How do scam teams recruit and organize?

Teams like MercuryTeam and WasabiSquad recruit through Russian-language forums (lolz.live), using Telegram bots for onboarding and Google Spreadsheets for tracking victims and revenue. The mentor model ensures new recruits are trained before operating independently.

Can scam operations actually be disrupted?

Yes. 717Team's archived status in PhishDestroy's ScamIntelLogs is direct proof that intelligence gathering, evidence preservation, and coordinated reporting can shut down operations.

What is the connection between different scam teams?

Investigation revealed MercuryTeam and WasabiSquad share the same Google Spreadsheet — indicating either the same operators or a close alliance. 717Team's admin was linked to RublevkaTeam. These aren't isolated actors.

Zurück zu den Nachrichten

~12 Min. Lesezeit | Untersuchung

Betrügerische Gruppen im Vergleich: Die Vorgehensweisen von MercuryTeam, WasabiSquad und 717Team

Hinter jeder Schlagzeile über Milliardenbeträge verbergen sich Hunderte solcher Teams. Drei Fallstudien zur „Mittelklasse“ des Betrugs – wie mittelgroße Betrügerteams rekrutieren, operieren und zerschlagen werden. MercuryTeam betreibt Betrug mit doppelten Bots in Börsen- und Casinomilieus. WasabiSquad setzt eine dreifache Strategie ein. 717Team wurde zerschlagen – ein Beweis dafür, dass OSINT-Maßnahmen wirken.

11 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence

3 Teams wurden untersucht Gemeinsames Google-Tabellenblatt 1 Team gestört

Untersuchte Teams

717 erfasste Teammitglieder

Identifizierte Geldbörsen

2.946 $

Bestätigt: Abgewickelt (717Team)

Die Mittelschicht der Betrüger

Wenn Ermittlungen wegen Krypto-Betrugs Schlagzeilen machen, sind die Zahlen erschütternd – 10-Millionen-Dollar-Mentorenimperien, „Rug Pulls“ in Milliardenhöhe, staatlich geförderte Geldwäschernetzwerke. Doch hinter diesen aufsehenerregenden Machenschaften verbirgt sich ein riesiges Ökosystem von Betrügerteams der mittleren Kategorie die zusammen enormen Schaden anrichten, während sie unter dem Radar bleiben.

Es handelt sich hierbei nicht um Einzeltäter. Sie sind gut organisiert, rekrutieren über Foren, nutzen Telegram-Bots zur Automatisierung und erfassen ihre Opfer in Google-Tabellen, so wie jedes seriöse Vertriebsteam seine Leads erfasst. Sie stehen für die die operative Mittelschicht der Cyberkriminalität — ausgefeilt genug, um skalierbar zu sein, und klein genug, um nicht aufzufallen.

Diese Untersuchung befasst sich mit drei solchen Teams, die in PhishDestroy's Betrugs-Protokolle Repository:

MercuryTeam

Status: Aktiv. Ein Dual-Vektor-Betrug, bei dem über zwei Telegram-Bots gleichzeitig Börsenbetrug und Casino-Betrug betrieben wird. Russischsprachige, mentorengestützte Struktur.

Wasabi-Truppe

Status: Aktiv. Ein dreigleisiger Betrug, der Opfer über gefälschte Börsen, Glücksspielplattformen und Anlage-Bots ins Visier nimmt. Nutzt die gleiche Infrastruktur wie MercuryTeam.

717Team

Status: ARCHIVIERT. Eine 125-köpfige Organisation wurde durch Informationsbeschaffung und koordinierte Meldungen zerschlagen. Ein Beweis dafür, dass Präventivmaßnahmen wirken.

Wichtigste Erkenntnis

MercuryTeam und WasabiSquad nutzen dieselbe URL für die Google-Tabelle — ein Hinweis darauf, dass es sich entweder um dieselben Akteure oder um ein eng abgestimmtes Bündnis handelt.

Warum Mannschaften aus dem Mittelfeld wichtig sind

Für jede Schlagzeile über eine Milliarde Dollar gibt es Hunderte von Teams wie diese Sie sind täglich aktiv. Sie werben aggressiv neue Mitglieder an, passen ihre Vorgehensweise schnell an und erbeuten gemeinsam Millionenbeträge von Opfern weltweit. Um sie in großem Maßstab zu zerschlagen, ist es unerlässlich, ihre Struktur zu verstehen.

MercuryTeam: Dual-Vektor-Operationen

MercuryTeam betreibt eine Dual-Vektor-Betrugsmodell — die gleichzeitige Durchführung von Börsenbetrug und Casino-Betrug über zwei eigens dafür eingerichtete Telegram-Bots. Dieser Ansatz maximiert die Reichweite unter den Opfern: Nutzer, die nicht auf eine gefälschte Börse hereinfallen würden, lassen sich möglicherweise von einem Casino-Angebot locken und umgekehrt.

Telegram-Bot-Infrastruktur

Bot	Telegram-Handel	Bot-ID	Vektor
Hauptbot	@MercuryTeam_bot	6631580796	Börsenbetrug
Casino-Bot	@MercuryCasi_bot	6431207710	Betrug im Casino

Die Dual-Bot-Architektur ist kein Zufall. Durch die Aufteilung des Börsen- und des Casino-Betriebs auf separate Bots erreicht MercuryTeam operative Aufteilung — Wenn ein Bot gemeldet oder gesperrt wird, funktioniert der andere weiterhin. Die Opfer interagieren mit dem Bot, der ihrem Schwachstellenprofil entspricht.

Organisationsstruktur

MercuryTeam setzt eine Mentorenmodell mit Verzweigungen. Erfahrene Mitarbeiter schulen neue Mitarbeiter, die anschließend halbautonome Zweigstellen aufbauen. Diese franchiseähnliche Struktur ermöglicht es dem Team, schnell zu wachsen und gleichzeitig die Betriebssicherheit zu gewährleisten. Neue Mitarbeiter lernen von ihren zugewiesenen Mentoren Techniken zur Kontaktaufnahme mit Opfern, den Umgang mit Skripten und Ausstiegsverfahren, bevor sie eigenständig arbeiten.

Präsenz im Forum

MercuryTeam rekrutiert und wirbt über lolz.live, eines der größten russischsprachigen Betrugsforen. Ihr Rekrutierungsbeitrag: lolz.live/threads/6129774/

Opferverfolgung

Einnahmen und Opferdaten werden über ein gemeinsam genutzte Google-Tabelle — ein Detail, das bei der Betrachtung der Arbeitsweise von WasabiSquad von entscheidender Bedeutung ist.

Geheimdienstliche Einschätzung

MercuryTeam steht für ein Entwicklungen im Bereich des Betrugs im mittleren Segment: Der Dual-Vektor-Ansatz verdoppelt ihre Angriffsfläche, während das Mentor-Modell für eine einheitliche Qualität in allen Zweigen sorgt. Russischsprachige Operation, deren gesamte Koordination über Telegram erfolgt. Alle Beweise sind in den ScamIntelLogs gespeichert.

WasabiSquad: Dreifache Bedrohung

Während MercuryTeam zwei Vektoren ausführt, treibt WasabiSquad es auf drei — indem gefälschte Börsen, Glücksspielplattformen und Anlage-Bots zu einem einzigen Betrugsmodell kombiniert werden. Dieser vielschichtige Ansatz zielt auf völlig unterschiedliche Opferpsychologien ab: den Krypto-Händler, den Glücksspieler und den passiven Anleger.

Bot- und Web-Infrastruktur

Vermögenswert	Anmelden	Typ
Hauptbot	@WasabiSquad_Bot	Telegram-Bot (ID: 7380099926)
Website	wasabihub.one	Webplattform
Forum-Thema	lolz.live/threads/7933252/	Personalbeschaffung & Werbung

Drei Angriffsvektoren

Börsenbetrug

Gefälschte Kryptowährungsbörsen, die darauf ausgelegt sind, Einzahlungen zu stehlen. Die Opfer glauben, auf einer seriösen Plattform zu handeln, und zahlen Geld ein, das sie nicht mehr abheben können.

Glücksspielbetrug

Manipulierte Glücksspielplattformen, die Gewinne versprechen, aber vor Auszahlungen „Verifizierungs-Einzahlungen“ verlangen – Einzahlungen, die sofort abgezogen werden.

Betrug durch Investment-Bots

Automatisierte Anlage-Bots, die garantierte Renditen versprechen. Die Opfer zahlen Kryptowährung ein, in der Erwartung, Gewinne aus dem algorithmischen Handel zu erzielen, erhalten aber nichts.

Der Tabellenkalkulations-Link

WasabiSquad nutzt dieselbe Google-Tabelle wie MercuryTeam zur Erfassung von Opfern und Einnahmen. Dies ist die wichtigste Erkenntnis dieser Untersuchung.

„Dieselbe Tabelle. Dieselben Spalten zur Nachverfolgung. Dieselben Formeln zur Umsatzberechnung. Entweder handelt es sich um dieselben Leute, die sich nur eine andere Maske aufgesetzt haben, oder sie vertrauen einander so sehr, dass sie ihre gesamte Opferdatenbank miteinander teilen.“

— PhishDestroy-Risikobewertung

Überschneidungen bei kritischen Infrastrukturen

Die gemeinsame Google-Tabelle von MercuryTeam und WasabiSquad ist kein unbedeutendes technisches Detail – sie ist Zeichen der operativen Einheit. Zwei Teams mit unterschiedlichen Marken, verschiedenen Telegram-Bots und separaten Forenthreads nutzen dasselbe Backend-Dokument, um Opfer und Einnahmen zu erfassen. Dies deutet entweder darauf hin, dass die gleichen Betreiber, die beide Marken führen oder ein formelles Bündnis mit gemeinsamer finanzieller Infrastruktur.

717Team: Der Beweis, dass Disruption funktioniert

Von den drei in dieser Untersuchung untersuchten Teams nimmt 717Team eine Sonderstellung ein: Es wurde archiviert. In der Terminologie von ScamIntelLogs bedeutet „archiviert“, dass die Aktivitäten unterbunden wurden und das Team keine Betrugsaktivitäten mehr ausübt. Dies ist kein theoretischer Erfolg – es ist ein dokumentierter Beweis dafür, dass Informationsbeschaffung, Beweissicherung und koordinierte Meldungen organisierten Betrug unterbinden können.

Das 717Team in Zahlen

Verfolgte Mitglieder

Identifizierte Geldbörsen

2.946 $

Bestätigt: Entleert

ARCHIVIERT

Betriebsstatus

Admin- und Netzwerk-Links

Rolle	Anmelden	Details
Admin	@imdebank	Telegram-ID: 7149807602
Netzwerkverbindung	RublevkaTeam	Admin @imdebank hat einen Link zu dieser separaten Aktion gepostet
Bot	@team717_bot	Haupt-Telegram-Bot (derzeit inaktiv)
Forum	lolz.live	Zentrale für Personalbeschaffung und Koordination

Domain-Infrastruktur (12+ Domains)

Domain	Zweck
checkscore.cc	Hauptplattform für Betrugsfälle
cryptomus-payment.com	Gefälschtes Zahlungsportal
check-score.ru	Variante, die auf Russland abzielt
+ 9 weitere Domains, die in ScamIntelLogs dokumentiert sind

Warum Archivierung wichtig ist

Der Archivierungsstatus von 717Team ist der wichtigster Datenpunkt in dieser gesamten Untersuchung. Dies zeigt, dass Betrügerteams der mittleren Größenordnung kann durch systematische Informationsbeschaffung gestört werden. Der erfolgreiche Vorgehensweise: (1) Infrastruktur identifizieren, (2) Wallets und Mitglieder nachverfolgen, (3) Beweismittel sichern, (4) plattformübergreifende Berichterstattung koordinieren. Die bestätigte Abflüsse in Höhe von 2.946,25 $ stellen dokumentierte Verluste dar – die tatsächliche Summe dürfte höher gewesen sein, doch die Operation wurde gestoppt, bevor sie weiter an Umfang gewinnen konnte.

Die RublevkaTeam-Verbindung

Admin @imdebank (ID: 7149807602) wurde verknüpft mit RublevkaTeam, eine weitere Betrugsmasche, die in unserem Russischer TON-Betrug Untersuchung. Diese teamübergreifende Vernetzung untermauert eine zentrale Erkenntnis: Diese Operationen finden nicht isoliert statt. Die Akteure wechseln zwischen den Teams, nutzen gemeinsame Infrastruktur und unterhalten Netzwerke, die auch bei Störungen einzelner Teams weiterbestehen.

Die gemeinsame Infrastruktur

Betrachtet man diese drei Teams nebeneinander, so zeigt sich etwas weitaus Bedeutenderes als einzelne Operationen – es zeigt sich eine Netzwerk. Gemeinsame Tools, gemeinsame Plattformen, gemeinsame Dokumente und in mindestens einem Fall eine direkte personelle Verbindung zwischen den Teams.

Vergleichende Analyse

Attribut	MercuryTeam	Wasabi-Truppe	717Team
Angriffsvektoren	Börse + Casino	Börse + Glücksspiel + Investitionen	Umtausch + Scheinzahlungen
Forum	lolz.live	lolz.live	lolz.live
Telegram-Bots	2 bots	1 Knochen + Website	eine Flasche
Verfolgung	Google Tabellen	SAME-Tabelle	Interne Nachverfolgung
Sprache	Russisch	Russisch	Russisch
Status	Aktiv	Aktiv	Archiviert

Gemeinsame Infrastrukturpunkte

Gemeinsames Google-Tabellenblatt — MercuryTeam und WasabiSquad verwenden dasselbe Dokument zur Erfassung von Opfern und Einnahmen
lolz.live als zentrale Anlaufstelle — Alle drei Teams rekrutieren, werben und koordinieren ihre Aktivitäten über dasselbe russischsprachige Forum
Telegram als operative Ebene — Jedes Team nutzt Telegram-Bots für die Einbindung von Opfern und die Kommunikation mit den Betreibern
Teammitglieder aus verschiedenen Teams — Der Administrator des 717Team @imdebank wurde mit dem RublevkaTeam verknüpft, was die Mobilität der Betreiber zwischen den Teams verdeutlicht
Russischsprachige Aktivitäten — Alle Teams arbeiten auf Russisch, was auf eine gemeinsame geografische und kulturelle Herkunft hindeutet

„Sie tauschen Tabellen aus. Sie tauschen Foren aus. Sie tauschen Techniken aus. Das Einzige, was sie nicht teilen, ist ihr Markenname – und selbst dieser Unterschied könnte künstlich sein.“

— Zusammenfassung der PhishDestroy-Analyse

Keine isolierten Akteure

Die Beweislage ist eindeutig: MercuryTeam, WasabiSquad und 717Team sind keine unabhängigen Gruppen, die zufällig ähnliche Methoden anwenden. Die gemeinsam genutzte Google-Tabelle zwischen Mercury und Wasabi, das gemeinsames Forum in allen drei Bereichen, und die Personelle Überschneidungen Alle Verbindungen zwischen dem 717Team und dem RublevkaTeam deuten auf ein vernetztes Ökosystem hin. Ein Team zu stören, ohne das Netzwerk zu verstehen, birgt das Risiko, dass die Betreiber einfach zu einer anderen Marke wechseln.

Nachweise und Unterlagen

Alle in dieser Untersuchung genannten Erkenntnisse wurden im Repository „ScamIntelLogs“ von PhishDestroy gespeichert. Jedes Team verfügt über ein eigenes Verzeichnis mit Beweismaterial, das Bot-IDs, Wallet-Adressen, Screenshots aus Foren, Domain-Listen und Strukturanalysen enthält.

MercuryTeam-Beweismaterial

Doppelte Bot-IDs, Forenthread, Dokumentation zur Mentorenstruktur, Referenz-Tabelle

WasabiSquad-Beweismaterial

„Triple-Threat“-Analyse, Dokumentation auf wasabihub.one, Nachweis anhand einer gemeinsam genutzten Tabelle

717Team Evidence (Archiviert)

125 Mitglieder, 85 Wallets, 2.946,25 $ abgezogen, mehr als 12 Domains, Admin @imdebank mit RublevkaTeam verknüpft

Das gesamte ScamIntelLogs-Repository

Vollständiges Archiv für Bedrohungsinformationen – alle Teams, alle Beweismittel, versionsverwaltet

Das Team 717 wurde gestoppt. Die anderen können es auch.

Informationsbeschaffung funktioniert. Die Sicherung von Beweismitteln funktioniert. Eine koordinierte Berichterstattung funktioniert. Der archivierte Status von 717Team ist der lebende Beweis dafür.
Helft uns, den gleichen Druck auf MercuryTeam, WasabiSquad und alle anderen noch aktiven Betrügerteams aus dem mittleren Segment auszuüben.

ScamIntelLogs-Repository Team „Betrug melden“ Domain-Analysator

#ScamTeams #MercuryTeam #WasabiSquad #717Team #Investigation