La clase media del fraude
Cuando las investigaciones sobre estafas con criptomonedas acaparan los titulares, las cifras son abrumadoras: imperios de mentoría de 10 millones de dólares, estafas de «rug pull» de miles de millones de dólares, redes de blanqueo de capitales patrocinadas por el Estado. Pero tras esas operaciones que acaparan los titulares se esconde un vasto ecosistema de grupos de estafadores de nivel medio que, en conjunto, causan un daño enorme sin que nadie se dé cuenta.
No se trata de personas que actúan por su cuenta. Están organizados, reclutan a través de foros, utilizan bots de Telegram para automatizar procesos y realizan un seguimiento de sus víctimas en hojas de cálculo de Google, igual que cualquier equipo de ventas legítimo hace con sus clientes potenciales. Representan el clase media operativa del cibercrimen — lo suficientemente sofisticado como para crecer, lo suficientemente pequeño como para pasar desapercibido.
Esta investigación analiza tres de estos equipos que aparecen documentados en PhishDestroy's ScamIntelLogs repositorio:
MercuryTeam
Estado: Activo. Operación de doble vector que lleva a cabo simultáneamente fraudes bursátiles y estafas relacionadas con casinos a través de dos bots de Telegram. Estructura de habla rusa basada en un sistema de mentores.
WasabiSquad
Estado: Activo. Operación de triple amenaza dirigida a las víctimas a través de plataformas de intercambio falsas, plataformas de apuestas y bots de inversión. Comparte infraestructura con MercuryTeam.
717Team
Estado: ARCHIVADO. Se ha desmantelado una red de 125 miembros gracias a la recopilación de información y a la coordinación de los informes. Prueba de que las medidas de desarticulación dan resultado.
Conclusión principal
MercuryTeam y WasabiSquad comparten la MISMA URL de la hoja de cálculo de Google — lo que pone de manifiesto que se trata de operadores idénticos o de una alianza estrechamente coordinada.
Por qué son importantes los equipos de la zona media de la clasificación
Por cada titular sobre mil millones de dólares, hay cientos de equipos como estos operan a diario. Reclutan miembros de forma agresiva, se adaptan rápidamente y, entre todos, sustruyen millones a víctimas de todo el mundo. Comprender su estructura es fundamental para desarticularlas a gran escala.
MercuryTeam: Operaciones de doble vector
MercuryTeam gestiona un modelo de fraude de doble vector — llevar a cabo estafas relacionadas con plataformas de intercambio y casinos al mismo tiempo a través de dos bots de Telegram específicos. Este enfoque maximiza el número de víctimas potenciales: los usuarios que no caerían en la trampa de una plataforma de intercambio falsa podrían verse atraídos por una oferta de casino, y viceversa.
Infraestructura de bots de Telegram
| Bot | Nombre de usuario de Telegram | ID del bot | Vector |
|---|
| Bot principal | @MercuryTeam_bot | 6631580796 | Fraude en el mercado de divisas |
| Bot de casino | @MercuryCasi_bot | 6431207710 | Fraude en los casinos |
La arquitectura de doble bot no es casual. Al separar las operaciones de la plataforma de intercambio y del casino en bots distintos, MercuryTeam consigue compartimentación operativa — Si se denuncia o se bloquea un bot, el otro sigue funcionando. Las víctimas interactúan con el bot que mejor se adapte a su perfil de vulnerabilidad.
Estructura organizativa
MercuryTeam utiliza un modelo de mentor con ramificaciones. Los operadores con más experiencia forman a los nuevos miembros, quienes a su vez crean sucursales semindependientes. Esta estructura, similar a la de una franquicia, permite al equipo crecer rápidamente sin dejar de garantizar la seguridad operativa. Los nuevos miembros aprenden de sus mentores asignados técnicas de interacción con las víctimas, manejo de guiones y procedimientos de retirada antes de empezar a operar por su cuenta.
Presencia en foros
MercuryTeam contrata personal y publica sus ofertas a través de lolz.live, uno de los foros de estafa en ruso más grandes. Su hilo de reclutamiento: lolz.live/threads/6129774/
Seguimiento de víctimas
Los datos sobre ingresos y víctimas se registran a través de un hoja de cálculo compartida de Google — un detalle que cobra especial importancia al analizar las operaciones de WasabiSquad.
Evaluación de inteligencia
MercuryTeam representa un Evolución del fraude en el segmento medio: el enfoque de doble vector duplica su superficie de ataque, mientras que el modelo mentor garantiza una calidad constante en todas las ramas. Operación en ruso, con toda la coordinación llevada a cabo a través de Telegram. Todas las pruebas se conservan en ScamIntelLogs.
WasabiSquad: Triple amenaza
Mientras que MercuryTeam ejecuta dos vectores, WasabiSquad lo lleva hasta tres — combinando plataformas de intercambio falsas, plataformas de apuestas y bots de inversión en una única operación. Este enfoque multivectorial se dirige a perfiles de víctimas totalmente distintos: el operador de criptomonedas, el apostador y el inversor pasivo.
Infraestructura de bots y web
| Activo | Identificador | Tipo |
|---|
| Bot principal | @WasabiSquad_Bot | Bot de Telegram (ID: 7380099926) |
| Página web | wasabihub.one | Plataforma web |
| Hilo del foro | lolz.live/threads/7933252/ | Contratación y publicidad |
Tres vectores de ataque
Fraude en el mercado de divisas
Plataformas falsas de intercambio de criptomonedas diseñadas para robar los depósitos. Las víctimas creen que están operando en una plataforma legítima y depositan fondos que luego no pueden retirar.
Fraude en el juego
Plataformas de apuestas amañadas que prometen ganancias, pero exigen «depósitos de verificación» antes de poder realizar retiradas —depósitos que se agotan de inmediato—.
Fraude con bots de inversión
Bots de inversión automatizados que prometen rentabilidad garantizada. Las víctimas depositan criptomonedas con la esperanza de obtener beneficios gracias al trading algorítmico y no reciben nada a cambio.
El enlace a la hoja de cálculo
WasabiSquad utiliza la MISMA hoja de cálculo de Google que MercuryTeam para el seguimiento de las víctimas y los ingresos. Esta es la conclusión más importante de esta investigación.
«La misma hoja de cálculo. Las mismas columnas de seguimiento. Las mismas fórmulas de ingresos. O bien se trata de las mismas personas con diferentes identidades, o bien confían lo suficiente entre sí como para compartir toda su base de datos de víctimas».
— Evaluación de inteligencia de PhishDestroy
Solapamiento de infraestructuras críticas
La hoja de cálculo compartida de Google entre MercuryTeam y WasabiSquad no es un simple detalle técnico: es pruebas de unidad operativa. Dos equipos con marcas distintas, bots de Telegram diferentes y hilos de foro independientes están utilizando el mismo documento de backend para realizar un seguimiento de las víctimas y los ingresos. Esto apunta a que o bien los mismos operadores gestionan ambas marcas o un una alianza formal con una infraestructura financiera común.
717Team: La prueba de que la disrupción funciona
De los tres equipos analizados en esta investigación, 717Team destaca por una característica única: Se ha archivado. En la terminología de ScamIntelLogs, «archivado» significa que las operaciones se han interrumpido y que el equipo ya no está llevando a cabo estafas de forma activa. No se trata de un éxito teórico, sino de una prueba documentada de que la recopilación de información, la conservación de pruebas y la denuncia coordinada pueden poner fin al fraude organizado.
El 717Team en cifras
0
Miembros a los que se hace seguimiento
$2,946
Confirmado: sin agua
ARCHIVADO
Estado de las operaciones
Enlaces de administración y red
| Función | Identificador | Detalles |
|---|
| Admin | @imdebank | ID de Telegram: 7149807602 |
| Enlace de red | RublevkaTeam | El administrador @imdebank está vinculado a esta operación independiente |
| Bot | @team717_bot | Bot principal de Telegram (actualmente inactivo) |
| Foro | lolz.live | Centro de selección y coordinación |
Infraestructura de dominios (más de 12 dominios)
| Dominio | Objetivo |
|---|
| checkscore.cc | Principal plataforma de estafas |
| cryptomus-payment.com | Pasarela de pago falsa |
| check-score.ru | Variante dirigida a Rusia |
| + 9 dominios adicionales registrados en ScamIntelLogs |
Por qué es importante el material archivado
El estado de archivo de 717Team es el dato más importante a lo largo de toda esta investigación. Esto demuestra que los grupos de estafadores de nivel medio puede se desarticuló gracias a una recopilación sistemática de información. El proceso que funcionó consistió en: (1) identificar la infraestructura, (2) rastrear carteras y miembros, (3) conservar las pruebas, (4) coordinar la presentación de informes entre las distintas plataformas. Los 2.946,25 dólares que se ha confirmado que fueron sustraídos representan las pérdidas documentadas; es probable que la cifra real fuera mayor, pero la operación se detuvo antes de que pudiera ampliarse aún más.
La conexión RublevkaTeam
El usuario «Admin @imdebank» (ID: 7149807602) estaba vinculado a RublevkaTeam, una operación fraudulenta independiente documentada en nuestro Estafa rusa de TON investigación. Esta conexión entre equipos refuerza una conclusión fundamental: estas operaciones no son aisladas. Los operadores se mueven de un equipo a otro, comparten infraestructura y mantienen redes que sobreviven a las interrupciones que sufren los equipos individuales.
La infraestructura compartida
Al analizar estos tres equipos en paralelo, se pone de manifiesto algo mucho más significativo que las operaciones individuales: revela una red. Herramientas compartidas, plataformas compartidas, documentos compartidos y, al menos en un caso, un vínculo directo entre el personal de los equipos.
Análisis comparativo
| Atributo | MercuryTeam | WasabiSquad | 717Team |
|---|
| Vectores de ataque | Intercambio + Casino | Bolsa + Apuestas + Inversión | Intercambio + Pagos falsos |
| Foro | lolz.live | lolz.live | lolz.live |
| Bots de Telegram | 2 bots | 1 bot + página web | 1 bot |
| Seguimiento | Hoja de cálculo de Google | Hoja de cálculo SAME | Seguimiento interno |
| Idioma | Ruso | Ruso | Ruso |
| Estado | Activo | Activo | Archivado |
Aspectos comunes de la infraestructura
- Hoja de cálculo compartida de Google — MercuryTeam y WasabiSquad utilizan el mismo documento para el seguimiento de víctimas e ingresos
- lolz.live como centro neurálgico — Los tres equipos reclutan, publicitan y coordinan sus actividades a través del mismo foro en ruso
- Telegram como capa operativa — Todos los equipos utilizan bots de Telegram para captar a las víctimas y comunicarse con los operadores.
- Personal de varios equipos — El administrador del equipo 717Team, @imdebank, se ha vinculado al equipo RublevkaTeam, lo que demuestra la movilidad de los operadores entre equipos
- Operaciones en lengua rusa — Todos los equipos operan en ruso, lo que indica un origen geográfico y cultural común
«Comparten hojas de cálculo. Comparten foros. Comparten técnicas. Lo único que no comparten es el nombre de su marca, y puede que incluso esa distinción sea artificial».
— Resumen del análisis de PhishDestroy
Actores que no actúan de forma aislada
Las pruebas son claras: MercuryTeam, WasabiSquad y 717Team no son grupos independientes que, por casualidad, utilicen métodos similares. El hoja de cálculo compartida de Google entre Mercury y Wasabi, el foro compartido en los tres, y el solapamiento de personal Las relaciones entre 717Team y RublevkaTeam apuntan a un ecosistema interconectado. Interferir en un equipo sin comprender la red conlleva el riesgo de que los operadores simplemente se trasladen a otra marca.
Pruebas y documentación
Toda la información a la que se hace referencia en esta investigación se ha conservado en el repositorio ScamIntelLogs de PhishDestroy. Cada equipo dispone de un directorio de pruebas específico que contiene identificadores de bots, direcciones de monederos, capturas de pantalla de foros, listas de dominios y análisis estructurales.
Pruebas de MercuryTeam
Identificadores de bots duplicados, hilo del foro, documentación sobre la estructura de mentores, hoja de cálculo de referencia
Pruebas de WasabiSquad
Análisis de «triple amenaza», documentación de wasabihub.one, prueba en hoja de cálculo compartida
Pruebas del equipo 717 (archivadas)
125 miembros, 85 monederos, 2.946,25 dólares sustraídos, más de 12 dominios, el administrador @imdebank vinculado a RublevkaTeam
Repositorio completo de ScamIntelLogs
Archivo completo de inteligencia sobre amenazas: todos los equipos, todas las pruebas, con control de versiones
El equipo 717 fue detenido. Los demás también pueden serlo.
La recopilación de información funciona. La conservación de pruebas funciona. La presentación coordinada de informes funciona. El estado de archivo del 717Team es la prueba viviente de ello.
Ayúdanos a ejercer la misma presión sobre MercuryTeam, WasabiSquad y todos los grupos fraudulentos de nivel medio que siguen en activo.
#ScamTeams#MercuryTeam#WasabiSquad#717Team#Investigation
Investigaciones relacionadas