée vers des escroqueries liées à la cryptomonnaie, des pages de hameçonnage, des téléchargements de logiciels malveillants ou des sites de commerce électronique frauduleux. La victime ne voit jamais la version « propre ». L’analyste ne voit jamais l’escroquerie.

Les tarifs de [REDACTED] vont de De 40 à 400 euros par mois, ce qui en fait une infrastructure de lutte contre la fraude destinée aux entreprises. Elle stocke les données des visiteurs pendant une durée pouvant aller jusqu’à 9,75 ans, offrant ainsi aux opérateurs un immense ensemble de données comprenant les empreintes digitales des victimes, des données géographiques et des profils comportementaux. Toutes ces données sont stockées sur Infrastructure AWS, ce qui signifie qu'Amazon héberge, à son insu, l'infrastructure technique de milliers d'opérations frauduleuses.

Société écran

Apliteni OU opère depuis l'Estonie, tirant parti du programme d'« e-résidence » du pays et de sa législation favorable en matière de confidentialité des entreprises. L’entreprise conserve un semblant de légitimité grâce à un marketing professionnel, à une documentation soignée et à un service client, alors que chaque déploiement mesurable de son produit est lié à une activité criminelle. Elle facture entre 40 et 400 € par mois pour ce qui est en réalité une plateforme de « scam-as-a-service » (escroquerie en tant que service) conservant les données pendant près d’une décennie.

Les chiffres : 1 565 panneaux, aucun valable

L'enquête de THE ENABLERS REGISTRY est partie d'une hypothèse simple : si [REDACTED] TDS avait des utilisations légitimes, nous devrions en trouver à grande échelle. Nous avons analysé Plus de 50 000 sites en combinant des outils automatisés et une vérification manuelle, en recherchant spécifiquement les traces caractéristiques de [REDACTED] TDS. Ce que nous avons découvert ne laissait place à aucun doute.

1 565 panneaux d'administration [REDACTED] actifs ont été découverts. Nous les avons tous analysés un par un. Résultat : aucun déploiement valide. Aucun panel n'était utilisé à des fins légales de marketing d'affiliation, de tests A/B ou à toute autre fin inoffensive. Tous les panels — à 100 % — étaient liés à des activités criminelles.

1,565
Panneaux actifs
100%
Taux de malveillance
Plus de 50 000
Sites analysés
9,75 ans
Durée maximale de conservation des données

Répartition par catégorie d'abus

Les 1 565 panels ont été répartis entre six grandes catégories d'abus. De nombreux panels couvraient plusieurs catégories à la fois, en utilisant le système de routage du trafic de [REDACTED] pour diriger les victimes vers différents types d'escroqueries en fonction de leur situation géographique, de leur appareil ou de l'heure de la journée.

Catégorie d'abusDescription
Arnaques liées aux cryptomonnaies Fausses plateformes d'investissement, programmes visant à vider les portefeuilles, pages d'atterrissage frauduleuses liées à la pig butchering
Hameçonnage Collecte d'identifiants pour les banques, les fournisseurs de messagerie électronique et les réseaux sociaux
Diffusion de logiciels malveillantsLivraison de chargeurs, mise en place de ransomware, téléchargements automatiques
Fraude au commerce électroniqueMagasins frauduleux, produits contrefaits, clonage de cartes de paiement
Arnaques sur les sites de rencontreArnaques sentimentales, pages de destination dédiées au chantage sexuel, faux profils
Fraude dans le domaine des jeux d'argent Casinos sans licence, plateformes de paris truquées, détournement de dépôts

Note méthodologique

Chaque panneau a été vérifié à l'aide d'au moins deux méthodes de détection indépendantes avant d'être classé. Les faux positifs ont été examinés manuellement et exclus. Le chiffre de 1 565 ne concerne que les installations [REDACTED] confirmées et actives ; le nombre réel de déploiements, y compris ceux protégés par des couches de sécurité supplémentaires, est certainement plus élevé.

Liste des prévenus

[REDACTED] TDS n'est pas seulement utilisé par des escrocs de bas étage. Il s'agit de l'infrastructure de dissimulation privilégiée par certaines des organisations cybercriminelles les plus dangereuses de la planète. Voici la liste des clients recensés :

EvilCorp

Le réseau criminel russe visé par des sanctions utilise [REDACTED] pour contourner les sanctions internationales. En dissimulant ses opérations derrière le trafic acheminé par [REDACTED], EvilCorp échappe aux contrôles de sécurité précisément destinés à la démanteler. Chaque clic acheminé via [REDACTED] constitue une violation des sanctions rendue possible par le logiciel d’Apliteni OU.

Ransomware LockBit

Le groupe de ransomware LockBit s'est servi de [REDACTED] pour diffuser ses logiciels malveillants, en exploitant ses capacités de dissimulation afin de s'assurer que seules les cibles réelles recevaient les charges utiles du ransomware, tandis que les environnements de test de sécurité et les chercheurs ne voyaient que du contenu inoffensif. [REDACTED] a ainsi joué un rôle déterminant dans l'une des opérations de ransomware les plus destructrices de l'histoire.

VexTrio

Le plus grand client connu de [REDACTED]. VexTrio opère avec Plus de 60 affiliés et commandes Plus de 86 832 domaines, qui acheminent toutes le trafic via le moteur de distribution de [REDACTED]. Cette opération unique représente une part considérable du trafic publicitaire malveillant sur Internet, et [REDACTED] en est la colonne vertébrale qui lui permet de rester invisible.

ClearFake

ClearFake insère de fausses invites de mise à jour du navigateur dans des sites web compromis, diffusant ainsi des logiciels malveillants lorsque les victimes cliquent sur « Mettre à jour ». La technique de dissimulation de [REDACTED] garantit que seuls les véritables visiteurs voient la fenêtre contextuelle malveillante — les scanners de sécurité ne voient quant à eux que le site web d'origine, sain. Résultat : une diffusion de logiciels malveillants avec un taux de détection quasi nul.

FakeBat

FakeBat est un chargeur de logiciels malveillants diffusé par le biais de campagnes publicitaires malveillantes. [REDACTED] achemine le trafic publicitaire via un moteur de décision : les outils de sécurité sont redirigés vers des pages de téléchargement de logiciels légitimes, tandis que les véritables utilisateurs se voient proposer des programmes d'installation infectés par des chevaux de Troie. [REDACTED] rend les campagnes de publicité malveillante de FakeBat pratiquement invisibles aux yeux des équipes de sécurité des plateformes publicitaires.

Doppelgänger

Une campagne de désinformation liée à l'État russe qui utilise [REDACTED] pour diffuser de la propagande sur les réseaux sociaux occidentaux. Grâce à l'empreinte géographique et à l'empreinte numérique des appareils de [REDACTED], les modérateurs de contenu et les vérificateurs de faits voient des contenus différents de ceux destinés aux populations ciblées. Une guerre de l'information, rendue possible par un logiciel commercial estonien.

« Nous avons trouvé des traces de [REDACTED] dans toutes les opérations majeures de cybercriminalité sur lesquelles nous avons enquêté au cours des 18 derniers mois. Ce n’est pas une coïncidence : c’est la norme dans le milieu criminel. »

— Équipe de recherche THE ENABLERS REGISTRY

Méthodologie de détection en 7 points

Au cours de cette enquête, THE ENABLERS REGISTRY a mis au point sept méthodes indépendantes permettant d'identifier les déploiements du TDS [REDACTED]. Chaque méthode cible une empreinte distincte laissée par [REDACTED], et, ensemble, elles forment un cadre de détection complet désormais disponible sous forme d'outils open source.

1. /click_api/v3 Point d'extrémité

Point de terminaison de l'API principale de [REDACTED] pour le traitement des événements de clic. Ce chemin d'accès est codé en dur dans le logiciel et présent dans chaque installation. La vérification de l'existence de ce point de terminaison constitue le moyen le plus rapide de confirmer un déploiement de [REDACTED]. Une réponse 200 ou 302 sur ce chemin d'accès constitue une confirmation quasi certaine de la présence de [REDACTED].

2. _lp / _token / _subid Paramètres d'URL

[REDACTED] ajoute des paramètres de suivi spécifiques aux URL au cours des chaînes de redirection. Le _lp Ce paramètre identifie la page de destination, _token prend en charge l'authentification par session, et _subid suit les sources des sous-affiliés. Ces paramètres sont propres à [REDACTED] et apparaissent rarement dans les systèmes de gestion du trafic légitimes.

3. Cookies spécifiques à [REDACTED]

[REDACTED] installe des cookies spécifiques pour suivre les sessions des visiteurs et maintenir l'état de masquage. Ces cookies respectent des conventions de nommage différentes de celles des plateformes d'analyse standard, ce qui permet de les identifier via l'inspection du navigateur ou une analyse automatisée des cookies.

4. Modèles d'en-têtes de réponse

Les réponses du serveur de [REDACTED] contiennent des modèles d'en-têtes HTTP caractéristiques, notamment des directives « cache-control » spécifiques, des en-têtes personnalisés et des chaînes d'identification du serveur qui diffèrent de celles des serveurs web standard. Ces en-têtes persistent même lorsque les opérateurs tentent de personnaliser leurs installations.

5. Chaînes de redirection JavaScript

[REDACTED] met en œuvre des redirections JavaScript en plusieurs étapes afin d'évaluer les empreintes numériques des visiteurs avant de décider s'il faut afficher la page frauduleuse ou la page légitime. Ces chaînes de redirection suivent des schémas prévisibles — noms de variables spécifiques, séquences temporelles et logique d'évaluation — qui peuvent être détectés grâce à une analyse statique et dynamique du code JavaScript.

Carte thermique mondiale : 1 565 panneaux [REDACTED] TDS détectés à travers le monde, aucune utilisation légitime identifiée
Carte thermique mondiale : 1 565 panneaux [REDACTED] TDS détectés à travers le monde, aucune utilisation légitime identifiée
6. Analyse des modèles de domaine

Les opérateurs de [REDACTED] ont tendance à enregistrer des noms de domaine en suivant des conventions de nommage et des schémas d'enregistrement prévisibles. L'analyse en masse de ces noms de domaine révèle des groupes de domaines présentant des données WHOIS, des dates d'enregistrement, des configurations de serveurs de noms et des hébergeurs similaires — autant d'éléments qui indiquent des déploiements coordonnés de [REDACTED].

7. Identification par empreinte digitale dans le panneau d'administration

Les panneaux d'administration de [REDACTED] sont accessibles via des chemins d'accès connus et renvoient des structures HTML, des noms de classes CSS et des fichiers JavaScript caractéristiques. Même lorsque les administrateurs modifient l'URL de connexion par défaut, le framework front-end du panneau laisse des traces identifiables qui peuvent être détectées par énumération des chemins d'accès et analyse d'empreintes de contenu.

Défense en profondeur

Aucune méthode de détection n'est infaillible. Des opérateurs expérimentés peuvent désactiver ou modifier certaines signatures. C'est pourquoi la méthodologie en 7 points fonctionne comme un système à plusieurs niveaux : même si un opérateur parvient à éliminer trois ou quatre signatures, les méthodes restantes signaleront tout de même le déploiement. Lors de nos tests, chaque panneau [REDACTED] a pu être détecté par au moins quatre des sept méthodes.

Carte mondiale des infrastructures

Les 1 565 panneaux [REDACTED] sont répartis sur une infrastructure d'hébergement mondiale qui privilégie les fournisseurs de VPS bon marché et les juridictions où les délais de réponse en cas d'abus sont longs. Voici où se trouvent ces panneaux :

RégionFournisseurs d'hébergementRemarques
États-UnisDigitalOcean, Vultr La plus grande concentration de serveurs. L'hébergement basé aux États-Unis garantit des temps de réponse rapides pour les victimes nord-américaines.
Pays-BasDivers serveurs virtuels (VPS) Très apprécié pour les campagnes destinées au marché européen. Politiques d'hébergement souples.
AllemagneHetzner, divers Pôle majeur pour les opérations de hameçonnage et de fraude au commerce électronique visant l'Union européenne.
RussieDivers modèles pare-balles Port d'attache de nombreux opérateurs. Fournisseurs d'hébergement n'appliquant aucune mesure de lutte contre les abus.
Royaume-UniDivers services cloud Utilisé pour cibler des institutions financières et des services publics britanniques.
Hong KongCluster Femo Un groupe distinct de sites associés à des escroqueries cryptographiques ciblant l'Asie. Le « groupe Femo » opère de manière coordonnée.

La domination américaine

C'est aux États-Unis que l'on trouve la plus grande concentration de panneaux [REDACTED], principalement sur DigitalOcean et Vultr. Il s'agit de fournisseurs de services cloud grand public qui traitent les signalements d'abus — mais le volume des déploiements et la rapidité avec laquelle les opérateurs créent de nouvelles instances font que les équipes chargées de la lutte contre les abus sont constamment en train de courir après le temps.

Le cluster Femo

Un groupe distinct de panneaux [REDACTED], opérant à partir d'infrastructures situées à Hong Kong, cible les marchés asiatiques avec des escroqueries liées aux cryptomonnaies et des fraudes liées aux jeux d'argent. Le « groupe Femo » présente des schémas de déploiement coordonnés qui laissent supposer qu'un seul opérateur ou un groupe organisé gère simultanément des dizaines de panneaux.

Backend AWS

Quel que soit l'endroit où sont hébergés les panneaux d'interface utilisateur, le stockage central des données de [REDACTED] s'effectue sur Amazon Web Services (AWS). Cela signifie que les empreintes numériques des visiteurs, les journaux de redirection et les données de ciblage concernant potentiellement des millions de victimes d'escroqueries sont stockés sur l'infrastructure d'Amazon. Avec une durée de conservation des données pouvant aller jusqu'à 9,75 ans, AWS héberge l'une des plus grandes bases de données de victimes d'escroqueries qui existent.

Lancement d'outils open source

Parallèlement à cette enquête, THE ENABLERS REGISTRY publie une suite complète d'outils de détection open source. Tous ces outils sont gratuits, ne nécessitent aucune clé API et peuvent être déployés immédiatement. L'ensemble complet des données, comprenant 1 565 panneaux, est inclus.

Répertoire complet des preuves

Tous les outils, données et éléments probants sont publiés sur THE ENABLERS REGISTRY.[REDACTED]/ScamIntelLogs/[REDACTED]/. Ce référentiel est public et sera mis à jour à mesure que de nouveaux panneaux seront découverts. Les contributions de la communauté et les méthodes de détection supplémentaires sont les bienvenues.

Détecter, signaler, démanteler

Comment nous avons détecté les panneaux TDS de [REDACTED] — méthodologie d'identification par empreinte numérique
Comment nous avons détecté les panneaux TDS de [REDACTED] — méthodologie d'identification par empreinte numérique
Flux de trafic [REDACTED] TDS — comment des panneaux malveillants redirigent les victimes
Flux de trafic [REDACTED] TDS — comment des panneaux malveillants redirigent les victimes

[REDACTED] TDS est l'infrastructure invisible qui permet aux escroqueries de perdurer. Chaque panneau que vous signalez, chaque détection que vous effectuez et chaque ensemble de données que vous partagez contribuent à démanteler cet écosystème. Utilisez les outils. Partagez les données. Signalez ce que vous découvrez.

#[REDACTED]#TrafficDistribution#Malvertising#ScamInfra#Investigation

Recherches connexes

L'épidémie des faux casinos : 5 sites démasqués
Analyse comparative de 4 opérations de casino en mode PaaS ayant fait 383 victimes identifiées dans plus de 30 pays.
La boîte à outils « Crypto Drainer » dévoilée
Comment TRXDrop et NiceCrypto exploitent les connexions aux portefeuilles pour voler des actifs cryptographiques.
Le projet : un empire de l'escroquerie de 10 millions de dollars
Au cœur de l'empire de l'escroquerie qui mène des opérations de fraude industrialisées à très grande échelle.
Comparaison des réseaux d'escroquerie
Comparaison côte à côte des structures, des outils et des méthodes opérationnelles des réseaux organisés d'escroquerie.
Outils et services THE ENABLERS REGISTRY
Une suite complète d'outils open source de détection, d'analyse et de génération de rapports destinés aux chercheurs en sécurité.
Anatomie d'un retrait
Guide détaillé expliquant étape par étape comment nous démantelons les infrastructures de hameçonnage.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings