Ir al contenido principal
Volver a las noticias

~12 min de lectura | investigación

Comparativa de grupos de estafadores: las operaciones de MercuryTeam, WasabiSquad y 717Team

Por cada noticia que habla de mil millones de dólares, hay cientos de equipos como estos. Tres casos prácticos sobre la «clase media» del fraude: cómo los equipos de estafa de nivel medio reclutan, operan y son desarticulados. MercuryTeam lleva a cabo fraudes en plataformas de intercambio y casinos mediante bots dobles. WasabiSquad despliega una triple amenaza. 717Team fue desarticulado, lo que demuestra que la desarticulación mediante OSINT funciona.

Se investigaron tres equiposHoja de cálculo compartida de Google1. Equipo desarticulado
Operaciones del equipo contra el fraude
3
Equipos investigados
0
717 miembros del equipo registrados
0
Carteras identificadas
$2,946
Confirmado: sin agua (717Team)

La clase media del fraude

Cuando las investigaciones sobre estafas con criptomonedas acaparan los titulares, las cifras son abrumadoras: imperios de mentoría de 10 millones de dólares, estafas de «rug pull» de miles de millones de dólares, redes de blanqueo de capitales patrocinadas por el Estado. Pero tras esas operaciones que acaparan los titulares se esconde un vasto ecosistema de grupos de estafadores de nivel medio que, en conjunto, causan un daño enorme sin que nadie se dé cuenta.

No se trata de personas que actúan por su cuenta. Están organizados, reclutan a través de foros, utilizan bots de Telegram para automatizar procesos y realizan un seguimiento de sus víctimas en hojas de cálculo de Google, igual que cualquier equipo de ventas legítimo hace con sus clientes potenciales. Representan el clase media operativa del cibercrimen — lo suficientemente sofisticado como para crecer, lo suficientemente pequeño como para pasar desapercibido.

Esta investigación analiza tres de estos equipos que aparecen documentados en PhishDestroy's ScamIntelLogs repositorio:

MercuryTeam

Estado: Activo. Operación de doble vector que lleva a cabo simultáneamente fraudes bursátiles y estafas relacionadas con casinos a través de dos bots de Telegram. Estructura de habla rusa basada en un sistema de mentores.

WasabiSquad

Estado: Activo. Operación de triple amenaza dirigida a las víctimas a través de plataformas de intercambio falsas, plataformas de apuestas y bots de inversión. Comparte infraestructura con MercuryTeam.

717Team

Estado: ARCHIVADO. Se ha desmantelado una red de 125 miembros gracias a la recopilación de información y a la coordinación de los informes. Prueba de que las medidas de desarticulación dan resultado.

Conclusión principal

MercuryTeam y WasabiSquad comparten la MISMA URL de la hoja de cálculo de Google — lo que pone de manifiesto que se trata de operadores idénticos o de una alianza estrechamente coordinada.

Por qué son importantes los equipos de la zona media de la clasificación

Por cada titular sobre mil millones de dólares, hay cientos de equipos como estos operan a diario. Reclutan miembros de forma agresiva, se adaptan rápidamente y, entre todos, sustruyen millones a víctimas de todo el mundo. Comprender su estructura es fundamental para desarticularlas a gran escala.

MercuryTeam: Operaciones de doble vector

MercuryTeam gestiona un modelo de fraude de doble vector — llevar a cabo estafas relacionadas con plataformas de intercambio y casinos al mismo tiempo a través de dos bots de Telegram específicos. Este enfoque maximiza el número de víctimas potenciales: los usuarios que no caerían en la trampa de una plataforma de intercambio falsa podrían verse atraídos por una oferta de casino, y viceversa.

Infraestructura de bots de Telegram

BotNombre de usuario de TelegramID del botVector
Bot principal@MercuryTeam_bot6631580796Fraude en el mercado de divisas
Bot de casino@MercuryCasi_bot6431207710Fraude en los casinos

La arquitectura de doble bot no es casual. Al separar las operaciones de la plataforma de intercambio y del casino en bots distintos, MercuryTeam consigue compartimentación operativa — Si se denuncia o se bloquea un bot, el otro sigue funcionando. Las víctimas interactúan con el bot que mejor se adapte a su perfil de vulnerabilidad.

Estructura organizativa

MercuryTeam utiliza un modelo de mentor con ramificaciones. Los operadores con más experiencia forman a los nuevos miembros, quienes a su vez crean sucursales semindependientes. Esta estructura, similar a la de una franquicia, permite al equipo crecer rápidamente sin dejar de garantizar la seguridad operativa. Los nuevos miembros aprenden de sus mentores asignados técnicas de interacción con las víctimas, manejo de guiones y procedimientos de retirada antes de empezar a operar por su cuenta.

Presencia en foros

MercuryTeam contrata personal y publica sus ofertas a través de lolz.live, uno de los foros de estafa en ruso más grandes. Su hilo de reclutamiento: lolz.live/threads/6129774/

Seguimiento de víctimas

Los datos sobre ingresos y víctimas se registran a través de un hoja de cálculo compartida de Google — un detalle que cobra especial importancia al analizar las operaciones de WasabiSquad.

Evaluación de inteligencia

MercuryTeam representa un Evolución del fraude en el segmento medio: el enfoque de doble vector duplica su superficie de ataque, mientras que el modelo mentor garantiza una calidad constante en todas las ramas. Operación en ruso, con toda la coordinación llevada a cabo a través de Telegram. Todas las pruebas se conservan en ScamIntelLogs.

WasabiSquad: Triple amenaza

Mientras que MercuryTeam ejecuta dos vectores, WasabiSquad lo lleva hasta tres — combinando plataformas de intercambio falsas, plataformas de apuestas y bots de inversión en una única operación. Este enfoque multivectorial se dirige a perfiles de víctimas totalmente distintos: el operador de criptomonedas, el apostador y el inversor pasivo.

Infraestructura de bots y web

ActivoIdentificadorTipo
Bot principal@WasabiSquad_BotBot de Telegram (ID: 7380099926)
Página webwasabihub.onePlataforma web
Hilo del forololz.live/threads/7933252/Contratación y publicidad

Tres vectores de ataque

Fraude en el mercado de divisas

Plataformas falsas de intercambio de criptomonedas diseñadas para robar los depósitos. Las víctimas creen que están operando en una plataforma legítima y depositan fondos que luego no pueden retirar.

Fraude en el juego

Plataformas de apuestas amañadas que prometen ganancias, pero exigen «depósitos de verificación» antes de poder realizar retiradas —depósitos que se agotan de inmediato—.

Fraude con bots de inversión

Bots de inversión automatizados que prometen rentabilidad garantizada. Las víctimas depositan criptomonedas con la esperanza de obtener beneficios gracias al trading algorítmico y no reciben nada a cambio.

El enlace a la hoja de cálculo

WasabiSquad utiliza la MISMA hoja de cálculo de Google que MercuryTeam para el seguimiento de las víctimas y los ingresos. Esta es la conclusión más importante de esta investigación.

«La misma hoja de cálculo. Las mismas columnas de seguimiento. Las mismas fórmulas de ingresos. O bien se trata de las mismas personas con diferentes identidades, o bien confían lo suficiente entre sí como para compartir toda su base de datos de víctimas».

— Evaluación de inteligencia de PhishDestroy

Solapamiento de infraestructuras críticas

La hoja de cálculo compartida de Google entre MercuryTeam y WasabiSquad no es un simple detalle técnico: es pruebas de unidad operativa. Dos equipos con marcas distintas, bots de Telegram diferentes y hilos de foro independientes están utilizando el mismo documento de backend para realizar un seguimiento de las víctimas y los ingresos. Esto apunta a que o bien los mismos operadores gestionan ambas marcas o un una alianza formal con una infraestructura financiera común.

717Team: La prueba de que la disrupción funciona

De los tres equipos analizados en esta investigación, 717Team destaca por una característica única: Se ha archivado. En la terminología de ScamIntelLogs, «archivado» significa que las operaciones se han interrumpido y que el equipo ya no está llevando a cabo estafas de forma activa. No se trata de un éxito teórico, sino de una prueba documentada de que la recopilación de información, la conservación de pruebas y la denuncia coordinada pueden poner fin al fraude organizado.

El 717Team en cifras

0
Miembros a los que se hace seguimiento
0
Carteras identificadas
$2,946
Confirmado: sin agua
ARCHIVADO
Estado de las operaciones

Enlaces de administración y red

FunciónIdentificadorDetalles
Admin@imdebankID de Telegram: 7149807602
Enlace de redRublevkaTeamEl administrador @imdebank está vinculado a esta operación independiente
Bot@team717_botBot principal de Telegram (actualmente inactivo)
Forololz.liveCentro de selección y coordinación

Infraestructura de dominios (más de 12 dominios)

DominioObjetivo
checkscore.ccPrincipal plataforma de estafas
cryptomus-payment.comPasarela de pago falsa
check-score.ruVariante dirigida a Rusia
+ 9 dominios adicionales registrados en ScamIntelLogs

Por qué es importante el material archivado

El estado de archivo de 717Team es el dato más importante a lo largo de toda esta investigación. Esto demuestra que los grupos de estafadores de nivel medio puede se desarticuló gracias a una recopilación sistemática de información. El proceso que funcionó consistió en: (1) identificar la infraestructura, (2) rastrear carteras y miembros, (3) conservar las pruebas, (4) coordinar la presentación de informes entre las distintas plataformas. Los 2.946,25 dólares que se ha confirmado que fueron sustraídos representan las pérdidas documentadas; es probable que la cifra real fuera mayor, pero la operación se detuvo antes de que pudiera ampliarse aún más.

La conexión RublevkaTeam

El usuario «Admin @imdebank» (ID: 7149807602) estaba vinculado a RublevkaTeam, una operación fraudulenta independiente documentada en nuestro Estafa rusa de TON investigación. Esta conexión entre equipos refuerza una conclusión fundamental: estas operaciones no son aisladas. Los operadores se mueven de un equipo a otro, comparten infraestructura y mantienen redes que sobreviven a las interrupciones que sufren los equipos individuales.

La infraestructura compartida

Al analizar estos tres equipos en paralelo, se pone de manifiesto algo mucho más significativo que las operaciones individuales: revela una red. Herramientas compartidas, plataformas compartidas, documentos compartidos y, al menos en un caso, un vínculo directo entre el personal de los equipos.

Análisis comparativo

AtributoMercuryTeamWasabiSquad717Team
Vectores de ataqueIntercambio + CasinoBolsa + Apuestas + InversiónIntercambio + Pagos falsos
Forololz.livelolz.livelolz.live
Bots de Telegram2 bots1 bot + página web1 bot
SeguimientoHoja de cálculo de GoogleHoja de cálculo SAMESeguimiento interno
IdiomaRusoRusoRuso
EstadoActivoActivoArchivado

Aspectos comunes de la infraestructura

  • Hoja de cálculo compartida de Google — MercuryTeam y WasabiSquad utilizan el mismo documento para el seguimiento de víctimas e ingresos
  • lolz.live como centro neurálgico — Los tres equipos reclutan, publicitan y coordinan sus actividades a través del mismo foro en ruso
  • Telegram como capa operativa — Todos los equipos utilizan bots de Telegram para captar a las víctimas y comunicarse con los operadores.
  • Personal de varios equipos — El administrador del equipo 717Team, @imdebank, se ha vinculado al equipo RublevkaTeam, lo que demuestra la movilidad de los operadores entre equipos
  • Operaciones en lengua rusa — Todos los equipos operan en ruso, lo que indica un origen geográfico y cultural común
«Comparten hojas de cálculo. Comparten foros. Comparten técnicas. Lo único que no comparten es el nombre de su marca, y puede que incluso esa distinción sea artificial».

— Resumen del análisis de PhishDestroy

Actores que no actúan de forma aislada

Las pruebas son claras: MercuryTeam, WasabiSquad y 717Team no son grupos independientes que, por casualidad, utilicen métodos similares. El hoja de cálculo compartida de Google entre Mercury y Wasabi, el foro compartido en los tres, y el solapamiento de personal Las relaciones entre 717Team y RublevkaTeam apuntan a un ecosistema interconectado. Interferir en un equipo sin comprender la red conlleva el riesgo de que los operadores simplemente se trasladen a otra marca.

Pruebas y documentación

Toda la información a la que se hace referencia en esta investigación se ha conservado en el repositorio ScamIntelLogs de PhishDestroy. Cada equipo dispone de un directorio de pruebas específico que contiene identificadores de bots, direcciones de monederos, capturas de pantalla de foros, listas de dominios y análisis estructurales.

El equipo 717 fue detenido. Los demás también pueden serlo.

La recopilación de información funciona. La conservación de pruebas funciona. La presentación coordinada de informes funciona. El estado de archivo del 717Team es la prueba viviente de ello.
Ayúdanos a ejercer la misma presión sobre MercuryTeam, WasabiSquad y todos los grupos fraudulentos de nivel medio que siguen en activo.

#ScamTeams#MercuryTeam#WasabiSquad#717Team#Investigation

Investigaciones relacionadas

El proyecto: un imperio de mentoría basado en una estafa de 10 millones de dólares
Cómo una sola operación construyó un imperio de mentoría valorado en 10 millones de dólares, enseñando a otros a estafar a gran escala.
La epidemia de los casinos falsos: 5 paneles al descubierto
Entre bastidores de las estafas de los «paneles de casino» falsos: OFEDREX, LuxardGambling, Olympus Panel y BitXLucky al descubierto.
RublevkaTeam: Se desvela la estafa rusa de TON
Análisis en profundidad de la estafa relacionada con la cadena de bloques TON de RublevkaTeam, vinculada al administrador de 717Team, @imdebank.
Aviso sobre transparencia. PhishDestroy es un proyecto independiente y sin ánimo de lucro. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras de estafa y los servicios que las facilitan. Animamos a los lectores a evaluar todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →