What is TheProject scam operation?

TheProject is a Russian-language scam mentorship empire operating since 2021, claiming $10M+ in revenue. It operates as a 'scam university' where senior members train recruits to run fake casino, crypto drainer, and investment fraud operations.

How does TheProject's mentorship model work?

TheProject uses a hierarchical structure: administrators recruit mentors, mentors train workers (affiliates), workers target victims. Revenue flows upward. Mentors take a percentage of every scam their trainees execute.

What evidence links TheProject to other scam operations?

PhishDestroy's investigation found TheProject's infrastructure directly connected to OFEDREX (383 victims), LuxardGambling, and Olympus Panel. Shared credentials, overlapping domains, and leaked databases prove these operations are downstream products of TheProject's training pipeline.

Zurück zu den Nachrichten

Untersuchung zu betrügerischen Mentoring-Angeboten

Das Projekt: Ein Blick hinter die Kulissen eines seit 2021 bestehenden Mentoring-Imperiums, das Beträge in Höhe von 10 Millionen Dollar einbringt

Kein Betrugs-Tool – eine Betrugs-Universität. TheProject hat eine hierarchische Mentoren-Maschinerie aufgebaut: rekrutieren, ausbilden, einsetzen, Profit machen. Angegebener Umsatz von über 10 Millionen Dollar, seit 2021 wurden über 5.000 Mitglieder ausgebildet. Ihre Mentoren sind die Drahtzieher hinter Gambler, LuxardGambling und Olympus. Sie haben eine Schule gegründet, die Tausenden beibringt, wie man stiehlt.

Lesezeit: 10 Minuten· Aktualisiert März 2026· PhishDestroy Intelligence

Umsatz von über 10 Millionen Dollar Über 5.000 geschulte Mitglieder Über 730 Benutzernamen von Betrügern sind durchgesickert

Über 10 Millionen Dollar

Ausgewiesener Umsatz

Geschulte Mitglieder

Benutzernamen von Betrügern sind durchgesickert

Opfer von OFEDREX

Das Modell der „Betrugsuniversität“

TheProject ist kein Tool. Es ist kein Panel. Es ist kein einzelner Betrugsversuch. Es ist ein Schule — eine strukturierte, hierarchisch aufgebaute Mentorenorganisation, die seit 2021 Betrüger im industriellen Maßstab ausbildet. Während andere Ermittlungen ein Produkt entlarven, deckt diese Untersuchung die Fabrik, die die Produzenten herstellt.

Die Operation behauptet Gesamtumsatz von über 10 Millionen Dollar und Über 5.000 geschulte Mitglieder. Das ist keine leere Prahlerei. Eine nachgewiesene Einzahlung von 1 Mio. ₽ auf lolz.live — der russischsprachige Marktplatz für Cyberkriminalität — bestätigt, dass sie in großem finanziellen Umfang operieren. Ihr Rekrutierungs-Thread (lolz.live/threads/4826265/) läuft ganz offen und wirbt mit Mentorenprogrammen für angehende Betrüger.

Die Hierarchie

Administrator

Führungskräfte auf höchster Ebene, die für die Infrastruktur, die Finanzen und die strategische Ausrichtung zuständig sind. Sie verwalten die Plattform, legen die Ausbildungslehrpläne fest und erzielen den größten Teil der Einnahmen aus allen nachgelagerten Geschäftsbereichen.

Mentoren

Erfahrene Betrüger, die neue Mitglieder anleiten. Jeder Mentor leitet eine Gruppe von Mitarbeitern, gibt operative Anweisungen und erhält einen prozentualen Anteil an jedem Betrug, den seine Schützlinge durchführen. Sie sind der Kraftmultiplikator.

Arbeitnehmer (Mitglieder)

Ausgebildete Rekruten werden vor Ort eingesetzt. Sie betreiben die gefälschten Casino-Websites, kümmern sich um den Kontakt zu den Opfern und wickeln Einzahlungen ab. Die Einnahmen fließen nach oben – die Mitarbeiter behalten einen Bruchteil, während Mentoren und Administratoren den Rest einbehalten.

Opfer

Endziele über über 30 Länder, wobei Indien einen Anteil von 20,1 % von bestätigten Opfern. Die Opfer werden mit gefälschten Casino-Plattformen, manipulierten Verifizierungs-Einzahlungen und durch Social Engineering ausgelösten Investitionsfallen konfrontiert.

Warum das wichtig ist

Die meisten Untersuchungen zu Betrugsfällen konzentrieren sich auf ein einzelnes Tool oder Panel. TheProject ist anders – es ist das Vorgelagerter Hersteller. Wenn man einen Gambler-Panel-Knoten deaktiviert oder eine LuxardGambling-Domain abschaltet, bildet TheProject einfach neue Partner aus und setzt sie mit neuer Infrastruktur ein. Man kann den nachgelagerten Bereich nicht stoppen, ohne die Versorgung an der Quelle zu unterbrechen.

The Casino Pipeline: OFEDREX & WinSystems

Der Casino-Bereich von TheProject firmiert unter den Decknamen OFEDREX und WinSystems — eine gefälschte Casino-Panel-Infrastruktur, die in direktem Zusammenhang steht mit 383 bestätigte Opfer über 22 Domains. Das ist keine Spekulation. PhishDestroy ist in den Besitz der Opferdatenbank gelangt.

OFEDREX in Zahlen

383 bestätigte Opfer

Aus durchgesickerten Datenbanken extrahiert. Jeder Datensatz enthält Angaben zu Einzahlungsbeträgen, zur geografischen Herkunft sowie zu dem Promo-Code, mit dem die Opfer geködert wurden. Indien liegt mit 20,1 % aller Opfer an der Spitze, gefolgt von Opfern aus über 30 weiteren Ländern.

22 aktive Domains

Eine ständig wechselnde Flotte gefälschter Casino-Domains, die darauf ausgelegt ist, Sperrungen zu umgehen. Sobald eine Domain gesperrt wird, generiert die Infrastruktur Ersatzdomains. Alle lassen sich auf dieselbe Verwaltungsebene von „TheProject“ zurückführen.

Verfolgung von Aktionscodes

TheProject nutzt Promo-Codes, um nachzuverfolgen, welcher Mentor oder Partner das jeweilige Opfer vermittelt hat. In den durchgesickerten Daten fallen zwei Codes besonders auf:

TRAUM — 115 zugeordnete Opfer. Der Affiliate-Code mit der höchsten Leistung im Datensatz.
Long Range X774 — 61 Opfer wurden dem Fall zugeordnet. Der Fall steht im Zusammenhang mit einer bestimmten Mentor-Gruppe, die über Telegram-Kanäle operiert.

SQL-Injection-Sicherheitslücke

Im Rahmen seiner Untersuchungen entdeckte PhishDestroy eine SQL-Injection-Sicherheitslücke in der Plattforminfrastruktur von TheProject. Diese Sicherheitslücke legte interne Datenbankstrukturen offen und bestätigte die Echtheit der durchgesickerten Opferdaten. Der Befund zeigt, dass die eigene Betriebssicherheit von TheProject auf demselben billigen, hastig programmierten Code basiert, den sie ihren Partnern zur Implementierung beibringen.

Offengelegte Zugangsdaten

Im Rahmen der Ermittlungen sichergestellte Administrator-Zugangsdaten:

lancerbuy777@project.com / holabol1337

Schlüsselwort für Super-Konto: ximerawork

— Auszug aus dem Bericht über den Infrastruktur-Hack bei TheProject

Die Mentorenhierarchie

Die Rekrutierungspipeline von TheProject läuft öffentlich ab. Ihr Haupt-Rekrutierungs-Thread auf lolz.live (threads/4826265/) wirbt mit Mentoring-Paketen und strahlt dabei die Zuversicht eines seriösen SaaS-Unternehmens aus. Die auf der Plattform verifizierte Einlage in Höhe von 1 Million Rubel dient als „Social Proof“ – ein Signal an potenzielle Teilnehmer, dass dieses Unternehmen echtes Geld generiert.

Ablauf des Einstellungsverfahrens

Schritt 1: Personalbeschaffung

Neue Mitglieder werden über Threads auf lolz.live, Telegram-Kanäle und Mundpropaganda in russischsprachigen Cybercrime-Foren auf „TheProject“ aufmerksam. Der Telegram-Bot @TheProject_inbot (ID: 7291050577) ist für die erste Einarbeitung und Überprüfung zuständig.

Schritt 2: Schulung

Den neuen Mitgliedern wird ein Mentor zugewiesen, der ihnen den gesamten Ablauf eines Betrugs vorstellt: Einrichtung der Domain, Gewinnung von Opfern durch Social Engineering, Manipulation von Einzahlungen und Abzug der Gelder. Die Schulungsunterlagen sind strukturiert und standardisiert.

Schritt 3: Bereitstellung

Geschulte Partner erhalten Zugang zur Panel-Infrastruktur (OFEDREX, WinSystems oder externe Panels wie Gambler und Olympus). Sie starten ihre eigenen Aktivitäten unter der Aufsicht eines Mentors, wobei die Umsatzbeteiligung über die Plattform abgewickelt wird.

Schritt 4: Gewinnentnahme

Die Einnahmen fließen die Hierarchie hinauf. Die Arbeiter behalten einen Teil davon. Die Mentoren erhalten ihren Anteil. Die Administratoren ziehen von jedem aktiven Vorgang einen Anteil ein. Die Google-Tabellen-Datenbank erfasst alle Finanzströme, Opferzahlen und Leistungskennzahlen der Partner.

Telegram-Bot

@TheProject_inbot (ID: 7291050577) — kümmert sich um die Einarbeitung, Überprüfung und den grundlegenden Support für neue Teilnehmer, die in das Mentorenprogramm aufgenommen werden.

Verfolgung von Vorgängen

Das Projekt verwendet ein Google-Tabellen-Datenbank um die Leistung der Partner, die Anzahl der Opfer, die Umsatzzuordnung und die Auszahlungen an Mentoren zu verfolgen. Zentralisiert, nachvollziehbar und vernichtend.

Umfang der Geschäftstätigkeit

Mit Über 5.000 gemeldete Mitglieder und ein 1 Mio. ₽ verifizierte Einzahlung bei lolz.live, TheProject operiert in einem Ausmaß, das die meisten einzelnen Betrugsnetzwerke in den Schatten stellt. Es handelt sich um organisierte Kriminalität mit einer unternehmerischen Struktur – Rekrutierungskanäle, Schulungsprogramme, Leistungsüberwachung und Vereinbarungen zur Umsatzbeteiligung.

Nachgelagerte Prozesse: Die Ausbildungs-Pipeline

TheProject betreibt nicht nur Betrugsmaschen – es zieht Betrüger an. Die Untersuchung von PhishDestroy ergab, dass TheProject der Vorgelagerter Hersteller für mehrere bekannte Panel-Betrugsnetzwerke. Von den Mentoren von TheProject geschulte Partner betreiben anschließend:

Spielerforum — Das größte Netzwerk gefälschter Casino-Websites mit über 1.200 von PhishDestroy erfassten Domains. Die von „TheProject“ geschulten Betreiber machen einen erheblichen Teil der Partnerbasis von Gambler aus.
LuxardGambling — Ein Casino-Betrug unter dem Deckmantel einer Premium-Marke. Die gemeinsame Infrastruktur und Überschneidungen bei den Zugangsdaten lassen sich direkt auf die Schulungsplattform von TheProject zurückführen.
Olympus-Panel — Ein weiteres nachgelagertes Panel, dessen Betreiber im Rahmen des Mentorenprogramms von TheProject geschult wurden. Sich überschneidende Domain-Muster und gemeinsame Promo-Codes bestätigen diesen Zusammenhang.

Über 730 Benutzernamen von Betrügern sind durchgesickert

Im Rahmen der Ermittlungen von PhishDestroy wurde eine Datenbank mit Über 730 einzigartige Benutzernamen von Betrügern im Zusammenhang mit den Aktivitäten von „TheProject“. Dieser Datensatz umfasst Telegram-Nutzernamen, lolz.live-Konten und interne Plattform-Identifikatoren. Er stellt einen der größten jemals dokumentierten Einzelfälle von Datenlecks dar, bei denen die Identitäten von Betrugs-Affiliates offengelegt wurden.

Die Verbindungskarte

Die Beweiskette ist eindeutig: TheProject schult Partner. Diese Partner werden auf den Plattformen Gambler, LuxardGambling und Olympus eingesetzt. Gemeinsame Zugangsdaten (lancerbuy777@project.com), sich überschneidende Domains und durchgesickerte Datenbanken beweisen, dass diese Vorgänge nicht unabhängig voneinander sind – sie sind Folgeprodukte der Schulungspipeline von TheProject. Sobald ein Gambler-Knoten abgeschaltet wird, setzt TheProject zehn weitere Absolventen ein.

„Sie haben eine Schule gebaut, in der Tausende lernen, wie man stiehlt.“

— PhishDestroy-Forschungsbewertung

Beweismittel und Quellenanalyse

Alle Ergebnisse dieser Untersuchung stützen sich auf Primärquellen, die im Repository „ScamIntelLogs“ von PhishDestroy gespeichert sind. Die folgenden Indikatoren für eine Kompromittierung (IOCs) und Beweisartefakte stehen zur Überprüfung öffentlich zur Verfügung.

Übersicht über die IOC-Tabelle

Indikator	Typ	Wert
Telegram-Bot	Bot-ID	@TheProject_inbot (7291050577)
Forum-Thema	Webadresse	lolz.live/threads/4826265/
Offengelegte Zugangsdaten	E-Mail/Passwort	lancerbuy777@project.com / holabol1337
Super-Konto	Stichwort	ximerawork
Gutscheincode (oben)	Tracking-Code	DREAM (115 Opfer)
Gutscheincode	Tracking-Code	LRX774 (61 Opfer)
Casino-Komponente	Name des Panels	OFEDREX / WinSystems
Opfer von OFEDREX	Zahl	383 bestätigte Fälle
OFEDREX-Domains	Zahl	22 aktive Domains

Beweismittel-Archiv

ScamIntelLogs: Das Projekt

Umfassendes Beweismaterialarchiv, einschließlich durchgesickerter Datenbanken, Partnerlisten, Domain-Einträge und einer Darstellung der Infrastruktur.

ScamIntelLogs-Repository

Das öffentliche Informationsarchiv von PhishDestroy – alle Untersuchungen, IOCs und gesicherte Beweismittel.

Karte mit aktuellen Gefahren

Echtzeit-Überwachung von aktiven Datenabgreifern, gefälschten Casinos und Phishing-Knoten, die mit der Infrastruktur von TheProject verbunden sind.

Bedrohungen melden

Sind Sie auf eine mit „TheProject“ verknüpfte Domain gestoßen? Melden Sie diese direkt bei PhishDestroy, damit sie untersucht und gesperrt werden kann.

Die Versorgung muss unterbrochen werden

„TheProject“ ist keine einzelne Bedrohung – es ist die Brutstätte, aus der Bedrohungen in großem Umfang hervorgehen.
Einzelne Gremien aufzulösen, ohne die Mentoren-Pipeline zu demontieren, ist eine zum Scheitern verurteilte Strategie.
Die Beweise sind öffentlich zugänglich. Die Partner sind identifiziert. Die Infrastruktur ist erfasst.

Alle Belege auf GitHub Bedrohungen melden

#TheProject #ScamMentorship #CryptoFraud #Investigation #MLM