Volver a las noticias

Investigación de ScamIntelLogs

Kit de herramientas «Crypto Drainer»: lo que hay detrás de los revendedores de «Angel Drainer» que tienen en el punto de mira tu monedero

Tres operaciones de «drainer-as-a-service» analizadas a nivel de código. Kits de phishing generados por IA con instrucciones de depuración que siguen en producción. Un modelo de afiliados con una comisión del 80 % que impulsa una rápida expansión. Y una red archivada que demuestra que las acciones coordinadas de desestabilización funcionan. Esta es la infraestructura que hay detrás de la próxima cartera a la que casi te conectaste.

3 redes de drenaje activas Más de 15 dominios de phishing Comisión de afiliación del 80 % 1 Red archivada
Análisis de las redes de drenaje de criptomonedas
0
Dominios de phishing
0
Operaciones del escurridor
0
Miembros a los que se hace seguimiento
0
Carteras identificadas
0
Reintentos forzados de firma
0
% de comisión de afiliación

La cadena de ataque en 9 pasos: del airdrop falso al monedero vacío

Todos los «drainers» de criptomonedas siguen una secuencia predecible. Lo que hace peligrosas las operaciones de «drainer como servicio» no es la innovación, sino su magnitud. La misma cadena de ataque se replica en docenas de dominios, cada uno de los cuales constituye una nueva trampa para víctimas desprevenidas. A continuación se muestra, paso a paso, la secuencia exacta extraída del código fuente de TRXDrop.

Flujo completo del ataque «Drainer»

Esta cadena de 9 pasos se ha reconstruido a partir del código fuente descompilado de TRXDrop. Cada paso está documentado con las referencias de código correspondientes en el repositorio ScamIntelLogs.

La cadena de ataque de phishing de criptomonedas en 9 pasos: anuncio falso de airdrop, clics de los usuarios, página de destino de phishing, conexión de la cartera, permiso malicioso, aprobación de la transacción, vaciamiento de tokens, mezclador de fondos, retirada de fondos
Cadena de ataque de phishing en el ámbito de las criptomonedas en 9 pasos: desde un anuncio falso de airdrop hasta el vaciado de la cartera y el blanqueo de fondos.
1
Anuncio falso de un airdrop
La víctima ve una publicación destacada o un mensaje de Telegram en el que se anuncia un airdrop de TRX/SOL. Ejemplos de dominios: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Página de destino
La página, de aspecto profesional, imita un airdrop legítimo de la Fundación TRON. Los temporizadores de cuenta atrás y los contadores falsos de reclamaciones crean una sensación de urgencia.
3
Mensaje de WalletConnect
El sitio web inicia WalletConnect utilizando un ID de proyecto robado fbf5b42d9006502246e73447f5d50e33. La víctima vincula su monedero creyendo que es necesario para reclamar la indemnización.
4
Solicitud de permiso
Drainer solicita amplios permisos para el token. El mensaje de solicitud de firma es intencionadamente impreciso para ocultar lo que se está aprobando.
5
Aprobación de tokens
La víctima firma un approve() transacción que otorga al «drainer» una autoridad ilimitada para gastar tokens específicos.
6
setApprovalForAll
Una segunda transacción llama a setApprovalForAll(), lo que permite al atacante tomar el control de los NFT y de todos los tipos de tokens de la cartera.
7
Fichas de transferencia
El contrato de desagüe entra en vigor de inmediato transferFrom() para trasladar todos los tokens aprobados a la colección del atacante.
8
Cartera «Drain»
Los tokens de la cadena nativa (TRX, SOL) se transfieren en último lugar. El monedero se vacía por completo. Si la víctima lo rechaza, el «drainer» vuelve a intentarlo hasta 50 veces antes de permitir la huida.
9
Fondos para el operador
Los fondos robados se transfieren al monedero del operador. TRXDrop cobra una comisión de 30 TRX por cada transferencia. El resto va a parar al afiliado que ha publicado la página de phishing.

50 reintentos forzados

Si la víctima hace clic en «Rechazar» en el mensaje de firma, el código TRXDrop vuelve a activar inmediatamente la solicitud. Este bucle se repite 50 veces antes de que se permita a la víctima cerrar la ventana modal. La mayoría de los usuarios se rinden y firman tras 3-5 intentos, creyendo que se trata de un fallo técnico del sitio web y no de una acción maliciosa. Esto no es un error. Es así a propósito.

Análisis en profundidad de TRXDrop: código generado por IA con más de 30 instrucciones de depuración en producción

Comparación de seguridad: «Autenticación requerida» (candado verde) frente a «Sin autenticación, totalmente abierto» (candado rojo roto)
La API de TRXDrop está expuesta sin autenticación: cualquier persona que disponga de la URL puede consultar los registros de los monederos, los datos de pago y los ID de los operadores.

TRXDrop es un distribuidor de Angel Drainer que tiene como objetivo los monederos de TRON y Solana. Lo que distingue a esta operación no es su sofisticación, sino todo lo contrario. El código fuente revela indicios inconfundibles de un desarrollo asistido por IA: estructura repetitiva, comentarios prolijos y, lo más revelador, más de 30 console.log instrucciones de depuración que se han dejado en el código de producción.

Estas no son las señales de un desarrollador con experiencia. Son las señales de alguien que pidió a un modelo de lenguaje grande (LLM) que escribiera un «drainer» y desplegó el resultado sin revisarlo.

Marcadores de código generado por IA

El código fuente de TRXDrop contiene más de 30 console.log instrucciones de depuración en la versión de producción. Mensajes como console.log("Attempting wallet connection...") y console.log("Approval transaction sent") aparecen por todas partes. Ningún desarrollador profesional —ni ningún delincuente con experiencia— envía registros de depuración al entorno de producción. Se trata de una salida sin procesar de un modelo de lenguaje grande (LLM), implementada tal cual.

Clave de cifrado XOR

Todas las comunicaciones entre la interfaz de usuario de Drainer y el panel de administración se cifran con una clave XOR predefinida: TRX_SECURE_2024_PANEL_KEY. La operación XOR con una clave estática es fácilmente reversible, lo que constituye otro indicio de un desarrollo basado en «copiar y pegar».

Panel de administración de «Crypto Drainer» v1.2: muestra 1.337 víctimas, 12.450 dólares robados, carteras conectadas y un registro de robos en tiempo real - AL DESCUBIERTO
Panel de administración de «Crypto Drainer» v1.2: muestra 1.337 víctimas, 12.450 dólares robados, carteras conectadas y un registro de robos en tiempo real - AL DESCUBIERTO

Uso indebido de WalletConnect

ID del proyecto WalletConnect fbf5b42d9006502246e73447f5d50e33 está integrado en los más de 15 dominios. Una sola revocación de este identificador de proyecto desactivaría simultáneamente la conectividad de los monederos en toda la red TRXDrop.

50 reintentos forzados

El bucle de solicitud de firma realiza 50 intentos antes de permitir que la víctima salga. Esta táctica de presión psicológica está programada de forma fija y no puede ser configurada por los afiliados; se trata de una característica fundamental del kit Angel Drainer.

30 Comisión TRX

Cada robo que se lleva a cabo con éxito genera una comisión de 30 TRX que se envía a la cartera del operador. A los tipos de cambio actuales, esto supone aproximadamente entre 7 y 8 dólares estadounidenses por víctima, un margen reducido que sugiere que la operación se basa más en el volumen que en el valor.

Inteligencia del operador

Telegram: @STNlRAWbIaFLiH (ID de usuario: 6823931109)
Cartera de la colección: TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
Cadenas afectadas: TRON, Solana
Kit de desagüe: Angel Drainer (de segunda mano/personalizado)

Infraestructura de dominios de TRXDrop (más de 15 dominios)

DominioTipoEstado
trx-drop.comPágina de inicioActivo
tronrefund.comEl reclamo del reembolsoActivo
tronfund.netAtractivo de los fondosActivo
trxfund.proAtractivo de los fondosActivo
trxairdrop.ioSeñuelo para airdropActivo
trondrop.orgSeñuelo para airdropActivo
tronreward.comCebo de recompensaActivo
tronreward.netCebo de recompensaActivo
tronrefund.netEl reclamo del reembolsoActivo
trxfund.orgAtractivo de los fondosActivo
trxdrop.comSeñuelo para airdropActivo
trxdrop.orgSeñuelo para airdropActivo
trongiving.comSeñuelo de regaloActivo
tronclaims.comAtractivo de las reclamacionesActivo
trondrop.proSeñuelo para airdropActivo

NiceCrypto: La máquina de comisiones del 80 %

Flujo de comisiones operativas de «Drainer-as-a-Service»: el 80 % para el operador y el 20 % en concepto de comisión para el desarrollador, desde el monedero de la víctima a través de un contrato inteligente
Flujo de comisiones de «Drainer-as-a-Service»: el 80 % para el operador afiliado y el 20 % en concepto de comisión para el desarrollador — desde el monedero de la víctima, pasando por el contrato inteligente, hasta el blanqueo.

NiceCrypto se basa en una premisa sencilla: ofrecer a los afiliados la comisión más alta del mercado de los «drainers», y ellos se encargarán de atraer a las víctimas. Con una comisión del 80 %, NiceCrypto ofrece el reparto de comisiones para afiliados más generoso que hemos documentado en cualquier operación de «drainer como servicio». El operador se queda solo con el 20 %, un margen minúsculo que solo es viable a gran escala.

Las cuentas son sencillas. Si un afiliado vacía un monedero que contiene 1.000 dólares en tokens, se queda con 800 dólares. NiceCrypto se queda con 200 dólares. Con más de 8.454 dólares en pagos a afiliados documentados, la operación ha procesado un mínimo de 42.270 dólares en fondos robados, y esa cifra solo tiene en cuenta los pagos que podemos observar directamente en la cadena de bloques.

Modelo de ingresos: reparto 80/20

$8,454+ en los pagos documentados a los afiliados representa el mínimo, no el máximo. Con una comisión del 80 % para los afiliados, el total de fondos sustraídos procesados por NiceCrypto supera $42,000 mínimo. Es probable que la cifra real sea considerablemente superior, ya que no todas las transacciones quedan registradas en nuestro periodo de seguimiento.

Expansión a múltiples cadenas

NiceCrypto comenzó en TRON, pero los archivos de configuración recuperados de su infraestructura revelan una expansión activa hacia Solana, Cadenas compatibles con EVM (Ethereum, BSC, Polygon), y TON. Cuatro ecosistemas de blockchain bajo un único panel de control.

Presencia en foros

NiceCrypto capta afiliados a través de wwh2club.to, un conocido foro dedicado a la ciberdelincuencia. Su bot de Telegram @NCsetup_bot se encarga de la incorporación: los nuevos afiliados reciben un kit de captación ya configurado a los pocos minutos de ponerse en contacto.

Conexión WasabiSquad

El dominio web de NiceCrypto wasabihub.one plantea dudas sobre una posible conexión con la operación WasabiSquad. Para determinar si se trata de una infraestructura compartida, un cambio de nombre o una coincidencia, es necesario seguir investigando.

Automatización de Telegram

Bot @NCsetup_bot automatiza la gestión de los afiliados: la instalación de los kits de drenaje, el seguimiento de las comisiones y el reparto de los pagos. El operador rara vez tiene que interactuar directamente con los afiliados.

Indicadores de compromiso (IOC) de NiceCrypto

Bot de Telegram: @NCsetup_bot
Página web: wasabihub.one
Foro: wwh2club.to
Comisión de afiliación: 80%
Pagos documentados: $8,454+
Cadenas: TRON (activo), Solana (en expansión), EVM (en expansión), TON (en expansión)

El 80 % para los afiliados. Nosotros nos quedamos con el 20 %. Tú aportas el tráfico y nosotros nos encargamos del código. La configuración se hace en 5 minutos.
-- Anuncio de NiceCrypto en wwh2club.to

717Team: Archivado = Disruption Works

717Team es la prueba de que estas operaciones pueden detenerse. Con 125 miembros y 85 monederos rastreados, 717Team era una operación de «drainer» de tamaño medio que gestionaba más de 12 dominios de phishing. El total confirmado de fondos sustraídos, 2.946,25 dólares, puede parecer modesto en comparación con operaciones de mayor envergadura, pero lo realmente importante es el resultado: archivado.

En nuestro sistema de seguimiento, «archivado» significa que la operación se ha visto interrumpida hasta el punto de cesar por completo. Se han retirado los dominios. Se ha destruido la infraestructura. Se ha identificado al administrador. 717Team no cerró voluntariamente. Se cerró gracias a una serie coordinada de denuncias, retiradas de dominios y al intercambio de información con socios especializados en seguridad de cadenas de bloques.

Se ha confirmado la interrupción del servicio

El estado «ARCHIVADO» de 717Team no es una etiqueta que apliquemos a la ligera. Significa una interrupción sostenida en múltiples frentes: retiradas de dominios, denuncias de proveedores de alojamiento, bloqueo de monederos y revelación de la identidad del administrador. El coste de mantener la operación superó sus ingresos. Así es como se ve una interrupción exitosa.

Administrador: @imdebank

Nombre de usuario de Telegram del administrador @imdebank (ID de usuario: 7149807602) se ha relacionado con RublevkaTeam, una red de estafas independiente en lengua rusa que ya se había documentado anteriormente en nuestra investigación sobre TON. El intercambio de administradores entre operaciones es un patrón recurrente.

Escala de red

125 miembros se ha seguido su rastro en grupos de Telegram. 85 carteras identificados mediante un análisis en cadena. $2,946.25 Se ha confirmado que se ha vaciado. El equipo 717 se ha reclutado a través de lolz.live, un foro sobre ciberdelincuencia en ruso.

Infraestructura de dominios

Más de 12 dominios, entre los que se incluyen checkscore.cc, cryptomus-payment.com, check-score.ru, entre otros. Se utilizaron varios registradores de dominios para intentar evitar las retiradas coordinadas.

Operaciones de bots

Bot de Telegram @team717_bot se encargaba de la coordinación de los afiliados, el seguimiento de las víctimas y la distribución de los pagos. El bot fue desactivado como parte de la operación de desarticulación.

717Equipo IOC

Admin: @imdebank (ID: 7149807602)
Grupo vinculado: RublevkaTeam
Bot: @team717_bot
Foro: lolz.live
Miembros: 125 con orugas
Carteras: 85 identificados
Se ha confirmado que se ha vaciado: $2,946.25
Estado:ARCHIVADO (Suspendido)

Anti-análisis: presente, pero fácil de eludir

TRXDrop utiliza dos técnicas de anti-análisis que forman parte del repertorio habitual de herramientas de los «drainers». Ambas están diseñadas para dificultar una inspección superficial. Ninguna de ellas supone un obstáculo significativo para un analista con experiencia.

Trampas del depurador

A setInterval El bucle se activa cada 1.000 milisegundos, ejecutando un debugger instrucción. Cuando DevTools está abierto, esto detiene la ejecución continuamente, lo que da la impresión de que la página se ha bloqueado. Derivación: Desactivar los puntos de interrupción en DevTools (Ctrl+F8) o utiliza la opción del menú contextual «No hacer pausa aquí». Tiempo total de omisión: 2 segundos.

Secuestro de consola

El código sobrescribe console.log, console.warn, y console.error con funciones vacías para suprimir la salida. Resulta irónico, teniendo en cuenta que el desarrollador dejó más de 30 instrucciones de depuración que estas sustituciones están diseñadas para ocultar. Derivación: Guarda una referencia a los métodos originales de la consola antes de que se cargue la página, o utiliza la API nativa de la consola del navegador. Tiempo total de omisión: 5 segundos.

La hora de los aficionados

La combinación de código generado por IA, instrucciones de depuración en el entorno de producción, cifrado XOR estático y medidas anti-análisis que se pueden eludir fácilmente deja claro que el operador de TRXDrop no es un desarrollador experto. Se trata de un estafador que compró un kit de drenaje y pidió a un modelo de lenguaje grande (LLM) que lo personalizara. El peligro no radica en la sofisticación, sino en la accesibilidad. Cuando la barrera de entrada es «¿sabes escribir una instrucción?», el número de operadores crece exponencialmente.

Este patrón se repite en todo el ecosistema de «drainer-as-a-service». Los desarrolladores de los kits (en este caso, Angel Drainer) cuentan con auténticas habilidades técnicas. Los distribuidores y afiliados que implementan estos kits, sin embargo, a menudo carecen de ellas. La capa antianálisis no existe porque los operadores entiendan de investigación en seguridad, sino porque el kit se suministra con ella activada por defecto.

Pruebas e inteligencia de fuentes

Todas las pruebas a las que se hace referencia en esta investigación se conservan en el repositorio PhishDestroy ScamIntelLogs. Cada operación cuenta con su propio directorio, que contiene archivos de configuración, fragmentos de código fuente, listas de dominios, direcciones de monederos e información de Telegram.

Pruebas de TRXDrop

15 dominios, código fuente, claves XOR, ID de WalletConnect, canal de Telegram del operador, dirección de monedero.

Ver en GitHub

Pruebas de NiceCrypto

Archivos de configuración, registros de pagos a afiliados, planes de expansión a múltiples cadenas, publicaciones en foros.

Ver en GitHub

Pruebas del equipo 717

Listas de miembros, direcciones de monederos, infraestructura de dominios, información sobre los administradores, cronología de las interrupciones.

Ver en GitHub

Divulgación responsable

Todas las direcciones de monedero, listas de dominios e identificadores de operadores publicados en este informe se han facilitado a los equipos de seguridad de blockchain y a los registradores de dominios pertinentes antes de su publicación. Se ha notificado el ID del proyecto WalletConnect para su revocación. Si gestionas una infraestructura afectada por estos IOC, ponte en contacto con nosotros a través de @PhishDestroy_bot.

Protege tu cartera

El «Drainer-as-a-service» está creciendo. La barrera de entrada es un mensaje de Telegram y unos pocos cientos de dólares. Tu defensa empieza por estar al tanto de la situación.

Nunca firmes a ciegas

Si una página web te obliga a firmar repetidamente, ciérrala de inmediato. Los airdrops legítimos nunca exigen autorizaciones ilimitadas para tokens.

Comprueba antes de conectar

Comprueba la antigüedad del dominio, verifica la información a través de los canales oficiales del proyecto y utiliza un monedero desechable para reclamar cualquier airdrop.

Utiliza carteras de hardware

Guarda tus saldos importantes en carteras de hardware. Nunca conectes tu cartera principal a sitios web no verificados.

Denunciar amenazas

¿Has encontrado un vertedero ilegal? Denúncialo a @PhishDestroy_bot o consulta los dominios en analizar.destroy.tools.

Denunciar un dominio Analizar un dominio

Comparte esta investigación

X / Twitter Telegram Reddit LinkedIn

Investigaciones relacionadas

BUYTRX al descubierto: 55 dominios y un «approval drainer» de TRON
INVESTIGACIÓN
BUYTRX al descubierto: 55 dominios y un «approval drainer» de TRON
Panel sobre el ataque de phishing a Trust Wallet: 239 000 dólares robados, 6 operadores
INVESTIGACIÓN EN PROFUNDIDAD
Panel sobre el ataque de phishing a Trust Wallet: 239 000 dólares robados, 6 operadores
Análisis del phishing de criptomonedas: 8 programas reales para robar frases de semillas, analizados mediante ingeniería inversa
INVESTIGACIÓN EN PROFUNDIDAD
Análisis del phishing de criptomonedas: 8 programas reales para robar frases de semillas, analizados mediante ingeniería inversa
Aviso sobre transparencia. PhishDestroy es un proyecto independiente y sin ánimo de lucro. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras de estafa y los servicios que las facilitan. Animamos a los lectores a evaluar todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →