Bei International Revenue Share Fraud (IRSF) beschaffen sich Betrüger illegal internationale Premium-Rufnummern oder Nummernblöcke und treiben künstlich das Volumen an Anrufen oder Nachrichten zu diesen Nummern in die Höhe. Über die sogenannten Terminierungsentgelte – die Gebühren, die ein abgebender Netzbetreiber an das Zielnetz für die Zustellung zahlt – fließt ein Teil der Einnahmen an die Täter zurück. Laut Infoblox registriert die beobachtete Kampagne gezielt Nummern in Ländern mit hohen Terminierungsentgelten oder laxer Regulierung wie Aserbaidschan oder Kasachstan sowie bestimmte europäische Premium-Nummernblöcke und arbeitet dabei mit lokalen Telekommunikationsanbietern zusammen.

Der Ablauf folgt einem festen Muster: Über ein kommerzielles TDS wird ein Nutzer auf eine gefälschte Webseite umgeleitet, die ein CAPTCHA anzeigt und ihn auffordert, eine SMS zu senden, um zu „bestätigen, dass Sie ein Mensch sind". Das löst eine mehrstufige Verifizierungskette aus, bei der auf Android- und iOS-Geräten programmgesteuert die SMS-App mit vorausgefüllten Nummern und Nachrichtentexten geöffnet wird.

Laut den Forschern David Brunsdon und Darby Wise ist jede Nachricht mit über einem Dutzend Rufnummern vorkonfiguriert – das Opfer zahlt also nicht für eine einzelne SMS, sondern für den Versand an über 50 internationale Ziele. Nach vier CAPTCHA-Schritten werden bis zu 60 SMS an 15 unterschiedliche Nummern verschickt, was einen Nutzer rund 30 US-Dollar kosten kann. Die Liste der Rufnummern erstreckt sich über 17 Länder, darunter Aserbaidschan, die Niederlande, Belgien, Polen, Spanien und die Türkei. Erschwerend kommt die verzögerte Abrechnung hinzu: Die Gebühren tauchen oft erst Wochen später auf der Rechnung auf, wenn das gefälschte CAPTCHA längst vergessen ist.

Die Kampagne nutzt Cookies, um den Fortschritt durch den Verifizierungsablauf zu verfolgen; anhand gespeicherter Werte wie „successRate" entscheidet die Seite über das weitere Vorgehen. Wird ein Nutzer als ungeeignet eingestuft, leitet die Seite ihn auf eine andere CAPTCHA-Seite um, die vermutlich zu einer separaten Kampagne gehört. Hinzu kommt das Kapern der Zurück-Taste: Per JavaScript wird der Browserverlauf so verändert, dass jeder Versuch, die Seite über die Zurück-Taste zu verlassen, den Nutzer wieder auf die gefälschte Seite zurückwirft.

In Zusammenarbeit mit Confiant legte Infoblox zudem dar, wie der Keitaro-TDS (auch Keitaro Tracker) missbraucht wird – teils über gestohlene oder geknackte Lizenzen wie im Fall von TA2726. Eingesetzt wird er für Malware-Verbreitung, Kryptodiebstahl und Anlagebetrug mit angeblich KI-gesteuertem Handel. Die Masche lockt Opfer über Facebook-Anzeigen auf betrügerische Plattformen und fälscht teils Promi-Empfehlungen mittels Falschmeldungen und Deepfake-Videos; der Einsatz synthetischer Videos wird einem Akteur namens FaiKast zugeschrieben.

Zwischen Oktober 2025 und Januar 2026 missbrauchten über 120 verschiedene Kampagnen den Keitaro-TDS. Infoblox-Kunden verzeichneten in diesem Zeitraum rund 226.000 DNS-Anfragen zu 13.500 zugehörigen Domains. Nach der Meldung kündigte Keitaro mehr als ein Dutzend verknüpfte Konten. Rund 96 Prozent des Keitaro-bezogenen Spam-Verkehrs bewarben laut den Unternehmen sogenannte Wallet-Drainer-Schemata, vor allem über gefälschte Airdrop- und Gewinnspiel-Köder rund um AURA, SOL, Phantom und Jupiter.