Incidents associés
Résumé
Le camouflage – l'art de dissimuler la véritable nature d'un site web – est aujourd'hui un élément crucial des opérations cybercriminelles. Les acteurs malveillants utilisent le camouflage de domaine, mis en œuvre via des systèmes de distribution de trafic (TDS) et des kits de camouflage, pour contourner les restrictions de contenu publicitaire, cibler précisément leurs victimes avec des logiciels malveillants et des escroqueries, et se protéger les uns des autres. Certains développent leur propre TDS ou achètent l'accès à des services entièrement criminels comme BlackTDS, 404TDS et ParrotTDS. Mais beaucoup utilisent des logiciels commerciaux. Après tout, la cybercriminalité fonctionne comme n'importe quelle autre économie : pourquoi développer soi-même quand on peut utiliser des produits sophistiqués déjà existants ?
Keitaro Tracker, parfois appelé Keitaro TDS, est une plateforme de suivi des performances publicitaires fréquemment observée dans des campagnes malveillantes et utilisée à mauvais escient par des acteurs malveillants. Il est cependant loin d'être le seul outil de suivi commercial employé à cette fin. Son utilisation par certains des criminels les plus notoires au cours de la dernière décennie a suscité une vive inquiétude au sein de la communauté de la sécurité informatique. Ces dernières années, l'utilisation de Keitaro par TA2726, qui l'utilise est devenue une caractéristique du groupe de cybercriminels qui génère du trafic vers SocGholish (TA569) pour ses campagnes de fausses mises à jour de navigateurs. Les visiteurs du site web qui ne correspondent pas aux critères de ciblage de SocGholish sont redirigés vers d'autres plateformes de publicité d'affiliation ou vers des pages leurres. Outre TA2726, Keitaro a été mentionné à de nombreuses reprises dans la littérature spécialisée en sécurité informatique, notamment récemment dans le cadre de campagnes de spam utilisant Jira pour cibler des entités gouvernementales.
Bien que l'utilisation abusive de Keitaro par des acteurs malveillants soit un fait avéré, aucune étude longitudinale n'avait jusqu'alors permis d'en comprendre la nature. Infoblox et Confiant ont collaboré ces six derniers mois afin d'analyser comment ces acteurs exploitent ce traqueur, en s'appuyant sur leurs visions complémentaires de l'environnement. Confiant a une vision globale de la chaîne publicitaire, tandis qu'Infoblox se concentre sur la manière dont les menaces apparaissent dans le DNS, en utilisant le spam et le contenu web pour affiner notre compréhension du paysage. Nous avons rapidement constaté que les instances de Keitaro observées lors des attaques présentaient peu de recoupements, ce qui rend l'analyse combinée non seulement plus convaincante, mais aussi plus exhaustive.
Nous avons examiné quatre mois de données, à partir du 1er octobre 2025, afin de déterminer la part malveillante de cette utilisation. Durant cette période, nous avons détecté des milliers d'instances de contenu malveillant dissimulé par Keitaro, allant des arnaques à l'investissement aux vols d'informations. Le trafic vers ces instances provenait de sites web compromis, de spam, des réseaux sociaux et de la publicité. L'ampleur et la persistance de ces abus sont stupéfiantes. Keitaro est un tracker auto-hébergé et riche en fonctionnalités, déployable en quelques minutes sur de nombreuses plateformes d'hébergement, ce qui explique probablement son attrait. Nous avons identifié environ 15 500 domaines activement utilisés par des instances malveillantes de Keitaro durant cette période, dont près de 9 000 étaient enregistrés avant leur utilisation. Ces domaines étaient utilisés dans des campagnes publicitaires repérées par Confiant, mais également dans des spams, intégrés à des sites web compromis et accessibles via d'autres sources de trafic.
Les arnaques à l'investissement représentaient la menace dominante parmi celles que nous avons observées. Une tendance récente dans ce type d'escroquerie est l'utilisation de l'IA comme principal argument marketing : des pages web mettent régulièrement en avant une « IA avancée » ou des « algorithmes basés sur l'IA » qui automatisent les transactions et promettent des rendements exceptionnels. Plusieurs acteurs utilisent également des images ou des vidéos truquées (deepfakes) pour renforcer leur crédibilité. Nous avons également observé des indices d'utilisation programmatique de l'IA générative pour produire en masse des titres, des textes et des visuels utilisés comme pages d'appât et publicités.
Outre le masquage de domaine, le routage conditionnel de Keitaro, basé sur les caractéristiques des appareils, permet aux opérateurs de créer des flux de trafic complexes. Nous avons analysé des milliers d'attaques afin de caractériser les flux utilisés dans ce type d'escroquerie. La figure 1 récapitule les flux les plus fréquents, depuis les cohortes géographiques et d'agents utilisateurs jusqu'aux langues utilisées par la page de destination. On constate que, dans ces attaques, indépendamment de la localisation du visiteur et du type d'appareil, le leurre final est affiché dans un nombre limité de langues, principalement le russe et l'anglais. Cela pourrait indiquer un ciblage précis de la part de l'attaquant ou des capacités limitées de sa part. Si de nombreuses campagnes sont mondiales, certains acteurs malveillants notables, notamment ceux observés par Confiant dans l'écosystème publicitaire, ciblent spécifiquement les États-Unis.
Figure 1. Filtres de trafic Keitaro pour les campagnes pilotées par l'IA
Nous avons également cherché à évaluer la réactivité d'Apliteni, la société qui développe et commercialise Keitaro Tracker, face aux signalements d'abus. Keitaro étant utilisé par des acteurs malveillants depuis si longtemps, il était légitime de se demander si l'entreprise fermait les yeux sur ces abus : était-elle, en quelque sorte, un outil de suivi infaillible ? Depuis août 2025, nous avons signalé plus d'une centaine de domaines. L'entreprise a répondu rapidement et de manière exhaustive à chacune de nos demandes. Grâce à cela, plus d'une douzaine de comptes d'acteurs malveillants ont été suspendus. Les conditions de licence du tracker Keitaro (https://web.archive.org/web/20251211001713/https:/keitaro.io/terms-of-service-us) interdisent, entre autres, les contenus trompeurs. Cela permet à l'entreprise de mettre fin à toute instance utilisant un tracker à des fins de dissimulation malveillante. Dans de nombreux cas, les domaines que nous avons observés ne possédaient pas de licences valides. Grâce à de multiples échanges basés sur l'activité constatée et les informations clients détenues par l'équipe Keitaro, nous avons vérifié que TA2726 et d'autres acteurs malveillants utilisaient des copies illicites du tracker.
Bien que nous ayons analysé en profondeur le tracker Keitaro, cette publication en plusieurs parties vise à souligner l'ampleur et la gravité des techniques de dissimulation dans le paysage des menaces. D'autres trackers commerciaux, comme Binom, sont également largement détournés, et cette recherche n'a pas pour but d'impliquer Keitaro plus que ces autres acteurs. En effet, notre collaboration avec Keitaro a permis de nouvelles découvertes qui n'auraient pas été possibles autrement. Hyrhorii, responsable Confiance et Sécurité, nous a déclaré à propos de ce rapport : « Chez Keitaro, nous nous engageons à maintenir un environnement professionnel et sécurisé pour le marketing légitime. Notre stratégie repose sur des mesures réactives et proactives : si nous agissons rapidement suite aux signalements d’abus externes, nous investissons également massivement dans la surveillance interne afin d’identifier et de neutraliser les comportements malveillants avant qu’ils n’impactent l’écosystème. Le fait que les acteurs malveillants cessent leurs activités après notre intervention confirme l’efficacité de notre approche. Nous apprécions notre collaboration avec Infoblox, car la synergie proactive entre les éditeurs de logiciels et les experts en cybersécurité est le seul moyen de protéger efficacement la réputation du secteur et la sécurité des utilisateurs. »
Ceci est le premier d’une série de trois articles de blog présentant les résultats de cette étude. L’utilisation de l’IA dans les activités illicites est en pleine expansion, et les campagnes alimentées par des abus de Keitaro ne font pas exception. Dans cet article, nous aborderons le sous-ensemble d’acteurs malveillants qui ont exploité l’IA dans leurs campagnes, dont la plupart étaient des escroqueries à l’investissement. Le prochain article présentera un panorama des nombreux autres sous-ensembles d’acteurs identifiés par les deux équipes. Le dernier article de blog analysera comment les cybercriminels ont détourné les fonctionnalités du logiciel Keitaro à des fins malveillantes et abordera notre collaboration avec le fournisseur concernant les abus.
Bien que nous utilisions des exemples concrets pour étayer notre propos, il ne s'agit pas d'un simple article de blog sur l'IA ou les arnaques à l'investissement. L'idée principale est que les acteurs malveillants utilisent le masquage de domaine pour diffuser massivement des contenus malveillants à des utilisateurs de tous types, partout dans le monde, et que Keitaro est un outil fréquemment utilisé dans ces campagnes. Bien qu'Apliteni puisse répondre aux signalements d'abus et l'ait déjà fait, le volume et la diversité des menaces, sans parler de l'ingéniosité et du vol de licences, font de ces technologies un défi persistant et sous-estimé pour les équipes de sécurité.
Confiant sécurise la chaîne d'approvisionnement de la publicité numérique et protège de nombreuses plateformes, places de marché publicitaires et éditeurs majeurs. Leur visibilité de près de 90 milliards d'impressions publicitaires par mois sur les sites des éditeurs repose sur des milliers d'intégrations côté client qui bloquent les attaques de malvertising. Cette suite de produits collecte également des données télémétriques sur les activités malveillantes observées en conditions réelles et complète les informations fournies par Infoblox Threat Intel via l'analyse DNS, le spam et les analyses de sites web.
Arnaques à l'investissement et IA
La principale catégorie de menaces que nous avons identifiées comme exploitant les services Keitaro est celle des arnaques à l'investissement. Bien qu'Infoblox et Confiant aient tous deux constaté que ce type de fraude domine leurs détections, les acteurs malveillants que nous observons diffèrent en raison de notre visibilité et de notre spécialisation. Dans un article de blog précédemment publié (https://www.infoblox.com/blog/threat-intelligence/uncovering-actor-ttp-patterns-and-the-role-of-dns-in-investment-scams/), Infoblox a mis en lumière les tactiques, techniques et procédures (TTP) récurrentes qui caractérisent ces opérations, et ces schémas restent constants :
-
Enregistrement algorithmique d'un grand nombre de domaines au fil du temps, une technique que nous appelons algorithmes de génération de domaines enregistrés (RDGA)
-
Réutilisation de formulaires web quasi identiques pour collecter les informations des utilisateurs
-
Déploiement de kits générant des structures de sites web uniformes
-
Utilisation de faux articles de presse ou de faux témoignages pour paraître légitime
Nous commencerons par présenter certains des acteurs non identifiés qu'Infoblox surveille dans ce domaine, dont beaucoup exploitent les réseaux sociaux, notamment les publicités Facebook, pour piéger leurs victimes. Si l'intelligence artificielle est utilisée depuis des années pour générer des pages, les fraudeurs l'intègrent désormais comme un atout dans l'utilisation de leurs fausses plateformes de trading. La figure 2 présente les différents modèles utilisés par un acteur que nous suivons et qui mène ce type de campagnes d'escroquerie à l'investissement.
Figure 2. Pages d'atterrissage d'escroqueries à l'investissement présentant des plateformes de trading basées sur l'IA, partageant une structure similaire et un formulaire web intégré commun utilisé pour collecter les informations des victimes. Crédit image : urlscan.io
Le second acteur malveillant utilise également une arnaque à l’investissement basée sur l’IA, mais son site web adopte un style plus minimaliste avec un fond blanc (Figure 3). Malgré ce changement de style, le principe reste le même : promouvoir le trading assisté par l’IA comme appât pour piéger les victimes. Il promet des rendements automatisés supérieurs au marché et à faible risque, et utilise des termes à la mode et dénués de sens, comme « blockchain ». Un formulaire en ligne recueille les coordonnées des visiteurs. Dans ce type d’arnaque, l’auteur se fait généralement passer pour un « gestionnaire de compte » et harcèle les victimes d’appels téléphoniques pour obtenir un premier investissement. D’après la répartition linguistique observée, l’acteur semble cibler principalement les publics anglophones et germanophones, ainsi que les publics japonophones, italophones, néerlandophones, francophones, hispanophones et lusophones.
Figure 3. Pages d'atterrissage d'escroqueries à l'investissement liées à un autre acteur malveillant, faisant la promotion de plateformes de trading basées sur l'IA et d'avis quasi cinq étoiles. Crédit image : urlscan.io
Le prochain acteur malveillant semble utiliser de faux articles d’actualité sur l’IA pour promouvoir son système d’investissement. Plutôt que de simuler des témoignages de célébrités, ces pages présentent l’IA elle-même comme une autorité de confiance, la décrivant comme une technologie révolutionnaire permettant aux utilisateurs de réaliser des transactions de niveau expert sans effort. Sur les différentes versions du site, disponibles en plusieurs langues, le contenu associe systématiquement des images liées à l’IA à des récits affirmant que l’IA simplifie les décisions financières complexes (Figure 4), illustrant ainsi comment l’acteur adapte le même message central à différents publics. L’acteur utilise également des domaines RDGA, tels que ceux du Tableau 1, pour ses campagnes.
Figure 4. Pages de fausses informations sur le thème de l'IA utilisées par un acteur malveillant non identifié pour promouvoir des arnaques à l'investissement en présentant l'IA comme une autorité de confiance dans plusieurs langues. Crédit image : urlscan.io
| Lumitex + AI ou + X suffixe | Préfixe/suffixe ATT | Autre |
| --- | --- | --- |
| lumitexaihub[.]com
lumitexaicloud[.]com
lumitexsyncai[.]com
lumitexstackai[.]com
lumitexinsightai[.]com
lumitexconnectx[.]com
lumitexlaunchx[.]com
lumitexgridx[.]com
lumitexbasex[.]com
lumitexflowx[.]com | echoatt[.]com
rocketatt[.]com
tradefyatt[.]com
profitlyatt[.]com
igniteatt[.]com
autopilotatt[.]com
wizardatt[.]com
quietbotatt[.]com
autotradeatt[.]com
attgenius[.]com | tradingideasai[.]com
tradingideasfromai[.]com
star-boostmedia[.]com |
| Tableau 1. Modèles de noms de domaine RDGA utilisés par un escroc anonyme qui dissimule ses campagnes sous l'appellation Keitaro |
Pour l'ensemble des domaines modèles listés dans la colonne « Autres » du Tableau 1 ci-dessus, l'escroc utilise principalement les sous-domaines des RDGA pour contrôler le contenu de chaque page de destination. Le premier libellé du nom d'hôte (par exemple, tr, au, br, za, swe, mx, pl) correspond directement à une langue ou un groupe linguistique spécifique, indiquant certaines des langues cibles de l'acteur. Lorsqu'un utilisateur est redirigé vers l'un de ces sous-domaines, le site web affiche automatiquement le contenu dans la langue associée, permettant ainsi à l'acteur de réutiliser la même infrastructure tout en présentant un contenu localisé et adapté à chaque région. Le tableau 2 illustre la structure de ces sous-domaines.
| Nom d'hôte | Langue |
| --- | --- |
| au.star-boostmedia[.]com | Anglais (Australie) |
| br.star-boostmedia[.]com | Portugais (Brésil) |
| can.star-boostmedia[.]com | Anglais (Canada) |
| mx.star-boostmedia[.]com | Espagnol (Mexique) |
| pl1.tradingideasai[.]com | Polonais |
| swe.star-boostmedia[.]com | Suédois |
| tr.star-boostmedia[.]com | Turc |
| za.star-boostmedia[.]com | Anglais (Afrique du Sud) |
| Tableau 2. Sous-domaines observés et leurs langues associées. |
FaiKast
Confiant surveille FaiKast (acronyme de « Fake AI News Broadcast ») depuis mai 2025. FaiKast est un acteur malveillant qui utilise des vidéos deepfake générées par IA pour usurper l'identité de présentateurs de journaux télévisés et de personnalités publiques (Figure 5). Ces deepfakes créent une illusion de légitimité et d'urgence autour d'escroqueries financières. FaiKast a été observé s'infiltrant dans la chaîne d'approvisionnement AdTech principalement via Bigo Ads. Bigo Ads fait également l'objet d'un examen approfondi dans cette nouvelle étude sur son SDK de Buchodi.
Figure 5. Deepfakes de présentateurs de FaiKast
Les TTP (Tactiques, Techniques et Procédures) de diffusion typiques de FaiKast sont les suivantes :
Étape 1 (Appât) : Des publicités vidéo générées par IA mettant en scène des présentateurs de journaux télévisés truqués sont diffusées via l'écosystème publicitaire, localisées pour correspondre à la langue, à la devise et au cycle d'actualités régional du public cible. Les zones géographiques ciblées comprennent plusieurs pays européens tels que la France et le Royaume-Uni, ainsi que le Canada, le Japon et le Kazakhstan.
Étape 2 (Accès) : Les victimes qui cliquent sur le lien sont redirigées vers des sites web quasi identiques à ceux de médias d’information légitimes (par exemple, CBC News). Ces fausses pages contiennent de faux commentaires de lecteurs, des images de personnalités publiques (par exemple, le Premier ministre canadien Mark Carney) et des appels pressants à s’inscrire sur des plateformes de cryptomonnaies frauduleuses telles que Pyravelon, Tyveralon et Quantum AI. Voir les figures 6 et 7 pour des exemples.
Étape 3 (Conversion) : Les victimes sont redirigées vers de fausses pages d’aide gouvernementale et des portails d’investissement frauduleux.
Figure 6. Exemples de pages d'accueil FaiKast imitant CBC News
Figure 7. Autres exemples de pages d'accueil FaiKast : appels à l'action pour s'inscrire à de fausses plateformes de cryptomonnaies
WickedWally
WickedWally est un réseau de marketing d'affiliation trompeur ciblant des publics spécifiques aux États-Unis, tels que les personnes âgées et celles ayant besoin de programmes d'aide sociale, en leur faisant miroiter des allégements de dettes, des allocations alimentaires, des prestations Medicare et la prise en charge des frais funéraires. Cet acteur est actif et suivi par Confiant depuis au moins 2024.
WickedWally utilise des publicités vidéo deepfake générées par intelligence artificielle, souvent conçues pour ressembler à des reportages, qui exploitent l'actualité et un langage opaque, comme : « Suite à la levée des droits de douane américains, vous pouvez effacer gratuitement votre dette de carte de crédit jusqu'à samedi » (voir figure 8 pour un exemple).
Figure 8. Exemple de publicité WickedWally imitant un bulletin d'information de CNN pour le domaine frauduleux empowerementplan[.]com.
Une page d'accueil courante utilisée par WickedWally est un faux chatbot : une conversation simplifiée avec un « agent » visant à « qualifier » la victime pour un avantage fictif et à créer un faux sentiment de légitimité. Les utilisateurs sont incités à appeler divers numéros verts commençant par 1-844, 888, etc., qui les redirigent vers des centres d'appels tiers non vérifiés. Ces centres d'appels les encouragent à divulguer leurs informations personnelles et/ou financières. Voir la figure 9. D'autres pages de destination présentent de faux avis et un sentiment d'urgence, de faux logos et des affirmations totalement irréalistes.
Figure 9. Exemple de page de destination WickedWally pour empowerementplan[.]com, utilisant une fausse offre de désendettement.
Au lieu d'utiliser le cloaking, ces campagnes tentent de passer inaperçues en se fondant dans le marketing légitime de génération de leads. Malgré cette approche, Keitaro joue toujours un rôle crucial dans l'infrastructure de diffusion, vraisemblablement pour le routage des points de terminaison et le suivi des campagnes. D'après nos observations, cet acteur a utilisé Keitaro Tracker à plusieurs reprises dans sa chaîne de diffusion, ce qui en fait un indicateur utile pour identifier les activités connexes.
Arnaques au support technique (Non attribué)
La publicité malveillante reste une source importante pour démasquer les arnaques au support technique. Confiant traque plusieurs acteurs de ce secteur présentant des tactiques, techniques et procédures (TTP) très similaires. Si le cloaking est courant, Keitaro est rarement observé dans ces réseaux ; une exception notable a toutefois émergé en octobre dernier. Lors de cette campagne, un opérateur de TSS a intégré des ressources générées par IA à des sites leurres, une technique qui renforce la légitimité perçue et s'adapte à la production. Keitaro a ensuite été utilisé pour rediriger conditionnellement les visiteurs des leurres vers des pages de destination frauduleuses ou d'autres contenus utiles, en fonction de signaux tels que l'adresse IP, la géolocalisation, l'agent utilisateur et le référent, tout en redirigeant les visiteurs non ciblés vers du contenu légitime. Les leurres imitaient des marques ou des sujets populaires et utilisaient des mots-clés commerciaux génériques (par exemple, Taylor Swift, chaussures, oreillers, jeux de société) pour couvrir un large public dans les résultats de recherche et les inventaires publicitaires. Cette approche programmatique permet à l'acteur de produire en masse des pages correspondant à diverses requêtes, d'étendre sa couverture SEO et de maintenir un flux constant de trafic entrant dans l'entonnoir de conversion du support client en arnaque. Cet acteur est un précurseur des technologies d'IA, notamment du générateur de texte en image DALL-E d'OpenAI. Confiant suit cette activité depuis novembre 2023.
Les tactiques, techniques et procédures (TTP) typiques des acteurs TSS sont les suivantes :
Étape 1 (Appât) : Des publicités display natives sont diffusées dans des emplacements publicitaires programmatiques sur les pages des éditeurs. Les créations publicitaires comportent des boutons « DÉMARRER » verts bien visibles, des messages incitant à des tests de QI, de fausses offres de téléchargement ou des titres racoleurs (conseils de jardinage, entreprises de déménagement, contenu lifestyle). Les acteurs TSS peuvent opérer au sein de modèles de publicités natives verrouillés, qui n'autorisent pas l'exécution de code JavaScript personnalisé dans la publicité elle-même. Les publicités sont de plus en plus sophistiquées, passant de simples créations de type bouton à des textes publicitaires plus élaborés intégrant des incitations à « regarder », « apprendre » ou « continuer ». La figure 10 illustre un exemple de ces types de publicités.
Figure 10. Exemple de publicité native utilisée à l'étape 1
Étape 2 (Masquage et page de destination) : Les internautes qui cliquent sur le lien arrivent sur une page de destination masquée en plusieurs étapes. La première page n'est généralement pas masquée et affiche un bouton « CONTINUER », « Commencer le quiz » ou « En savoir plus ». Cette page sert de passerelle vers le contenu malveillant. En coulisses, les kits de masquage effectuent une identification côté client : vérification de la géolocalisation IP (ciblage aux États-Unis), de l'agent utilisateur (Windows ou macOS), des listes noires ASN et de la présence des paramètres d'URL du clic pour confirmer que le visiteur est arrivé via un clic sur une publicité payante. Le trafic non qualifié reçoit une page blanche, généralement un clone de site web d'apparence inoffensive comme celui de la figure 11 ci-dessous.
Figure 11. Page blanche masquée pour marrowcliff[.]org
Les thèmes des pages masquées ont considérablement évolué au fil du temps et c'est sur ces pages que Confiant a observé des acteurs de TSS utiliser l'IA. Parmi ces thèmes, on retrouve notamment :
-
Des pages de contenu générées par IA utilisant des images DALL-E, couvrant des sujets variés (Taylor Swift, chaussures, coussins, jeux de société)
-
De faux quiz/tests de QI (désormais en déclin)
-
Des sites web d'entreprises clonés, des copies volées d'agences de marketing digital, de sociétés de référencement et de plateformes légitimes comme Capterra
-
Des fenêtres modales de consentement aux cookies qui se referment automatiquement après deux secondes ou à la moindre interaction de l'utilisateur (accepter ou refuser)
Étape 3 (Charge utile TSS) : Les victimes qui passent le test d'empreinte numérique sont redirigées via HTTP 302 vers une page d'escroquerie au support technique, souvent hébergée sur Azure Blob Storage (sous-domaines *.web.core.windows.net). Ces pages éphémères usurpent l'identité de Microsoft ou d'Apple, affichant de fausses alertes antivirus, des avertissements de chevaux de Troie, des messages d'erreur de Windows Defender (Figure 12) et de fausses analyses système. Les victimes sont incitées à appeler un numéro de support frauduleux. Les auteurs de l'escroquerie demandent ensuite un accès à distance, effectuent de faux diagnostics et exigent un paiement par carte bancaire, carte cadeau, virement bancaire ou cryptomonnaie. Les pertes individuelles déclarées par les victimes ont dépassé 40 000 $US dans les cas documentés.
Figure 12. Alerte frauduleuse TSS non masquée, faux scan et demande de paiement
L'activité TSS cible principalement les utilisateurs aux États-Unis grâce à une logique d'empreinte numérique ciblant spécifiquement les plages d'adresses IP américaines. Le ciblage secondaire inclut le Japon (avec des publicités en japonais) ainsi que des marchés anglophones et européens plus larges.
FishSteaks
Notre analyse a révélé des informations concernant FishSteaks, un groupe actif depuis au moins mars 2024, et probablement bien plus longtemps. Lors de campagnes récentes, nous avons observé que FishSteaks commençait à utiliser Keitaro comme outil de dissimulation. Leurs campagnes ciblent les États-Unis et attirent les victimes grâce à des publicités convaincantes sur le thème des jeux-concours, imitant des marques américaines populaires.
Les victimes sont guidées à travers des pages de destination ludiques à plusieurs étapes avant d'arriver sur un site d'hameçonnage final conçu pour collecter leurs informations personnelles et leurs données de carte bancaire. Le groupe démontre une capacité d'adaptation à grande échelle grâce à la rotation des marques, la modification des sous-domaines et l'utilisation d'éléments visuels générés par IA, remplacés par les logos des marques au fur et à mesure du lancement des campagnes. Des techniques de gamification, telles que des boîtes à prix virtuelles et des confettis, augmentent l'engagement des victimes et le temps passé sur la page, améliorant ainsi les taux de conversion.
Les captures d'écran des figures 13 et 14 ci-dessous montrent les pages de destination des domaines 5000-giftcardswb[.]ru, actif tout au long du mois d'octobre et sporadiquement en novembre, et tryhappycards[.]ru, actif en décembre. Les deux campagnes utilisaient Keitaro et attiraient les victimes avec des publicités génériques ressemblant à des widgets d'applications mobiles natives.
Figure 13. Fausses vignettes d'application mobile FishSteaks
![Page du concours tryhappycards[.]ru](https://www.infoblox.com/blog/wp-content/uploads/keitaro-ai-campaign-figure-14.png)
Figure 14. Page du concours tryhappycards[.]ru
L'IA comme multiplicateur de force, Keitaro comme facilitateur
À travers l'ensemble de nos données d'observation, nous avons identifié des milliers d'attaques impliquant Keitaro. Ce qui était alarmant, c'était la diversité et le nombre considérable d'acteurs malveillants opérant dans ce segment de l'écosystème de la cybercriminalité. Les arnaques à l'investissement représentaient la catégorie d'attaque la plus courante, et parmi celles-ci, les arnaques basées sur l'IA constituaient le sous-ensemble le plus convaincant. En combinant un thème de fraude à l'investissement ancien mais toujours très efficace avec les technologies d'IA modernes, les acteurs malveillants ont pu lancer des campagnes de cybercriminalité de grande envergure et extrêmement convaincantes. Cette approche permet de contourner les défenses conventionnelles grâce à la combinaison du routage conditionnel du trafic (géolocalisation/IP/ASN, agent utilisateur/référent, flux basés sur les risques), du contenu personnalisé par l'IA et du cloaking, qui affiche des pages inoffensives aux scanners et des leurres persuasifs aux utilisateurs légitimes. Ensemble, ces techniques réduisent l'efficacité des contrôles de sécurité basés sur les signatures et les règles, et augmentent les taux de conversion des attaquants.
Les acteurs malveillants s'appuyaient fortement sur l'infrastructure DNS et les canaux publicitaires pour gagner en ampleur et acquérir des prospects. L'ingénierie sociale efficace est essentielle au succès de ces campagnes, car nombre d'entre elles reposent sur l'engagement des utilisateurs, notamment la soumission de leurs coordonnées ou le suivi d'instructions par téléphone. Par conséquent, les acteurs adaptent leurs tactiques, techniques et procédures (TTP) afin de maximiser la confiance et l'engagement, en déployant régulièrement des domaines similaires à ceux de la marque, des créations publicitaires générées par IA haute fidélité et localisées pour la cible, ainsi que des contenus audio/vidéo truqués (deepfakes) pour simuler des représentants de confiance ou des personnalités médiatiques.
Bien que les attaques exploitant Keitaro soient souvent complexes et de grande envergure, la réactivité d'Apliteni face aux signalements d'abus est encourageante. Les efforts de signalement coordonnés ont déjà permis la fermeture d'infrastructures et de comptes, nous offrant ainsi une solution viable, même si les acteurs continuent de faire tourner les domaines et les créations publicitaires.
Prochaines étapes
Comme il nous est impossible de couvrir l'ensemble de nos conclusions et exemples ici, la deuxième partie (sur trois) s'intéressera à d'autres schémas de fraude exploitant Keitaro et les chaînes de spam et de publicité qui les sous-tendent, au-delà des leurres basés sur l'IA. Nous expliquerons également comment nous avons utilisé l'empreinte numérique des serveurs web et JA4+ pour identifier d'autres serveurs Keitaro et mettre au jour des activités de distribution de logiciels malveillants.
Indicateurs
Vous trouverez ci-dessous une sélection d'indicateurs liés aux menaces abordées. Une liste plus complète est disponible dans notre dépôt GitHub.
Remarque : Ces domaines peuvent être associés à des licences inactives ou volées.
| Indicateurs | Description |
| --- | --- |
| fin-zen-ai[.]com
synatra-nexus[.]com
toonie-bot[.]com
veltimo-ai[.]com | Domaines utilisés par un acteur malveillant non identifié menant des escroqueries à l'investissement via des plateformes de trading basées sur l'IA. Ces domaines sont associés aux exemples de la Figure 2. |
| argea-ai[.]org
el-camino-trader[.]com
mizuai[.]org
myhomequote[.]xyz
nuve-ai-invest[.]vip
nuvei-bot-neway[.]org
nuvei-bot-neway[.]vip
plumaclean[.]com
powerquizmaster[.]com
truenorth-yachts[.]com | Exemple supplémentaire de domaines utilisés par le même acteur malveillant non identifié impliqué dans des escroqueries à l'investissement mentionnées ci-dessus. |
| cryptopassive-swiss-switzerland[.]org
nexiroka[.]net
samsosi[.]net
yieldup[.]ch | Domaines utilisés par un acteur malveillant non identifié impliqué dans des escroqueries à l'investissement. Ces domaines sont associés aux exemples de la figure 3. |
| bitget-passive-income[.]com
cardanocrypto[.]ch
clarozenvix[.]com
crypto-nsw-app-au[.]com
gentlevector[.]com
kyvaronedge82[.]com
newton-passive-income[.]net
opulatrix[.]ch
owleblo[.]net wirbeldappix[.]ch | Exemple supplémentaire de domaines utilisés par le même acteur malveillant non identifié à l'origine des arnaques à l'investissement mentionnées ci-dessus. |
| au[.]lpa1[.]star-boostmedia[.]com
pl[.]star-boostmedia[.]com
pol[.]star-boostmedia[.]com
lumitexchainai[.]com | Domaines utilisés par un acteur malveillant non identifié menant des campagnes de désinformation sur le thème de l'IA. Ces domaines sont associés aux exemples de la figure 4. |
| lumitexaihub[.]com
lumitexaicloud[.]com
lumitexsyncai[.]com
lumitexstackai[.]com
lumitexinsightai[.]com
lumitexconnectx[.]com
lumitexlaunchx[.]com
lumitexgridx[.]com
lumitexbasex[.]com
lumitexflowx[.]com | Exemple de domaines utilisés par le même acteur malveillant non identifié dans la ligne ci-dessus. Domaines avec le modèle « lumitex + AI ou suffixe + X » |
| echoatt[.]com
rocketatt[.]com
tradefyatt[.]com
profitlyatt[.]com
igniteatt[.]com
autopilotatt[.]com
wizardatt[.]com
quietbotatt[.]com
autotradeatt[.]com
attgenius[.]com | Exemple de domaines utilisés par le même acteur non identifié que dans la ligne ci-dessus ; domaines avec le modèle « préfixe/suffixe ATT » |
| tradingideasai[.]com
tradingideasfromai[.]com
star-boostmedia[.]com | Domaines utilisés par le même acteur non identifié que dans la ligne ci-dessus. Domaines sans modèle commun évident, mais utilisant des sous-domaines pour déterminer la langue de la page. |
| tryhappycards[.]ru
yourluckycard[.]ru | FishSteaks -- Arnaques aux concours |
| marrowcliff[.]org
nestledawn[.]org | Arnaques au support technique |
| empowerementplan[.]com
financialmatcher[.]com | WickedWally -- Arnaques au désendettement |
| augmentation de richesse[.]cliquez
avenue du nord[.]info
fzclbsmartcbeaa[.]com
mcdpwmachineylpdn[.]com
fonds-trésor[.]com
vwyitsensorjieho[.]com
allocation de fonds[.]com
revenus en espèces[.]xyz
cognithique[.]com
thrygate[.]com
logithrive[.]com
yoxjsensordkzb[.]com
ggkngpssanil[.]com
zoizagricultureciva[.]com
tmgmaiwwta[.]com | FaiKast -- Gen AI diffuse des imitateurs de personnages |