La clase media del fraude
Cuando las investigaciones sobre estafas con criptomonedas acaparan los titulares, las cifras son abrumadoras: imperios de mentoría de 10 millones de dólares, estafas de «rug pull» de miles de millones de dólares, redes de blanqueo de capitales patrocinadas por el Estado. Pero tras esas operaciones que acaparan los titulares se esconde un vasto ecosistema de grupos de estafadores de nivel medio que, en conjunto, causan un daño enorme sin que nadie se dé cuenta.
No se trata de personas que actúan por su cuenta. Están organizados, reclutan a través de foros, utilizan bots de Telegram para automatizar procesos y realizan un seguimiento de sus víctimas en hojas de cálculo de Google, igual que cualquier equipo de ventas legítimo hace con sus clientes potenciales. Representan el clase media operativa del cibercrimen — lo suficientemente sofisticado como para adaptarse a cualquier escala, lo suficientemente pequeño como para pasar desapercibido.
Esta investigación analiza tres de esos equipos documentados en PhishDestroy's Registros de ScamIntel repositorio:
MercuryTeam
Estado: Activo. Operación de doble vía que lleva a cabo estafas bursátiles y de casino simultáneamente a través de dos bots de Telegram. Estructura de habla rusa basada en un sistema de mentores.
El equipo Wasabi
Estado: Activo. Operación triple que se dirige a las víctimas a través de plataformas de intercambio falsas, plataformas de apuestas y bots de inversión. Comparte infraestructura con MercuryTeam.
Equipo 717
Estado: ARCHIVADO. Desmantelamiento de una red de 125 miembros gracias a la recopilación de información y a la coordinación de las denuncias. Prueba de que la desarticulación funciona.
Conclusión principal
MercuryTeam y WasabiSquad comparten la MISMA URL de la hoja de cálculo de Google — lo que apunta a que se trata de los mismos autores o de una alianza muy bien coordinada.
Por qué son importantes los equipos de la zona media de la tabla
Por cada noticia que habla de miles de millones de dólares, hay cientos de equipos como estos operan a diario. Contratan personal de forma agresiva, se adaptan rápidamente y, en conjunto, estafan millones a víctimas de todo el mundo. Comprender su estructura es fundamental para desarticularlas a gran escala.
MercuryTeam: Operaciones de doble vector
MercuryTeam gestiona un modelo de fraude de doble vector — llevar a cabo estafas relacionadas con plataformas de intercambio y casinos al mismo tiempo a través de dos bots de Telegram específicos. Este enfoque maximiza el número de víctimas potenciales: los usuarios que no caerían en la trampa de una plataforma de intercambio falsa podrían verse atraídos por una oferta de casino, y viceversa.
Infraestructura de bots de Telegram
| Bot | Telegram: Comprar | ID de la multa | Vector |
|---|
| Bot principal | @MercuryTeam_bot | 6631580796 | Fraude en el mercado de divisas |
| Bot de casino | @MercuryCasi_bot | 6431207710 | Fraude en los casinos |
La arquitectura de doble bot no es casual. Al separar las operaciones de la plataforma de intercambio y del casino en bots distintos, MercuryTeam consigue compartimentación operativa — Si se denuncia o se bloquea a uno de los bots, el otro sigue funcionando. Las víctimas interactúan con el bot que mejor se adapta a su perfil de vulnerabilidad.
Estructura organizativa
MercuryTeam utiliza un modelo de mentor con ramificaciones. Los operadores con más experiencia forman a los nuevos miembros, quienes posteriormente establecen sucursales semiautónomas. Esta estructura, similar a la de una franquicia, permite al equipo crecer rápidamente sin dejar de garantizar la seguridad operativa. Los nuevos miembros aprenden de sus mentores asignados técnicas de interacción con las víctimas, manejo de guiones y procedimientos de retirada antes de empezar a trabajar por su cuenta.
Presencia en foros
MercuryTeam contrata y publica sus ofertas a través de lolz.live, uno de los foros de fraude en lengua rusa más grandes. Su hilo de reclutamiento: lolz.live/threads/6129774/
Seguimiento de víctimas
Los datos sobre ingresos y víctimas se registran a través de un Hoja de cálculo compartida de Google — un detalle que cobra especial importancia al analizar las operaciones de WasabiSquad.
Evaluación de inteligencia
MercuryTeam representa un Evolución del fraude en el segmento medio: el enfoque de doble vector duplica su superficie de ataque, mientras que el modelo mentor garantiza una calidad constante en todas las ramas. Operación en lengua rusa, con toda la coordinación llevada a cabo a través de Telegram. Todas las pruebas se conservan en ScamIntelLogs.
WasabiSquad: Triple amenaza
Mientras que MercuryTeam ejecuta dos vectores, WasabiSquad lo lleva hasta tres — combinando plataformas de intercambio falsas, plataformas de apuestas y bots de inversión en una sola operación. Este enfoque multivectorial se dirige a perfiles de víctimas totalmente distintos: el operador de criptomonedas, el apostador y el inversor pasivo.
Infraestructura de bots y web
| Activo | Identificar | Tipo |
|---|
| Bot principal | @WasabiSquad_Bot | Bot de Telegram (ID: 7380099926) |
| Sitio web | wasabihub.one | Plataforma web |
| Hilo del foro | lolz.live/threads/7933252/ | Contratación y publicidad |
Tres vectores de ataque
Fraude en el mercado de divisas
Plataformas falsas de intercambio de criptomonedas diseñadas para robar los depósitos. Las víctimas creen que están operando en una plataforma legítima y depositan fondos que luego no pueden retirar.
Fraude en el juego
Plataformas de apuestas amañadas que prometen ganancias pero exigen «depósitos de verificación» antes de poder retirar fondos —depósitos que se esfuman al instante—.
Fraude con bots de inversión
Bots de inversión automatizados que prometen rendimientos garantizados. Las víctimas depositan criptomonedas con la esperanza de obtener beneficios gracias al trading algorítmico y no reciben nada a cambio.
El enlace a la hoja de cálculo
WasabiSquad utiliza la MISMA hoja de cálculo de Google que MercuryTeam para el seguimiento de las víctimas y los ingresos. Esta es la conclusión más importante de esta investigación.
«La misma hoja de cálculo. Las mismas columnas de seguimiento. Las mismas fórmulas de ingresos. O bien se trata de las mismas personas con diferentes identidades, o bien confían lo suficiente entre sí como para compartir toda su base de datos de víctimas».
— Informe de evaluación de PhishDestroy Intelligence
Solapamiento de infraestructuras críticas
La hoja de cálculo compartida de Google entre MercuryTeam y WasabiSquad no es un simple detalle técnico, sino que es prueba de la unidad operativa. Dos equipos con marcas distintas, bots de Telegram diferentes y hilos de foro independientes están utilizando el mismo documento de backend para realizar un seguimiento de las víctimas y los ingresos. Esto apunta a que o bien los mismos operadores gestionan ambas marcas o un una alianza formal con una infraestructura financiera común.
717Team: La prueba de que la disrupción funciona
De los tres equipos analizados en esta investigación, 717Team destaca por una característica única: se ha archivado. En la terminología de ScamIntelLogs, «archivado» significa que las operaciones se han interrumpido y que el equipo ya no está estafando activamente. No se trata de un éxito teórico, sino de una prueba documentada de que la recopilación de información, la conservación de pruebas y la denuncia coordinada pueden poner fin al fraude organizado.
El equipo 717 en cifras
2.946 dólares
Confirmado: sin agua
ARCHIVADO
Estado de las operaciones
Enlaces de administración y red
| Función | Identificar | Detalles |
|---|
| Admin | @imdebank | ID de Telegram: 7149807602 |
| Enlace de red | RublevkaTeam | El administrador @imdebank está vinculado a esta operación independiente |
| Bot | @team717_bot | Bot principal de Telegram (actualmente inactivo) |
| Foro | lolz.live | Centro de selección y coordinación |
Infraestructura de dominios (más de 12 dominios)
| Dominio | Objetivo |
|---|
| checkscore.cc | Principal plataforma de estafas |
| cryptomus-payment.com | Pasarela de pago falsa |
| check-score.ru | Variante dirigida al mercado ruso |
| + 9 dominios adicionales registrados en ScamIntelLogs |
Por qué es importante el archivo
El estado de archivo de 717Team es el dato más importante a lo largo de toda esta investigación. Esto demuestra que los grupos de estafadores de nivel medio puede se desbarató gracias a una recopilación sistemática de información. El proceso que funcionó consistió en: (1) identificar la infraestructura, (2) rastrear carteras y miembros, (3) preservar las pruebas, (4) coordinar la notificación entre plataformas. Los 2.946,25 dólares que se confirmó que se habían sustraído representan las pérdidas documentadas; es probable que la cifra real fuera mayor, pero la operación se detuvo antes de que pudiera ampliarse aún más.
La conexión RublevkaTeam
El usuario «Admin @imdebank» (ID: 7149807602) estaba vinculado a RublevkaTeam, una operación fraudulenta independiente documentada en nuestro Estafa rusa de TON investigación. Esta conexión entre equipos refuerza una conclusión fundamental: estas operaciones no son aisladas. Los operadores se mueven de un equipo a otro, comparten infraestructura y mantienen redes que sobreviven a las interrupciones que sufren los equipos individuales.
La infraestructura compartida
Al analizar estos tres equipos en paralelo, se observa algo mucho más significativo que las operaciones individuales: se pone de manifiesto una red. Herramientas compartidas, plataformas compartidas, documentos compartidos y, al menos en un caso, un vínculo directo entre el personal de los equipos.
Análisis comparativo
| Atributo | MercuryTeam | El equipo Wasabi | Equipo 717 |
|---|
| Vectores de ataque | Intercambio + Casino | Bolsa + Apuestas + Inversión | Intercambio + Pagos falsos |
| Foro | lolz.live | lolz.live | lolz.live |
| Bots de Telegram | 2 bots | 1 hueso + sitio web | una botella |
| Seguimiento | Hoja de cálculo de Google | Hoja de cálculo SAME | Seguimiento interno |
| Idioma | Ruso | Ruso | Ruso |
| Estado | Activo | Activo | Archivado |
Aspectos comunes de la infraestructura
- Hoja de cálculo compartida de Google — MercuryTeam y WasabiSquad utilizan el mismo documento para el seguimiento de víctimas e ingresos
- lolz.live como centro neurálgico — Los tres equipos reclutan, publicitan y coordinan sus actividades a través del mismo foro en ruso
- Telegram como capa operativa — Todos los equipos utilizan bots de Telegram para captar víctimas y comunicarse con los operadores
- Personal de varios equipos — El administrador del equipo 717Team, @imdebank, se ha vinculado al equipo RublevkaTeam, lo que demuestra la movilidad de los operadores entre equipos
- Operaciones en lengua rusa — Todos los equipos operan en ruso, lo que indica un origen geográfico y cultural común
«Comparten hojas de cálculo. Comparten foros. Comparten técnicas. Lo único que no comparten es su marca, y puede que incluso esa distinción sea artificial».
— Resumen del análisis de PhishDestroy
No son actores aislados
Las pruebas son claras: MercuryTeam, WasabiSquad y 717Team no son grupos independientes que, por casualidad, utilicen métodos similares. El Hoja de cálculo compartida de Google entre Mercury y Wasabi, el foro compartido en los tres, y el solapamiento de personal Las interrelaciones entre 717Team y RublevkaTeam apuntan a un ecosistema interconectado. Interferir en un equipo sin comprender la red conlleva el riesgo de que los operadores simplemente se trasladen a otra marca.
Pruebas y documentación
Toda la información de inteligencia a la que se hace referencia en esta investigación se ha conservado en el repositorio ScamIntelLogs de PhishDestroy. Cada equipo dispone de un directorio de pruebas específico que contiene identificadores de bots, direcciones de monederos, capturas de pantalla de foros, listas de dominios y análisis estructurales.
Pruebas de MercuryTeam
Identificadores de bots duplicados, hilo del foro, documentación sobre la estructura de mentores, hoja de cálculo de referencia
Pruebas de WasabiSquad
Análisis de la triple amenaza, documentación de wasabihub.one, prueba en hoja de cálculo compartida
717Team Evidence (Archivado)
125 miembros, 85 monederos, 2.946,25 dólares sustraídos, más de 12 dominios, el administrador @imdebank vinculado a RublevkaTeam
Repositorio completo de ScamIntelLogs
Archivo completo de inteligencia sobre amenazas: todos los equipos, todas las pruebas, con control de versiones
El equipo 717 fue detenido. Los demás también pueden serlo.
La recopilación de información da resultados. La conservación de pruebas da resultados. La coordinación en la presentación de informes da resultados. El estado de archivo del 717Team es la prueba fehaciente de ello.
Ayúdanos a ejercer la misma presión sobre MercuryTeam, WasabiSquad y todos los grupos fraudulentos de nivel medio que siguen en activo.
#ScamTeams
#MercuryTeam
#WasabiSquad
#717Team
#Investigation
Investigaciones relacionadas
