La classe moyenne de la fraude
Lorsque les enquêtes sur les escroqueries liées aux cryptomonnaies font la une des journaux, les chiffres sont stupéfiants : des empires de mentorat valant 10 millions de dollars, des « rug pulls » de plusieurs milliards de dollars, des réseaux de blanchiment d'argent soutenus par des États. Mais derrière ces opérations qui font les gros titres se cache un vaste écosystème de des équipes d'escrocs de second rang qui, ensemble, causent d'énormes dégâts tout en passant inaperçus.
Ce ne sont pas des acteurs isolés. Ils sont organisés, recrutent via des forums, utilisent des bots Telegram pour automatiser leurs processus et suivent leurs victimes dans des feuilles de calcul Google, tout comme n'importe quelle équipe commerciale légitime suit ses prospects. Ils représentent le la classe moyenne opérationnelle de la cybercriminalité — suffisamment sophistiqué pour s'adapter à toute échelle, suffisamment discret pour passer inaperçu.
Cette enquête se penche sur trois de ces équipes répertoriées dans le site de PhishDestroy ScamIntelLogs référentiel :
MercuryTeam
Statut : Actif. Opération à deux volets consistant à mener de front des escroqueries boursières et des arnaques de casino via deux bots Telegram. Structure de type « mentorat » en langue russe.
La brigade Wasabi
Statut : Actif. Opération à trois volets ciblant des victimes par le biais de fausses plateformes d'échange, de sites de jeux d'argent et de robots d'investissement. Partage son infrastructure avec MercuryTeam.
717Team
Statut : ARCHIVÉ. Un réseau de 125 membres a été démantelé grâce à un travail de renseignement et à une coordination des signalements. La preuve que la lutte contre le terrorisme porte ses fruits.
Principales conclusions
MercuryTeam et WasabiSquad partagent la MÊME URL de feuille de calcul Google — ce qui semble indiquer soit qu'il s'agit des mêmes auteurs, soit d'une alliance étroitement coordonnée.
Pourquoi les équipes de milieu de tableau sont importantes
Pour chaque gros titre à un milliard de dollars, il y a des centaines d'équipes comme celles-ci Ils opèrent quotidiennement. Ils recrutent sans relâche, s'adaptent rapidement et soutirent collectivement des millions de dollars à leurs victimes partout dans le monde. Il est essentiel de comprendre leur structure pour les démanteler à grande échelle.
MercuryTeam : Opérations à deux vecteurs
MercuryTeam gère un modèle de détection de fraude à deux vecteurs — en menant de front des escroqueries liées aux plateformes d'échange et aux casinos via deux bots Telegram dédiés. Cette approche permet de toucher un maximum de victimes : les utilisateurs qui ne se laisseraient pas piéger par une fausse plateforme d'échange pourraient être attirés par une offre de casino, et inversement.
Infrastructure des bots Telegram
| Bot | Boutique Telegram | Identifiant de l'amende | Vecteur |
|---|
| Bot principal | @MercuryTeam_bot | 6631580796 | Fraude boursière |
| Bot de casino | @MercuryCasi_bot | 6431207710 | Fraude dans les casinos |
L'architecture à double bot n'est pas le fruit du hasard. En séparant les opérations de la plateforme d'échange et celles du casino dans des bots distincts, MercuryTeam parvient à compartimentation opérationnelle — si un bot est signalé ou banni, l'autre continue de fonctionner. Les victimes interagissent avec le bot qui correspond à leur profil de vulnérabilité.
Structure organisationnelle
MercuryTeam utilise un modèle de mentorat avec des branches. Les opérateurs expérimentés forment les nouvelles recrues, qui créent ensuite des succursales semi-autonomes. Cette structure de type franchise permet à l'équipe de se développer rapidement tout en garantissant la sécurité des opérations. Avant de travailler de manière autonome, les nouvelles recrues apprennent les techniques d'approche des victimes, la gestion des scénarios et les procédures de retrait auprès des mentors qui leur sont attribués.
Présence sur les forums
MercuryTeam recrute et diffuse ses offres d'emploi via lolz.live, l'un des plus grands forums de fraude en langue russe. Leur fil de discussion dédié au recrutement : lolz.live/threads/6129774/
Suivi des victimes
Les données relatives aux recettes et aux victimes sont suivies par le biais d'un Feuille de calcul Google partagée — un détail qui revêt une importance cruciale lorsqu'on examine les activités de WasabiSquad.
Évaluation des renseignements
MercuryTeam représente un Évolution de la fraude dans le secteur des moyennes entreprises: l'approche à deux vecteurs double leur surface d'attaque, tandis que le modèle de référence garantit une qualité constante dans toutes les branches. Opération menée en russe, toute la coordination s'effectuant via Telegram. L'ensemble des preuves est conservé dans ScamIntelLogs.
WasabiSquad : Triple menace
Alors que MercuryTeam exécute deux vecteurs, WasabiSquad le pousse jusqu'à trois — en regroupant sous une même entité de fausses bourses, des plateformes de jeux d'argent et des robots d'investissement. Cette approche multivectorielle cible des profils de victimes totalement différents : le trader de cryptomonnaies, le joueur et l'investisseur passif.
Infrastructure pour les bots et le Web
| Actif | Identifier | Type |
|---|
| Bot principal | @WasabiSquad_Bot | Bot Telegram (ID : 7380099926) |
| Site web | wasabihub.one | Plateforme Web |
| Fil de discussion | lolz.live/threads/7933252/ | Recrutement et publicité |
Trois vecteurs d'attaque
Fraude boursière
De fausses plateformes d'échange de cryptomonnaies conçues pour dérober les dépôts. Les victimes pensent qu'elles effectuent des transactions sur une plateforme légitime et y déposent des fonds qu'elles ne peuvent ensuite plus retirer.
Fraude dans le domaine des jeux d'argent
Des plateformes de jeux d'argent truquées qui promettent des gains mais exigent des « dépôts de vérification » avant tout retrait — des dépôts qui sont immédiatement détournés.
Fraude liée aux robots d'investissement
Des robots d'investissement automatisés qui promettent des rendements garantis. Les victimes déposent des cryptomonnaies dans l'espoir de réaliser des bénéfices grâce au trading algorithmique, mais ne reçoivent rien en retour.
Le lien vers la feuille de calcul
WasabiSquad utilise la MÊME feuille de calcul Google que MercuryTeam pour le suivi des victimes et des recettes. C'est là la conclusion la plus importante de cette enquête.
« Même feuille de calcul. Mêmes colonnes de suivi. Mêmes formules de calcul des recettes. Soit ce sont les mêmes personnes qui changent de déguisement, soit ils se font suffisamment confiance pour partager l'intégralité de leur base de données de victimes. »
— Évaluation des renseignements de PhishDestroy
Chevauchement des infrastructures critiques
La feuille de calcul Google partagée entre MercuryTeam et WasabiSquad n'est pas un simple détail technique — c'est preuve de l'unité opérationnelle. Deux équipes disposant de marques distinctes, de bots Telegram différents et de fils de discussion séparés sur les forums utilisent le même document de gestion pour suivre les victimes et les recettes. Cela laisse supposer soit les mêmes exploitants gèrent les deux marques ou un alliance formelle reposant sur une infrastructure financière commune.
717Team : la preuve que la disruption fonctionne
Parmi les trois équipes étudiées dans le cadre de cette enquête, 717Team se distingue particulièrement : il a été archivé. Dans la terminologie de ScamIntelLogs, le terme « archivé » signifie que les activités ont été interrompues et que le groupe ne mène plus activement ses escroqueries. Il ne s'agit pas d'un succès théorique, mais d'une preuve documentée que la collecte de renseignements, la conservation des preuves et la coordination des signalements peuvent mettre fin à la fraude organisée.
La 717Team en chiffres
0
Portefeuilles identifiés
2 946 $
Confirmé : vidangé
ARCHIVÉ
État des opérations
Liens d'administration et réseau
| Fonction | Identifier | Détails |
|---|
| Admin | @imdebank | Identifiant Telegram : 7149807602 |
| Lien réseau | RublevkaTeam | L'administrateur @imdebank est lié à cette opération distincte |
| Bot | @team717_bot | Bot Telegram principal (désormais inactif) |
| Forum | lolz.live | Centre de recrutement et de coordination |
Infrastructure de domaines (12 domaines ou plus)
| Domaine | Objectif |
|---|
| checkscore.cc | Principale plateforme d'escroquerie |
| cryptomus-payment.com | Fausse passerelle de paiement |
| check-score.ru | Variante ciblant la Russie |
| + 9 domaines supplémentaires répertoriés dans ScamIntelLogs |
Pourquoi les archives sont importantes
Le statut d'archivage de 717Team est le donnée la plus importante tout au long de cette enquête. Cela montre que les groupes de fraudeurs de taille moyenne peut a été déjouée grâce à un travail systématique de collecte de renseignements. La méthode qui a fait ses preuves consistait à : (1) identifier l'infrastructure, (2) suivre les portefeuilles et les membres, (3) conserver les preuves, (4) coordonner les signalements entre les différentes plateformes. Les 2 946,25 dollars dont le détournement a été confirmé correspondent aux pertes avérées — le montant réel était probablement plus élevé, mais l'opération a été stoppée avant qu'elle ne puisse prendre davantage d'ampleur.
Le réseau RublevkaTeam
L'administrateur @imdebank (ID : 7149807602) a été associé à RublevkaTeam, une autre arnaque dont nous avons fait état dans notre Arnaque russe TON enquête. Cette interconnexion entre les équipes confirme une conclusion essentielle : ces opérations ne sont pas isolées. Les opérateurs passent d'une équipe à l'autre, partagent des infrastructures et entretiennent des réseaux qui résistent aux perturbations subies par chaque équipe.
L'infrastructure partagée
En comparant ces trois équipes, on constate quelque chose de bien plus important que leurs opérations individuelles : cela révèle une réseau. Des outils communs, des plateformes communes, des documents communs et, dans au moins un cas, un lien direct entre les équipes au niveau du personnel.
Analyse comparative
| Attribut | MercuryTeam | La brigade Wasabi | 717Team |
|---|
| Vecteurs d'attaque | Bourse + Casino | Bourse + Jeux d'argent + Investissement | Échange + Faux paiements |
| Forum | lolz.live | lolz.live | lolz.live |
| Bots Telegram | 2 robots | 1 os + site web | une bouteille |
| Suivi | Tableur Google | Feuille de calcul SAME | Suivi interne |
| Langue | Russe | Russe | Russe |
| Statut | Actif | Actif | Archivé |
Points communs en matière d'infrastructure
- Feuille de calcul Google partagée — MercuryTeam et WasabiSquad utilisent le même document pour le suivi des victimes et des revenus
- lolz.live comme plateforme centrale — Ces trois équipes recrutent, font de la publicité et se coordonnent via le même forum en russe
- Telegram en tant que couche opérationnelle — Toutes les équipes ont recours à des bots Telegram pour le recrutement des victimes et la communication entre opérateurs
- Personnel inter-équipes — L'administrateur de l'équipe 717 @imdebank a été associé à l'équipe Rublevka, ce qui illustre la mobilité des opérateurs entre les équipes
- Activités en langue russe — Toutes les équipes travaillent en russe, ce qui témoigne d'une origine géographique et culturelle commune
« Ils partagent des feuilles de calcul. Ils partagent des forums. Ils partagent des techniques. La seule chose qu’ils ne partagent pas, c’est leur nom de marque — et même cette distinction pourrait bien être artificielle. »
— Résumé de l'analyse de PhishDestroy
Des acteurs qui ne sont pas isolés
Les faits sont clairs : MercuryTeam, WasabiSquad et 717Team ne sont pas des groupes indépendants qui, par hasard, emploient des méthodes similaires. Le Feuille de calcul Google partagée entre Mercury et Wasabi, le forum commun sur les trois, et le chevauchement de personnel Les liens entre 717Team et RublevkaTeam témoignent d'un écosystème interconnecté. Perturber le fonctionnement d'une équipe sans comprendre le réseau risque simplement de pousser les opérateurs vers une autre marque.
Preuves et documentation
Toutes les données de renseignement mentionnées dans cette enquête ont été archivées dans le référentiel ScamIntelLogs de PhishDestroy. Chaque équipe dispose d'un répertoire dédié aux preuves contenant les identifiants des bots, les adresses de portefeuilles, des captures d'écran de forums, des listes de domaines et des analyses structurelles.
MercuryTeam : les preuves
Identifiants de deux bots, fil de discussion sur le forum, documentation sur la structure des mentors, feuille de calcul de référence
Preuves WasabiSquad
Analyse des trois menaces, documentation de wasabihub.one, preuve sous forme de feuille de calcul partagée
717Team Evidence (Archivé)
125 membres, 85 portefeuilles, 2 946,25 $ détournés, plus de 12 domaines, l'administrateur @imdebank lié à RublevkaTeam
Référentiel complet de ScamIntelLogs
Archives complètes de renseignements sur les menaces — toutes les équipes, toutes les preuves, avec contrôle des versions
L'équipe 717 a été stoppée. Les autres peuvent l'être aussi.
La collecte de renseignements est efficace. La conservation des preuves est efficace. La communication coordonnée est efficace. Le statut d'archivage de 717Team en est la preuve vivante.
Aidez-nous à exercer la même pression sur MercuryTeam, WasabiSquad et toutes les autres équipes frauduleuses de taille moyenne qui sont encore en activité.
#ScamTeams
#MercuryTeam
#WasabiSquad
#717Team
#Investigation
