NiceNIC entlarvt: Der ICANN-Registrar, der die weltweite Cyberkriminalität antreibt
Untersuchung gegen einen von der ICANN akkreditierten Registrar mit einem beispiellosen Phishing-Wert von 1.141,74 – der Betrugsnetzwerken einen sicheren Rückzugsort bietet, den 8,5-Millionen-Dollar-Raubzug auf Trust Wallet ermöglichte und offen zugibt: „Wir haben nichts gegen Betrug.“
8 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
Phishing-Wert: 1.141,74Raubüberfall auf Trust Wallet: 8,5 Millionen DollarIANA-ID: 3765
0
Phishing-Bewertung
dreihundertzwanzig Mal
Mehr Betrug als die Regel
0
Seelenlose Maschinen-Websites
8,5 Millionen Dollar
Verlust der Trust Wallet
Die statistische Unmöglichkeit
NiceNIC ist nicht nur ein „Schlechtstarter“ – es ist im seriösen Geschäftsverkehr statistisch gesehen ein Unding. Laut den Daten des Cybercrime Information Center aus dem Jahr 2025 beträgt ihr Phishing-Wert 1,141.74 macht sie zu Gastgebern 320 Mal mehr bestätigte Betrugsfälle pro Registrierung als branchenüblich.
Vergleich der Phishing-Bewertungen (2025)
3.5
GoDaddy
3.2
Google
8.4
Reg.ru
1,141
NiceNIC
Was das bedeutet
Während seriöse Registrare Werte unter 10 aufweisen, liegt NiceNIC bei das 100- bis 300-Fache des Branchendurchschnitts. Das ist keine Nachlässigkeit – das ist eine Infrastruktur, die auf Betrug ausgelegt ist. Diese Indikatoren für Kompromittierung (IOCs) belegen systematische, missbrauchsfreundliche Hosting-Praktiken, die gegen die ICANN-Compliance-Standards verstoßen.
Die „mangelnde Beweislage“-Taktik
PhishDestroy sendet umfassende forensische Pakete an NiceNIC, die Folgendes enthalten:
Forensische PDF-Dateien mit Signaturen bösartiger Skripte und Drainer-Code
Berichte von VirusTotal 15–20+ Erkennungen von Anbietern
Screenshots von betrügerischen Anmeldeportalen
DNS-Verlauf und IP-Zuordnung
JSON-Metadaten mit technischen Indikatoren
In ihrer automatisierten Antwort heißt es, dies reiche nicht aus:
„Vielen Dank für Ihre Meldung … Die bereitgestellten Informationen reichen jedoch zum jetzigen Zeitpunkt nicht aus, damit unser Team das Problem überprüfen kann …“
— NiceNIC-Compliance-Team (automatische Antwort)
Die Wahrheit
Es gibt Belege dafür, dass die Mitarbeiter des NiceNIC-Supports weigert sich bewusst, Anhänge zu öffnen um sich rechtlich „aus der Verantwortung ziehen“ zu können. Domains, bei denen mehr als 16 Erkennungen auf VirusTotal gemeldet wurden, bleiben über 1.000 Stunden lang aktiv. Dieses Vorgehen untergräbt die branchenweiten Bemühungen zur Erfassung von Domain-Bedrohungen.
Von Betrügern empfohlen
Beitrag in einem Dark-Web-Forum, in dem NiceNIC empfohlen wird, weil dort alle Missbrauchsmeldungen ignoriert werden – AUFGEDECKT
Eine Studie von Brian Krebs (Die „Soulless“-Ermittlungen) entlarvten NiceNIC als Hauptumschlagplatz für russische Spielerforum Netzwerke. Die Betreiber von Scam-Panels schulen ihre Partner aktiv in der Nutzung von NiceNIC.
„Nutzen Sie NiceNIC. Die sind unserem Unternehmen gegenüber loyal. Wenn PhishDestroy eine Meldung macht, ignorieren Sie sie einfach. NiceNIC schickt automatisch seine Standardablehnung wegen ‚mangelnder Beweise‘.“
— Durchgesickerte Telegram-Anweisungen von Betreibern des „Gambler Panel“
Seelenlose Maschine
Brian Krebs hat ein Netzwerk von über 1.200 identische Betrugsseiten unter Verwendung der NiceNIC-Infrastruktur – auf allen laufen dieselben Drainer-Skripte.
Gambler Tech Info
In Telegram-Gruppen wird NiceNIC offen als Hosting-Anbieter für Krypto-Drainer-Operationen empfohlen, wobei deren „Geschäftstreue“ angeführt wird.
Der 8,5-Millionen-Dollar-Raub bei Trust Wallet
Dezember 2025 – Der schwerwiegendste Ausfall von NiceNIC
8.500.000 Dollar
Schwellenwert für bestätigte Verluste
Vollständige Kontrolle über den gesamten Stack
NiceNIC war sowohl das Registrar UND Host für die Exfiltrationsinfrastruktur. Sie hatten die technischen Möglichkeiten, die Knoten außer Betrieb zu setzen, ließen sie jedoch bewusst online.
Betreiber sieht zu (Live)
Der NiceNIC-Betreiber war Online auf Telegram während des Raubüberfalls. Da ihnen der Premium-Datenschutz fehlte, wurde ihr Status offengelegt. Sie ignorierten forensische Warnmeldungen, während Millionen gestohlen wurden.
100 % Betriebskontinuität
Die Infrastruktur blieb aktiv, bis der letzte Cent aufgebraucht war. NiceNIC leistete den Dieben umfassende operative Unterstützung.
Infrastruktur zur Datenausleitung
NS3.MY-NDNS.COM
NS4.MY-NDNS.COM
Das öffentliche Bekenntnis
Am 10. Januar 2026 veröffentlichte der Twitter-Account von NiceNIC ein Manifest, das die Sicherheitsgemeinschaft schockierte:
„Wir haben nichts gegen Betrug … wir sind hier, um Geld zu verdienen.“
Nachdem der Beitrag viral gegangen war, inszenierten sie unter Verwendung des Namens einen vorgetäuschten „russischen Hackerangriff“ Julian um sich gegenüber der ICANN weiterhin herausreden zu können. Doch der Schaden war bereits angerichtet – ihre wahre Haltung war offenbart worden.
Das Muster ist eindeutig
Automatische Ablehnungen + Empfehlungen von Betrügern + Geständnis auf Twitter + 8,5-Millionen-Dollar-Raubzug = Das ist kein Versagen der Compliance. Das ist ein Geschäftsmodell.
Nachweise und Unterlagen
Laden Sie die forensischen Berichte herunter, die NiceNIC als „unzureichend“ bezeichnet:
NiceNIC (IANA 3765) ist kein Branchenkollege – es ist ein Infrastrukturpartner für die weltweite Cyberkriminalität. Die Beweislage ist erdrückend. Der Diebstahl hat katastrophale Folgen. Die Zeit der Warnungen ist vorbei.
Zeitleiste, die zeigt, wie bei NiceNIC kostenlos registrierte Domains dazu führten, dass Missbrauchsmeldungen im Wert von 24 Millionen Dollar ignoriert und den Opfern 8,5 Millionen Dollar gestohlen wurden
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Informationen kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →
