Die Mittelschicht der Betrüger
Wenn Ermittlungen wegen Krypto-Betrugs in die Schlagzeilen geraten, sind die Zahlen atemberaubend – 10-Millionen-Dollar-Mentoring-Imperien, „Rug Pulls“ in Milliardenhöhe, staatlich geförderte Geldwäschernetzwerke. Doch hinter diesen aufsehenerregenden Machenschaften verbirgt sich ein riesiges Ökosystem aus Betrügerteams der mittleren Kategorie die zusammen enormen Schaden anrichten, dabei aber unter dem Radar bleiben.
Das sind keine Einzeltäter. Sie sind organisiert, rekrutieren über Foren, nutzen Telegram-Bots zur Automatisierung und erfassen ihre Opfer in Google-Tabellen, so wie jedes seriöse Vertriebsteam seine Leads erfasst. Sie stehen für die die operative Mittelschicht der Cyberkriminalität — ausgefeilt genug, um skalierbar zu sein, und klein genug, um nicht aufzufallen.
Diese Untersuchung befasst sich mit drei solchen Teams, die in PhishDestroy's ScamIntelLogs Repository:
MercuryTeam
Status: Aktiv. Dual-Vektor-Betrug, bei dem über zwei Telegram-Bots gleichzeitig Börsenbetrug und Casino-Betrug betrieben werden. Russischsprachige, mentorengestützte Struktur.
WasabiSquad
Status: Aktiv. Dreifachbetrug, bei dem Opfer über gefälschte Börsen, Glücksspielplattformen und Investitions-Bots ins Visier genommen werden. Nutzt die gleiche Infrastruktur wie MercuryTeam.
717Team
Status: ARCHIVIERT. Durch Informationsbeschaffung und koordinierte Meldungen konnte eine 125-köpfige Organisation zerschlagen werden. Ein Beweis dafür, dass Präventivmaßnahmen wirken.
Wichtigste Erkenntnis
MercuryTeam und WasabiSquad nutzen dieselbe URL für die Google-Tabelle — ein Hinweis entweder auf identische Akteure oder auf ein eng abgestimmtes Bündnis.
Warum Teams aus dem Mittelfeld wichtig sind
Für jede Schlagzeile über eine Milliarde Dollar gibt es Hunderte von Teams wie diese Sie sind täglich aktiv. Sie werben aggressiv neue Mitglieder an, passen ihre Vorgehensweise rasch an und ergaunern gemeinsam Millionen von Opfern weltweit. Um sie in großem Maßstab zu zerschlagen, ist es unerlässlich, ihre Struktur zu verstehen.
MercuryTeam: Dual-Vektor-Operationen
MercuryTeam betreibt ein Dual-Vektor-Betrugsmodell — gleichzeitige Durchführung von Börsen- und Casino-Betrügereien über zwei eigens dafür eingerichtete Telegram-Bots. Dieser Ansatz maximiert die Reichweite unter den Opfern: Nutzer, die nicht auf eine gefälschte Börse hereinfallen würden, lassen sich möglicherweise von einem Casino-Angebot locken und umgekehrt.
Telegram-Bot-Infrastruktur
| Bot | Telegram-Benutzername | Bot-ID | Vektor |
|---|
| Hauptbot | @MercuryTeam_bot | 6631580796 | Börsenbetrug |
| Casino-Bot | @MercuryCasi_bot | 6431207710 | Betrug im Casino |
Die Dual-Bot-Architektur ist kein Zufall. Durch die Aufteilung des Börsen- und des Casino-Betriebs auf separate Bots erreicht MercuryTeam operative Aufteilung — Wenn ein Bot gemeldet oder gesperrt wird, funktioniert der andere weiter. Die Opfer interagieren mit dem Bot, der ihrem Schwachstellenprofil entspricht.
Organisationsstruktur
MercuryTeam setzt eine Mentorenmodell mit Verzweigungen. Erfahrene Mitarbeiter schulen neue Mitarbeiter, die anschließend halbautonome Zweigstellen aufbauen. Diese franchiseähnliche Struktur ermöglicht es dem Team, schnell zu wachsen und gleichzeitig die operative Sicherheit zu gewährleisten. Neue Mitarbeiter lernen von ihren zugewiesenen Mentoren Techniken zur Kontaktaufnahme mit Opfern, den Umgang mit Skripten und Rückzugsverfahren, bevor sie eigenständig arbeiten.
Präsenz im Forum
MercuryTeam rekrutiert und schaltet Anzeigen über lolz.live, eines der größten russischsprachigen Betrugsforen. Ihr Rekrutierungsbeitrag: lolz.live/threads/6129774/
Opferverfolgung
Einnahmen und Opferzahlen werden über ein freigegebene Google-Tabelle — ein Detail, das bei der Betrachtung der Arbeitsweise von WasabiSquad von entscheidender Bedeutung ist.
Nachrichtendienstliche Einschätzung
MercuryTeam steht für ein Entwicklungen im Bereich des Betrugs im mittleren Segment: Der Dual-Vektor-Ansatz verdoppelt ihre Angriffsfläche, während das Mentor-Modell eine einheitliche Qualität über alle Zweige hinweg gewährleistet. Russischsprachige Operation, deren gesamte Koordination über Telegram erfolgt. Alle Beweise sind in den ScamIntelLogs gespeichert.
WasabiSquad: Dreifache Bedrohung
Während MercuryTeam zwei Vektoren ausführt, treibt WasabiSquad es auf drei — dabei werden gefälschte Börsen, Glücksspielplattformen und Anlage-Bots zu einem einzigen Betrugsmodell kombiniert. Dieser mehrgleisige Ansatz zielt auf völlig unterschiedliche Opferpsychologien ab: den Krypto-Händler, den Glücksspieler und den passiven Anleger.
Bot- und Web-Infrastruktur
| Vermögenswert | Bezeichner | Typ |
|---|
| Hauptbot | @WasabiSquad_Bot | Telegram-Bot (ID: 7380099926) |
| Website | wasabihub.one | Webplattform |
| Forum-Beitrag | lolz.live/threads/7933252/ | Personalbeschaffung und Werbung |
Drei Angriffsvektoren
Börsenbetrug
Gefälschte Kryptowährungs-Handelsplattformen, die darauf ausgelegt sind, Einzahlungen zu stehlen. Die Opfer glauben, auf einer seriösen Plattform zu handeln, und zahlen Geld ein, das sie anschließend nicht mehr abheben können.
Glücksspielbetrug
Manipulierte Glücksspielplattformen, die Gewinne versprechen, aber vor Auszahlungen „Verifizierungs-Einzahlungen“ verlangen – Einzahlungen, die sofort abgezogen werden.
Betrug mit Investment-Bots
Automatisierte Investment-Bots, die garantierte Renditen versprechen. Die Opfer zahlen Kryptowährung ein, in der Erwartung, Gewinne aus dem algorithmischen Handel zu erzielen, und gehen leer aus.
Der Link zur Tabellenkalkulation
WasabiSquad nutzt dieselbe Google-Tabelle wie MercuryTeam zur Erfassung von Opfern und Einnahmen. Dies ist die wichtigste Erkenntnis dieser Untersuchung.
„Dieselbe Tabelle. Dieselben Spalten zur Nachverfolgung. Dieselben Formeln zur Umsatzberechnung. Entweder handelt es sich um dieselben Personen, die unterschiedliche Masken tragen, oder sie vertrauen einander so sehr, dass sie ihre gesamte Opferdatenbank miteinander teilen.“
— PhishDestroy-Risikobewertung
Überschneidungen bei kritischen Infrastrukturen
Die gemeinsame Google-Tabelle von MercuryTeam und WasabiSquad ist kein unbedeutendes technisches Detail – sie ist Anzeichen für operative Einheit. Zwei Teams mit unterschiedlichen Marken, verschiedenen Telegram-Bots und separaten Forenthreads nutzen dasselbe Backend-Dokument, um Opfer und Einnahmen zu erfassen. Dies deutet entweder auf beide Marken werden von denselben Betreibern geführt oder ein formelles Bündnis mit gemeinsamer finanzieller Infrastruktur.
717Team: Der Beweis, dass Disruption funktioniert
Von den drei in dieser Untersuchung untersuchten Teams nimmt 717Team eine Sonderstellung ein: Es wurde archiviert.. In der Terminologie von ScamIntelLogs bedeutet „archiviert“, dass die Aktivitäten unterbunden wurden und das Team keine Betrugsaktivitäten mehr ausübt. Dies ist kein theoretischer Erfolg – es ist ein dokumentierter Beweis dafür, dass Informationsbeschaffung, Beweissicherung und koordinierte Meldungen organisierten Betrug unterbinden können.
Das 717Team in Zahlen
0
Identifizierte Geldbörsen
$2,946
Bestätigt: Entleert
Admin- und Netzwerk-Links
| Rolle | Bezeichner | Details |
|---|
| Admin | @imdebank | Telegram-ID: 7149807602 |
| Netzwerkverbindung | RublevkaTeam | Admin @imdebank hat auf diesen separaten Vorgang verwiesen |
| Bot | @team717_bot | Haupt-Telegram-Bot (derzeit inaktiv) |
| Forum | lolz.live | Zentrale für Personalbeschaffung und Koordination |
Domain-Infrastruktur (12+ Domains)
| Domäne | Zweck |
|---|
| checkscore.cc | Hauptplattform für Betrugsfälle |
| cryptomus-payment.com | Gefälschtes Zahlungsportal |
| check-score.ru | Variante, die auf Russland abzielt |
| + 9 weitere Domains, die in ScamIntelLogs dokumentiert sind |
Warum Archivierung wichtig ist
Der Archivierungsstatus von 717Team lautet wichtigster Datenpunkt im Rahmen dieser gesamten Untersuchung. Dies zeigt, dass Betrügerteams mittlerer Größe kann durch systematische Informationsbeschaffung gestört werden. Der erfolgreiche Vorgehensweise: (1) Infrastruktur identifizieren, (2) Wallets und Mitglieder nachverfolgen, (3) Beweismittel sichern, (4) die Berichterstattung plattformübergreifend koordinieren. Die bestätigte Entnahme in Höhe von 2.946,25 US-Dollar entspricht den dokumentierten Verlusten – die tatsächliche Summe dürfte höher gewesen sein, doch die Operation wurde gestoppt, bevor sie weiter an Umfang gewinnen konnte.
Die RublevkaTeam-Verbindung
Admin @imdebank (ID: 7149807602) wurde verknüpft mit RublevkaTeam, eine separate Betrugsmasche, die in unserem Russischer TON-Betrug Ermittlungen. Diese teamübergreifenden Verbindungen untermauern eine zentrale Erkenntnis: Diese Operationen finden nicht isoliert statt. Die Akteure wechseln zwischen den Teams hin und her, nutzen gemeinsame Infrastruktur und unterhalten Netzwerke, die auch dann weiterbestehen, wenn einzelne Teams zerschlagen werden.
Die gemeinsam genutzte Infrastruktur
Betrachtet man diese drei Teams nebeneinander, so zeigt sich etwas weitaus Bedeutenderes als einzelne Operationen – es zeigt sich eine Netzwerk. Gemeinsame Tools, gemeinsame Plattformen, gemeinsame Dokumente und in mindestens einem Fall eine direkte personelle Verbindung zwischen den Teams.
Vergleichende Analyse
| Attribut | MercuryTeam | WasabiSquad | 717Team |
|---|
| Angriffsvektoren | Börse + Casino | Börse + Glücksspiel + Investitionen | Umtausch + gefälschte Zahlungen |
| Forum | lolz.live | lolz.live | lolz.live |
| Telegram-Bots | 2 Bots | 1 Bot + Website | 1 Bot |
| Verfolgung | Google Tabellen | SAME-Tabelle | Interne Nachverfolgung |
| Sprache | Russisch | Russisch | Russisch |
| Status | Aktiv | Aktiv | Archiviert |
Gemeinsame Infrastrukturpunkte
- Gemeinsam genutzte Google-Tabelle — MercuryTeam und WasabiSquad verwenden dasselbe Dokument zur Erfassung von Opfern und Einnahmen
- lolz.live als zentrale Drehscheibe — Alle drei Teams rekrutieren, veröffentlichen Anzeigen und koordinieren ihre Aktivitäten über dasselbe russischsprachige Forum
- Telegram als operative Ebene — Jedes Team nutzt Telegram-Bots für die Einbindung von Opfern und die Kommunikation mit den Betreibern
- Teamübergreifendes Personal — Der Administrator des 717Team, @imdebank, wurde mit dem RublevkaTeam verknüpft, was die Mobilität der Mitarbeiter zwischen den Teams verdeutlicht
- Russischsprachige Aktivitäten — Alle Teams arbeiten auf Russisch, was auf eine gemeinsame geografische und kulturelle Herkunft hindeutet
„Sie tauschen Tabellenkalkulationen aus. Sie tauschen sich in Foren aus. Sie tauschen Techniken aus. Das Einzige, was sie nicht teilen, ist ihr Markenname – und selbst dieser Unterschied könnte künstlich sein.“
— Zusammenfassung der PhishDestroy-Analyse
Keine isolierten Akteure
Die Beweislage ist eindeutig: MercuryTeam, WasabiSquad und 717Team sind keine unabhängigen Gruppen, die zufällig ähnliche Methoden anwenden. Die freigegebene Google-Tabelle zwischen Mercury und Wasabi, dem gemeinsames Forum in allen drei Bereichen, und die Personalüberschneidungen Alle Aspekte zwischen dem 717Team und dem RublevkaTeam deuten auf ein miteinander vernetztes Ökosystem hin. Wenn man ein Team ausschaltet, ohne das Netzwerk zu verstehen, läuft man Gefahr, dass die Betreiber einfach zu einer anderen Marke wechseln.
Nachweise und Unterlagen
Alle in dieser Untersuchung genannten Informationen wurden im „ScamIntelLogs“-Repository von PhishDestroy gespeichert. Jedes Team verfügt über ein eigenes Verzeichnis mit Beweismaterial, das Bot-IDs, Wallet-Adressen, Screenshots aus Foren, Domain-Listen und Strukturanalysen enthält.
MercuryTeam-Beweismaterial
Doppelte Bot-IDs, Forenthread, Dokumentation zur Mentorenstruktur, Referenz-Tabelle
WasabiSquad-Beweismaterial
„Triple-Threat“-Analyse, Dokumentation auf wasabihub.one, Nachweis anhand einer gemeinsam genutzten Tabelle
717Team Evidence (Archiviert)
125 Mitglieder, 85 Wallets, 2.946,25 $ abgezogen, mehr als 12 Domains, Admin @imdebank mit RublevkaTeam verknüpft
Das gesamte ScamIntelLogs-Repository
Vollständiges Archiv für Bedrohungsinformationen – alle Teams, alle Beweismittel, versionsverwaltet
Das 717-Team wurde gestoppt. Die anderen können es auch.
Die Informationsbeschaffung funktioniert. Die Sicherung von Beweismitteln funktioniert. Die koordinierte Berichterstattung funktioniert. Der Archivstatus von 717Team ist der lebende Beweis dafür.
Helft uns dabei, den gleichen Druck auf MercuryTeam, WasabiSquad und alle anderen noch aktiven Betrügerteams der mittleren Größenordnung auszuüben.
#ScamTeams#MercuryTeam#WasabiSquad#717Team#Investigation
Verwandte Forschungsarbeiten