Zum Hauptinhalt springen
Zurück zu den Nachrichten

~12 Min. Lesezeit | Untersuchung

Betrugsgruppen im Vergleich: Die Vorgehensweisen von MercuryTeam, WasabiSquad und 717Team

Hinter jeder Schlagzeile über einen Milliarden-Dollar-Betrug stehen Hunderte solcher Teams. Drei Fallstudien zur „Mittelklasse“ des Betrugs – wie mittelgroße Betrügerteams rekrutieren, operieren und zerschlagen werden. MercuryTeam betreibt Betrug mit Dual-Bot-Börsen und Casinos. WasabiSquad setzt eine dreifache Bedrohung ein. 717Team wurde zerschlagen – ein Beweis dafür, dass OSINT-Maßnahmen wirken.

3 Teams wurden untersuchtGemeinsam genutzte Google-Tabelle1 Team gestört
Einsätze des Betrugsbekämpfungsteams
3
Untersuchte Teams
0
717 erfasste Teammitglieder
0
Identifizierte Geldbörsen
$2,946
Bestätigt: Entleert (717Team)

Die Mittelschicht der Betrüger

Wenn Ermittlungen wegen Krypto-Betrugs in die Schlagzeilen geraten, sind die Zahlen atemberaubend – 10-Millionen-Dollar-Mentoring-Imperien, „Rug Pulls“ in Milliardenhöhe, staatlich geförderte Geldwäschernetzwerke. Doch hinter diesen aufsehenerregenden Machenschaften verbirgt sich ein riesiges Ökosystem aus Betrügerteams der mittleren Kategorie die zusammen enormen Schaden anrichten, dabei aber unter dem Radar bleiben.

Das sind keine Einzeltäter. Sie sind organisiert, rekrutieren über Foren, nutzen Telegram-Bots zur Automatisierung und erfassen ihre Opfer in Google-Tabellen, so wie jedes seriöse Vertriebsteam seine Leads erfasst. Sie stehen für die die operative Mittelschicht der Cyberkriminalität — ausgefeilt genug, um skalierbar zu sein, und klein genug, um nicht aufzufallen.

Diese Untersuchung befasst sich mit drei solchen Teams, die in PhishDestroy's ScamIntelLogs Repository:

MercuryTeam

Status: Aktiv. Dual-Vektor-Betrug, bei dem über zwei Telegram-Bots gleichzeitig Börsenbetrug und Casino-Betrug betrieben werden. Russischsprachige, mentorengestützte Struktur.

WasabiSquad

Status: Aktiv. Dreifachbetrug, bei dem Opfer über gefälschte Börsen, Glücksspielplattformen und Investitions-Bots ins Visier genommen werden. Nutzt die gleiche Infrastruktur wie MercuryTeam.

717Team

Status: ARCHIVIERT. Durch Informationsbeschaffung und koordinierte Meldungen konnte eine 125-köpfige Organisation zerschlagen werden. Ein Beweis dafür, dass Präventivmaßnahmen wirken.

Wichtigste Erkenntnis

MercuryTeam und WasabiSquad nutzen dieselbe URL für die Google-Tabelle — ein Hinweis entweder auf identische Akteure oder auf ein eng abgestimmtes Bündnis.

Warum Teams aus dem Mittelfeld wichtig sind

Für jede Schlagzeile über eine Milliarde Dollar gibt es Hunderte von Teams wie diese Sie sind täglich aktiv. Sie werben aggressiv neue Mitglieder an, passen ihre Vorgehensweise rasch an und ergaunern gemeinsam Millionen von Opfern weltweit. Um sie in großem Maßstab zu zerschlagen, ist es unerlässlich, ihre Struktur zu verstehen.

MercuryTeam: Dual-Vektor-Operationen

MercuryTeam betreibt ein Dual-Vektor-Betrugsmodell — gleichzeitige Durchführung von Börsen- und Casino-Betrügereien über zwei eigens dafür eingerichtete Telegram-Bots. Dieser Ansatz maximiert die Reichweite unter den Opfern: Nutzer, die nicht auf eine gefälschte Börse hereinfallen würden, lassen sich möglicherweise von einem Casino-Angebot locken und umgekehrt.

Telegram-Bot-Infrastruktur

BotTelegram-BenutzernameBot-IDVektor
Hauptbot@MercuryTeam_bot6631580796Börsenbetrug
Casino-Bot@MercuryCasi_bot6431207710Betrug im Casino

Die Dual-Bot-Architektur ist kein Zufall. Durch die Aufteilung des Börsen- und des Casino-Betriebs auf separate Bots erreicht MercuryTeam operative Aufteilung — Wenn ein Bot gemeldet oder gesperrt wird, funktioniert der andere weiter. Die Opfer interagieren mit dem Bot, der ihrem Schwachstellenprofil entspricht.

Organisationsstruktur

MercuryTeam setzt eine Mentorenmodell mit Verzweigungen. Erfahrene Mitarbeiter schulen neue Mitarbeiter, die anschließend halbautonome Zweigstellen aufbauen. Diese franchiseähnliche Struktur ermöglicht es dem Team, schnell zu wachsen und gleichzeitig die operative Sicherheit zu gewährleisten. Neue Mitarbeiter lernen von ihren zugewiesenen Mentoren Techniken zur Kontaktaufnahme mit Opfern, den Umgang mit Skripten und Rückzugsverfahren, bevor sie eigenständig arbeiten.

Präsenz im Forum

MercuryTeam rekrutiert und schaltet Anzeigen über lolz.live, eines der größten russischsprachigen Betrugsforen. Ihr Rekrutierungsbeitrag: lolz.live/threads/6129774/

Opferverfolgung

Einnahmen und Opferzahlen werden über ein freigegebene Google-Tabelle — ein Detail, das bei der Betrachtung der Arbeitsweise von WasabiSquad von entscheidender Bedeutung ist.

Nachrichtendienstliche Einschätzung

MercuryTeam steht für ein Entwicklungen im Bereich des Betrugs im mittleren Segment: Der Dual-Vektor-Ansatz verdoppelt ihre Angriffsfläche, während das Mentor-Modell eine einheitliche Qualität über alle Zweige hinweg gewährleistet. Russischsprachige Operation, deren gesamte Koordination über Telegram erfolgt. Alle Beweise sind in den ScamIntelLogs gespeichert.

WasabiSquad: Dreifache Bedrohung

Während MercuryTeam zwei Vektoren ausführt, treibt WasabiSquad es auf drei — dabei werden gefälschte Börsen, Glücksspielplattformen und Anlage-Bots zu einem einzigen Betrugsmodell kombiniert. Dieser mehrgleisige Ansatz zielt auf völlig unterschiedliche Opferpsychologien ab: den Krypto-Händler, den Glücksspieler und den passiven Anleger.

Bot- und Web-Infrastruktur

VermögenswertBezeichnerTyp
Hauptbot@WasabiSquad_BotTelegram-Bot (ID: 7380099926)
Websitewasabihub.oneWebplattform
Forum-Beitraglolz.live/threads/7933252/Personalbeschaffung und Werbung

Drei Angriffsvektoren

Börsenbetrug

Gefälschte Kryptowährungs-Handelsplattformen, die darauf ausgelegt sind, Einzahlungen zu stehlen. Die Opfer glauben, auf einer seriösen Plattform zu handeln, und zahlen Geld ein, das sie anschließend nicht mehr abheben können.

Glücksspielbetrug

Manipulierte Glücksspielplattformen, die Gewinne versprechen, aber vor Auszahlungen „Verifizierungs-Einzahlungen“ verlangen – Einzahlungen, die sofort abgezogen werden.

Betrug mit Investment-Bots

Automatisierte Investment-Bots, die garantierte Renditen versprechen. Die Opfer zahlen Kryptowährung ein, in der Erwartung, Gewinne aus dem algorithmischen Handel zu erzielen, und gehen leer aus.

Der Link zur Tabellenkalkulation

WasabiSquad nutzt dieselbe Google-Tabelle wie MercuryTeam zur Erfassung von Opfern und Einnahmen. Dies ist die wichtigste Erkenntnis dieser Untersuchung.

„Dieselbe Tabelle. Dieselben Spalten zur Nachverfolgung. Dieselben Formeln zur Umsatzberechnung. Entweder handelt es sich um dieselben Personen, die unterschiedliche Masken tragen, oder sie vertrauen einander so sehr, dass sie ihre gesamte Opferdatenbank miteinander teilen.“

— PhishDestroy-Risikobewertung

Überschneidungen bei kritischen Infrastrukturen

Die gemeinsame Google-Tabelle von MercuryTeam und WasabiSquad ist kein unbedeutendes technisches Detail – sie ist Anzeichen für operative Einheit. Zwei Teams mit unterschiedlichen Marken, verschiedenen Telegram-Bots und separaten Forenthreads nutzen dasselbe Backend-Dokument, um Opfer und Einnahmen zu erfassen. Dies deutet entweder auf beide Marken werden von denselben Betreibern geführt oder ein formelles Bündnis mit gemeinsamer finanzieller Infrastruktur.

717Team: Der Beweis, dass Disruption funktioniert

Von den drei in dieser Untersuchung untersuchten Teams nimmt 717Team eine Sonderstellung ein: Es wurde archiviert.. In der Terminologie von ScamIntelLogs bedeutet „archiviert“, dass die Aktivitäten unterbunden wurden und das Team keine Betrugsaktivitäten mehr ausübt. Dies ist kein theoretischer Erfolg – es ist ein dokumentierter Beweis dafür, dass Informationsbeschaffung, Beweissicherung und koordinierte Meldungen organisierten Betrug unterbinden können.

Das 717Team in Zahlen

0
Verfolgte Mitglieder
0
Identifizierte Geldbörsen
$2,946
Bestätigt: Entleert
ARCHIVIERT
Betriebsstatus

Admin- und Netzwerk-Links

RolleBezeichnerDetails
Admin@imdebankTelegram-ID: 7149807602
NetzwerkverbindungRublevkaTeamAdmin @imdebank hat auf diesen separaten Vorgang verwiesen
Bot@team717_botHaupt-Telegram-Bot (derzeit inaktiv)
Forumlolz.liveZentrale für Personalbeschaffung und Koordination

Domain-Infrastruktur (12+ Domains)

DomäneZweck
checkscore.ccHauptplattform für Betrugsfälle
cryptomus-payment.comGefälschtes Zahlungsportal
check-score.ruVariante, die auf Russland abzielt
+ 9 weitere Domains, die in ScamIntelLogs dokumentiert sind

Warum Archivierung wichtig ist

Der Archivierungsstatus von 717Team lautet wichtigster Datenpunkt im Rahmen dieser gesamten Untersuchung. Dies zeigt, dass Betrügerteams mittlerer Größe kann durch systematische Informationsbeschaffung gestört werden. Der erfolgreiche Vorgehensweise: (1) Infrastruktur identifizieren, (2) Wallets und Mitglieder nachverfolgen, (3) Beweismittel sichern, (4) die Berichterstattung plattformübergreifend koordinieren. Die bestätigte Entnahme in Höhe von 2.946,25 US-Dollar entspricht den dokumentierten Verlusten – die tatsächliche Summe dürfte höher gewesen sein, doch die Operation wurde gestoppt, bevor sie weiter an Umfang gewinnen konnte.

Die RublevkaTeam-Verbindung

Admin @imdebank (ID: 7149807602) wurde verknüpft mit RublevkaTeam, eine separate Betrugsmasche, die in unserem Russischer TON-Betrug Ermittlungen. Diese teamübergreifenden Verbindungen untermauern eine zentrale Erkenntnis: Diese Operationen finden nicht isoliert statt. Die Akteure wechseln zwischen den Teams hin und her, nutzen gemeinsame Infrastruktur und unterhalten Netzwerke, die auch dann weiterbestehen, wenn einzelne Teams zerschlagen werden.

Die gemeinsam genutzte Infrastruktur

Betrachtet man diese drei Teams nebeneinander, so zeigt sich etwas weitaus Bedeutenderes als einzelne Operationen – es zeigt sich eine Netzwerk. Gemeinsame Tools, gemeinsame Plattformen, gemeinsame Dokumente und in mindestens einem Fall eine direkte personelle Verbindung zwischen den Teams.

Vergleichende Analyse

AttributMercuryTeamWasabiSquad717Team
AngriffsvektorenBörse + CasinoBörse + Glücksspiel + InvestitionenUmtausch + gefälschte Zahlungen
Forumlolz.livelolz.livelolz.live
Telegram-Bots2 Bots1 Bot + Website1 Bot
VerfolgungGoogle TabellenSAME-TabelleInterne Nachverfolgung
SpracheRussischRussischRussisch
StatusAktivAktivArchiviert

Gemeinsame Infrastrukturpunkte

  • Gemeinsam genutzte Google-Tabelle — MercuryTeam und WasabiSquad verwenden dasselbe Dokument zur Erfassung von Opfern und Einnahmen
  • lolz.live als zentrale Drehscheibe — Alle drei Teams rekrutieren, veröffentlichen Anzeigen und koordinieren ihre Aktivitäten über dasselbe russischsprachige Forum
  • Telegram als operative Ebene — Jedes Team nutzt Telegram-Bots für die Einbindung von Opfern und die Kommunikation mit den Betreibern
  • Teamübergreifendes Personal — Der Administrator des 717Team, @imdebank, wurde mit dem RublevkaTeam verknüpft, was die Mobilität der Mitarbeiter zwischen den Teams verdeutlicht
  • Russischsprachige Aktivitäten — Alle Teams arbeiten auf Russisch, was auf eine gemeinsame geografische und kulturelle Herkunft hindeutet
„Sie tauschen Tabellenkalkulationen aus. Sie tauschen sich in Foren aus. Sie tauschen Techniken aus. Das Einzige, was sie nicht teilen, ist ihr Markenname – und selbst dieser Unterschied könnte künstlich sein.“

— Zusammenfassung der PhishDestroy-Analyse

Keine isolierten Akteure

Die Beweislage ist eindeutig: MercuryTeam, WasabiSquad und 717Team sind keine unabhängigen Gruppen, die zufällig ähnliche Methoden anwenden. Die freigegebene Google-Tabelle zwischen Mercury und Wasabi, dem gemeinsames Forum in allen drei Bereichen, und die Personalüberschneidungen Alle Aspekte zwischen dem 717Team und dem RublevkaTeam deuten auf ein miteinander vernetztes Ökosystem hin. Wenn man ein Team ausschaltet, ohne das Netzwerk zu verstehen, läuft man Gefahr, dass die Betreiber einfach zu einer anderen Marke wechseln.

Nachweise und Unterlagen

Alle in dieser Untersuchung genannten Informationen wurden im „ScamIntelLogs“-Repository von PhishDestroy gespeichert. Jedes Team verfügt über ein eigenes Verzeichnis mit Beweismaterial, das Bot-IDs, Wallet-Adressen, Screenshots aus Foren, Domain-Listen und Strukturanalysen enthält.

Das 717-Team wurde gestoppt. Die anderen können es auch.

Die Informationsbeschaffung funktioniert. Die Sicherung von Beweismitteln funktioniert. Die koordinierte Berichterstattung funktioniert. Der Archivstatus von 717Team ist der lebende Beweis dafür.
Helft uns dabei, den gleichen Druck auf MercuryTeam, WasabiSquad und alle anderen noch aktiven Betrügerteams der mittleren Größenordnung auszuüben.

#ScamTeams#MercuryTeam#WasabiSquad#717Team#Investigation

Verwandte Forschungsarbeiten

Das Projekt: Ein 10-Millionen-Dollar-Betrugsimperium im Bereich Mentoring
Wie eine einzige Aktion ein 10-Millionen-Dollar-Mentoring-Imperium aufbaute, das anderen beibrachte, in großem Stil Betrug zu begehen.
Die Flut gefälschter Casinos: 5 Plattformen entlarvt
Ein Blick hinter die Kulissen der betrügerischen Casino-Plattformen – OFEDREX, LuxardGambling, Olympus Panel und BitXLucky entlarvt.
RublevkaTeam: Russischer TON-Betrug aufgedeckt
Ein detaillierter Einblick in den TON-Blockchain-Betrug von RublevkaTeam – in Verbindung mit dem 717Team-Administrator @imdebank.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen den Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →