Se descubre una red de phishing relacionada con Trust Wallet: se han sustraído 239 000 dólares y se ha identificado a seis operadores
tttadmin.com · Estafa de chat en vivo · IDOR · 14 meses de actividad · Marzo de 2026
Resumen ejecutivo
Esta investigación documenta Panel de TrustWallet — una sofisticada operación de phishing que se hace pasar por Trust Wallet a través del dominio de backend tttadmin.com. Se presenta a las elecciones para 14 meses (Enero de 2025 – febrero de 2026), la operación se dirigió a usuarios de criptomonedas a través de un chat de asistencia falso, sustrayendo frases de recuperación y exigiendo depósitos bajo el falso pretexto del «cumplimiento de la OFAC» y la «reposición de activos». Las 1.900 conversaciones de las víctimas se obtuvieron mediante una vulnerabilidad crítica de tipo IDOR. Se ha revelado la identidad del operador principal.
Cómo funciona la estafa: flujo del ataque
La operación sigue un proceso de cinco fases cuidadosamente diseñado para sacar el máximo provecho de cada víctima:
Pérdidas económicas: principales pérdidas confirmadas
| ID de chat | Importe | Activo | Contexto |
|---|---|---|---|
| #1795 | Ciento noventa y siete mil USDT | TRON (TRC-20) | Tomado prestado de mi exmujer |
| #481 | ~45,77 ETH | Ethereum | Varios depósitos |
| #965 | Aproximadamente 16 000 USDT | USDT | Ingresos sucesivos |
| #720 | Ocho mil USDT | Tronc-20 | Traslado de un día |
| #1090 | 5.839 USDT | USDT | Madre soltera, pérdida confirmada |
| #1430 | ~3.686 USDT | USDT | Dos depósitos distintos |
| #92 | 3.340,23 USDT | USDT | Importe exacto confirmado |
| #1089 | 0,3201 BTC | Bitcoin | Desde el monedero físico Ledger |
Es probable que los daños reales sean mucho mayores
Se trata de datos facilitados por los propios interesados, extraídos de registros de chat, que no han sido verificados. Muchas víctimas nunca comunicaron las cantidades. La rotación de carteras hace que sea imposible calcular los totales en la cadena de bloques sin un rastreo completo de la misma.
Identificación del operador
Operador principal: Vasiliy Navrotsky
| Parámetros | Valor |
|---|---|
| Nombre completo | Vasily Navrotsky (Vasili Navrotski) |
| ID de Telegram | 6005741623 |
| Nombre de usuario actual | @Addmeks |
| Historial de nombres de usuario | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Período de vigencia | Julio de 2023 – mayo de 2025 |
| Mensajes seguidos | 249 en 61 grupos de Telegram |
| Grupos clave | Binance RU (34), P2P LAB (9), Trust Wallet RU (6) |
Miembros del equipo identificados en los registros de chat
Tácticas de ingeniería social
| Táctica | Mensajes | Descripción |
|---|---|---|
| Suplantación de identidad de Trust Wallet | 1,905 | Haciéndose pasar por el servicio de asistencia oficial de Trust Wallet |
| Reclamaciones por bloqueo o congelación de monederos | 360 | Afirman que la cartera ha sido bloqueada debido a «actividad sospechosa» |
| Ofertas de sustitución de activos | 305 | Prometiendo «reembolsar» los activos congelados tras el depósito |
| Amenazas de sanciones de la OFAC | 210 | Afirmaciones falsas sobre sanciones del Tesoro de EE. UU. contra una cartera digital |
| Exigencias de depósito para el desbloqueo | 185 | Exigir un depósito en criptomonedas para «desbloquear» el monedero |
| Ofertas falsas de staking | 161 | Grupos de staking con APY personalizados en el panel de administración |
| AML/CTF: Acusaciones | 66 | Acusar a las víctimas de blanqueo de capitales |
La ironía
Estafadores de habla rusa que se dirigen a víctimas de habla rusa (el 51 % de los chats son en ruso) con amenazas de Sanciones de la OFAC del Departamento del Tesoro de EE. UU. — un mecanismo regulador que no tiene en cuenta la ubicación geográfica de sus víctimas. Ingeniería social basada en plantillas, en lugar de una comprensión del contexto.
Embargo de participación de las víctimas
Idiomas: Ruso 51 % (3 013 mensajes) · Inglés 40 % (2 995 mensajes) · Otros 9 % (365 mensajes)
Máximo de actividad: Noviembre de 2025 (959 mensajes). Horario laboral: de 10:00 a 13:00 UTC; los fines de semana, un 40 % menos.
Análisis de infraestructuras
Arquitectura del dominio principal: tttadmin.com
| Componente | Detalles |
|---|---|
| API de víctimas | appp.tttadmin.com |
| Panel de administración | core.tttadmin.com / app.tttadmin.com |
| CDN estática | static.tttadmin.com |
| Pila de backend | Java Spring Boot + Spring Security, JWT RS256 |
| Base de datos | PostgreSQL (JPA/Hibernate) |
| Interfaz de usuario | React CRA + Material UI (339 archivos fuente recuperados) |
| Servidor web | nginx/1.18.0 (Ubuntu) |
Infraestructura de alojamiento
| IP | Ubicación | Proveedor | Función |
|---|---|---|---|
45.144.30.6 | Moscú, Rusia | UFO Hosting (AS33993) | Dirigido principalmente a las víctimas |
2.56.178.117 | Moscú, Rusia | UFO Hosting (AS33993) | Fase inicial (enero-febrero de 2025) |
185.170.198.121 | Vilna, Lituania | Hostinger (AS47583) | Interfaz de phishing |
69.10.62.71 | Nueva York, EE. UU. | Interserver (AS19318) | Orientado a las víctimas |
69.49.231.166 | Atlanta, Georgia | Soluciones de red | Dominio principal actual: todos los *.tttadmin.com |
94.131.121.154 | Moscú, Rusia | UFO Hosting (AS33993) | Phishing |
146.185.239.62 | Madrid, ES | GTHost (AS63023) | Secundario (casino + Next.js) |
Dominios de phishing (en rotación)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
Vulnerabilidades críticas de seguridad
La infraestructura del panel de estafas estaba plagada de vulnerabilidades que facilitaban enormemente la extracción completa de datos:
11 Puntos de conexión de la API sin autenticación
Funcionalidades del panel de administración (análisis del código fuente)
Se recuperaron 339 archivos fuente a partir de los mapas de código fuente de la entorno de producción que quedaron expuestos (main.3924229a.js.map). El panel cuenta con:
Se ha detectado actividad de investigación de terceros
Se ha detectado una carga útil de shell inverso en el chat n.º 1
Se ha detectado una carga útil de shell inverso codificada en Base64 inyectada a través de la interfaz sin autenticación /message/save punto final en 6 de mayo de 2025 — aproximadamente 10 meses antes de esta investigación. Esto indica que las vulnerabilidades pudieron ser explotadas públicamente durante un largo periodo de tiempo y que otro investigador las descubrió mucho antes que nosotros.
Cronología de la operación
Recomendaciones para los usuarios
- Nunca compartas frases de semilla por chat, correo electrónico o cualquier otro canal de asistencia: Trust Wallet nunca te pedirá esos datos
- Verificar los datos de contacto del servicio de asistencia exclusivamente a través de los canales oficiales de Trust Wallet
- Identificar las amenazas relacionadas con la OFAC y la lucha contra el blanqueo de capitales como pretextos habituales de estafa: los servicios legítimos no bloquean las carteras a través del chat
- Denunciar dominios de phishing al equipo de seguridad de Trust Wallet y PhishDestroy
- Utiliza carteras de hardware para la firma de retiradas, con el fin de evitar transferencias no autorizadas
- Comprobar el estado del monedero a través del historial de transacciones de la cadena de bloques, y no a través de ninguna interfaz de «asistencia»
Informe técnico completo con registros de chat
Datos completos de la investigación, incluyendo todas las transcripciones de los chats, direcciones de monederos, análisis de operadores y visualizaciones interactivas
Ver el informe completo en GitHub →Ver las 1.900 transcripciones de chat →
