We planned one report on Keitaro abuse, but we ran out of pages before we ran out of cases.
So here’s Part 2 of 3, a medley of threats that go well beyond AI‑investment scams.

Threat actors abuse Keitaro’s traffic distribution, cloaking, and rule engine to hide malicious landing pages behind geo and device-based filters. They stack bulletproof hosting and reverse proxies to add layers of indirection, making takedown and analysis harder. In this post, we share how we overcame this using multi‑protocol, multi‑vantage telemetry. We leveraged JA4+ web server fingerprints, DNS analytics, and Confiant’s visibility into advertising supply chain data to uncover Keitaro abuse and the delivery of malware downloaders, infostealers, weaponized RMMs, wallet drainer campaigns, scams, and email spam and advertising attack vectors.

If you hunt threats distributed via adtech, these indicators can be useful pivots. https://www.infoblox.com/blog/threat-intelligence/no-reach-no-risk-the-keitaro-abuse-in-modern-cybercrime-distribution/

#dns #threatintel #threatintelligence #cybercrime #cybersecurity #infosec #infoblox #infobloxthreatintel #scam #ai #keitaro #adtech #tds #trafficdistributionsystem #cloaker #cloaking #landscape #malvertising #infostealer #rmm #remotemonitoringmanagement #downloader #malware #spam #airdrop #cryptocurrency #ja4 #ja4_fingerprinting

Анатомия DPI анализа: что происходит с твоим пакетом за первые 16 КБ

Пошаговый разбор того, как ТСПУ анализирует трафик — от первого SYN до поведенческого ML. С конкретными числами, реальными алгоритмами и объяснением почему одни протоколы умирают на первом байте, а другие живут месяцами Большинство объяснений про DPI звучат так: «система смотрит на пакеты и блокирует плохие». Это примерно как объяснить работу компилятора словами «берёт код и делает программу». Давай пройдём по тому, что реально происходит с пакетом от момента выхода с твоего устройства до момента когда ТСПУ принимает решение. Пошагово, с числами, без абстракций.

https://habr.com/ru/articles/1009560/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1009560

#DPI #ТСПУ #TLS #JA3 #JA4 #packet_inspection #Xray #обход_блокировок #TCP #fingerprint

Анатомия DPI анализа: что происходит с твоим пакетом за первые 16 КБ

Пошаговый разбор того, как ТСПУ анализирует трафик — от первого SYN до поведенческого ML. С конкретными числами, реальными алгоритмами и объяснением почему одни протоколы умирают на первом байте, а другие живут месяцами Большинство объяснений про DPI звучат так: «система смотрит на пакеты и блокирует плохие». Это примерно как объяснить работу компилятора словами «берёт код и делает программу». Давай пройдём по тому, что реально происходит с пакетом от момента выхода с твоего устройства до момента когда ТСПУ принимает решение. Пошагово, с числами, без абстракций.

https://habr.com/ru/articles/1009560/

#DPI #ТСПУ #TLS #JA3 #JA4 #packet_inspection #Xray #обход_блокировок #TCP #fingerprint

Как ТСПУ ловит VLESS в 2026 и почему XHTTP — следующий шаг

Разбор методов детекции, которые работают прямо сейчас. JA3/JA4-отпечатки, поведенческий анализ и архитектура XHTTP, которая закрывает именно эти дыры Если твой VLESS+Reality сервер лёг в последние месяцы — ты не один. В сообществах фиксируют волны блокировок, которые раньше не достигали хорошо настроенных Reality-серверов. Что конкретно изменилось, как это устроено на уровне алгоритмов — и почему XHTTP сейчас выглядит как правильный следующий шаг.

https://habr.com/ru/articles/1009542/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1009542

#VLESS #XHTTP #ТСПУ #DPI #Xraycore #Reality #JA3 #JA4 #обход_блокировок #TLS_fingerprint

Как ТСПУ ловит VLESS в 2026 и почему XHTTP — следующий шаг

Разбор методов детекции, которые работают прямо сейчас. JA3/JA4-отпечатки, поведенческий анализ, академическая работа СПбПУ по детекции Reality — и архитектура XHTTP, которая закрывает именно эти дыры Если твой VLESS+Reality сервер лёг в последние месяцы — ты не один. В сообществах фиксируют волны блокировок, которые раньше не достигали хорошо настроенных Reality-серверов. Что конкретно изменилось, как это устроено на уровне алгоритмов — и почему XHTTP сейчас выглядит как правильный следующий шаг.

https://habr.com/ru/articles/1009542/

#VLESS #XHTTP #ТСПУ #DPI #Xraycore #Reality #JA3 #JA4 #обход_блокировок #TLS_fingerprint

RE: https://infosec.exchange/@geraldcombs/116133603929246605

#Wireshark 4.6.4 resolves 3 denial of service vulnerabilities in the following protocol dissectors:

• USB HID CVE-2026-3201
• NTS-KE CVE-2026-3202
• RF4CE Profile CVE-2026-3203

The new release also includes a bug fix for #JA4 fingerprints of TLS handshakes with odd ALPN values as well as an important update of the #SOCKS parser, which now enables more reliable extraction of data from within SOCKS tunnels.