La classe moyenne de la fraude
Lorsque les enquêtes sur les escroqueries liées aux cryptomonnaies font la une des journaux, les chiffres sont stupéfiants : des empires de mentorat valant 10 millions de dollars, des « rug pulls » se chiffrant en milliards de dollars, des réseaux de blanchiment d’argent soutenus par des États. Mais derrière ces opérations qui font les gros titres se cache un vaste écosystème de les équipes d'escrocs de second rang qui, pris dans leur ensemble, causent d’énormes dégâts tout en passant inaperçus.
Il ne s'agit pas d'acteurs isolés. Ils sont organisés, recrutent via des forums, utilisent des bots Telegram pour automatiser leurs processus et suivent leurs victimes dans des feuilles de calcul Google, à l'instar d'une équipe commerciale légitime qui suit ses prospects. Ils représentent le la classe moyenne opérationnelle de la cybercriminalité — suffisamment sophistiqué pour s'adapter à toute échelle, suffisamment discret pour passer inaperçu.
Cette enquête se penche sur trois de ces équipes répertoriées dans le site de PhishDestroy ScamIntelLogs dépôt :
MercuryTeam
Statut : Actif. Opération à deux volets consistant à mener simultanément des escroqueries boursières et des arnaques liées aux casinos via deux bots Telegram. Structure de type « mentorat » en langue russe.
WasabiSquad
Statut : Actif. Opération à trois volets ciblant des victimes par le biais de fausses plateformes d'échange, de sites de jeux d'argent et de robots d'investissement. Partage son infrastructure avec MercuryTeam.
717Team
Statut : ARCHIVÉ. Un réseau de 125 membres a été démantelé grâce à un travail de renseignement et à une coordination des signalements. La preuve que les actions de perturbation portent leurs fruits.
Principale conclusion
MercuryTeam et WasabiSquad partagent la MÊME URL de feuille de calcul Google. — ce qui laisse supposer soit qu’il s’agit d’opérateurs identiques, soit d’une alliance étroitement coordonnée.
Pourquoi les équipes de milieu de tableau sont importantes
Pour chaque gros titre évoquant un milliard de dollars, il y a des centaines d'équipes comme celles-ci Ils opèrent quotidiennement. Ils recrutent de manière intensive, s’adaptent rapidement et soutirent collectivement des millions à leurs victimes partout dans le monde. Il est essentiel de comprendre leur structure pour les démanteler à grande échelle.
MercuryTeam : Opérations à deux vecteurs
MercuryTeam gère un modèle de fraude à deux vecteurs — en menant de front des escroqueries liées aux plateformes d'échange et aux casinos via deux bots Telegram dédiés. Cette approche permet de toucher un maximum de victimes : les utilisateurs qui ne se laisseraient pas piéger par une fausse plateforme d'échange pourraient être attirés par une offre de casino, et inversement.
Infrastructure des bots Telegram
| Bot | Pseudo Telegram | Identifiant du bot | Vecteur |
|---|
| Bot principal | @MercuryTeam_bot | 6631580796 | Fraude boursière |
| Bot de casino | @MercuryCasi_bot | 6431207710 | Fraude dans les casinos |
L'architecture à deux bots n'est pas le fruit du hasard. En séparant les opérations de la plateforme d'échange et celles du casino dans des bots distincts, MercuryTeam parvient à compartimentation opérationnelle — si un bot est signalé ou banni, l'autre continue de fonctionner. Les victimes interagissent avec le bot qui correspond à leur profil de vulnérabilité.
Structure organisationnelle
MercuryTeam utilise un modèle de mentorat avec des branches. Les opérateurs expérimentés forment les nouvelles recrues, qui créent ensuite des antennes semi-autonomes. Cette structure de type franchise permet à l'équipe de se développer rapidement tout en garantissant la sécurité opérationnelle. Avant de travailler de manière autonome, les nouvelles recrues apprennent auprès de leurs mentors attitrés les techniques d'approche des victimes, la gestion des scénarios et les procédures de retrait.
Présence sur les forums
MercuryTeam recrute et diffuse ses offres d'emploi via lolz.live, l'un des plus grands forums de fraude en langue russe. Voici leur fil de discussion dédié au recrutement : lolz.live/threads/6129774/
Suivi des victimes
Les données relatives aux recettes et aux victimes sont suivies par le biais d'un feuille de calcul Google partagée — un détail qui revêt une importance cruciale lorsqu’on examine les activités de WasabiSquad.
Évaluation des renseignements
MercuryTeam représente un Évolution de la fraude dans le secteur intermédiaire: l'approche à deux vecteurs double leur surface d'attaque, tandis que le modèle « mentor » garantit une qualité constante dans toutes les branches. Opération menée en russe, dont toute la coordination s'effectue via Telegram. L'intégralité des preuves est conservée dans ScamIntelLogs.
WasabiSquad : Triple menace
Alors que MercuryTeam exécute deux vecteurs, WasabiSquad le porte à trois — en regroupant sous une même opération de fausses plateformes d’échange, des sites de jeux d’argent et des robots d’investissement. Cette approche multivectorielle cible des profils de victimes totalement différents : le trader de cryptomonnaies, le joueur et l’investisseur passif.
Infrastructure des bots et du Web
| Actif | Identifiant | Type |
|---|
| Bot principal | @WasabiSquad_Bot | Bot Telegram (ID : 7380099926) |
| Site web | wasabihub.one | Plateforme Web |
| Fil de discussion du forum | lolz.live/threads/7933252/ | Recrutement et publicité |
Trois vecteurs d'attaque
Fraude boursière
De fausses plateformes d'échange de cryptomonnaies conçues pour dérober les dépôts. Les victimes pensent effectuer des opérations sur une plateforme légitime et y déposent des fonds qu'elles ne peuvent plus retirer.
Fraude dans le domaine des jeux d'argent
Des plateformes de jeux d'argent truquées qui promettent des gains mais exigent des « dépôts de vérification » avant tout retrait — dépôts qui sont immédiatement détournés.
Fraude liée aux robots d'investissement
Des robots d'investissement automatisés qui promettent des rendements garantis. Les victimes déposent des cryptomonnaies dans l'espoir de réaliser des bénéfices grâce au trading algorithmique, mais ne reçoivent rien en retour.
Le lien vers la feuille de calcul
WasabiSquad utilise la MÊME feuille de calcul Google que MercuryTeam pour recenser les victimes et les recettes. C'est là la conclusion la plus importante de cette enquête.
« Même feuille de calcul. Mêmes colonnes de suivi. Mêmes formules de calcul du chiffre d'affaires. Soit ce sont les mêmes personnes qui changent de visage, soit elles se font suffisamment confiance pour partager l'intégralité de leur base de données de victimes. »
— Évaluation des renseignements de PhishDestroy
Chevauchement des infrastructures critiques
La feuille de calcul Google partagée entre MercuryTeam et WasabiSquad n'est pas un simple détail technique — c'est preuve de l'unité opérationnelle. Deux équipes, dotées de marques distinctes, de bots Telegram différents et de fils de discussion séparés sur les forums, utilisent le même document de gestion pour recenser leurs victimes et suivre leurs recettes. Cela laisse supposer soit les mêmes exploitants gèrent les deux marques ou un alliance officielle reposant sur une infrastructure financière commune.
717Team : la preuve que la disruption fonctionne
Parmi les trois équipes étudiées dans le cadre de cette enquête, 717Team se distingue par un élément unique : il a été archivé. Dans la terminologie de ScamIntelLogs, le terme « archivé » signifie que les activités ont été interrompues et que le groupe ne mène plus activement ses escroqueries. Il ne s’agit pas d’un succès théorique : c’est la preuve documentée que la collecte de renseignements, la conservation des preuves et la communication coordonnée des informations peuvent mettre fin à une fraude organisée.
717Team en chiffres
0
Portefeuilles identifiés
ARCHIVÉ
État des opérations
Liens d'administration et de réseau
| Fonction | Identifiant | Détails |
|---|
| Admin | @imdebank | Identifiant Telegram : 7149807602 |
| Lien réseau | RublevkaTeam | L'administrateur @imdebank a établi un lien avec cette opération distincte |
| Bot | @team717_bot | Bot Telegram principal (désormais inactif) |
| Forum | lolz.live | Centre de recrutement et de coordination |
Infrastructure de domaines (12 domaines et plus)
| Domaine | Objectif |
|---|
| checkscore.cc | Principale plateforme d'escroquerie |
| cryptomus-payment.com | Fausse passerelle de paiement |
| check-score.ru | Variante ciblant la Russie |
| + 9 domaines supplémentaires répertoriés dans ScamIntelLogs |
Pourquoi les archives sont importantes
Le statut « archivé » de 717Team est le donnée la plus importante tout au long de cette enquête. Cela montre que les réseaux frauduleux de taille moyenne peut a pu être déjouée grâce à une collecte systématique de renseignements. La méthode qui a fait ses preuves : (1) identifier l’infrastructure, (2) suivre les portefeuilles et les membres, (3) conserver les preuves, (4) coordonner les signalements entre les différentes plateformes. Les 2 946,25 $ dont le détournement a été confirmé correspondent aux pertes documentées — le montant réel était probablement plus élevé, mais l’opération a été stoppée avant qu’elle ne puisse prendre davantage d’ampleur.
Le réseau RublevkaTeam
L'administrateur @imdebank (ID : 7149807602) a été associé à RublevkaTeam, une autre arnaque dont nous avons fait état dans notre Arnaque russe « TON » enquête. Ce lien entre les différentes équipes vient étayer une conclusion majeure : ces opérations ne sont pas isolées. Les opérateurs passent d'une équipe à l'autre, partagent des infrastructures et entretiennent des réseaux qui résistent aux perturbations subies par chaque équipe.
L'infrastructure partagée
En comparant ces trois équipes, on constate quelque chose de bien plus significatif que des opérations individuelles : cela révèle une réseau. Des outils communs, des plateformes communes, des documents communs et, dans au moins un cas, un lien direct entre les équipes au niveau du personnel.
Analyse comparative
| Attribut | MercuryTeam | WasabiSquad | 717Team |
|---|
| Vecteurs d'attaque | Bourse + Casino | Bourse + Jeux d'argent + Investissement | Échange + Faux paiements |
| Forum | lolz.live | lolz.live | lolz.live |
| Bots Telegram | 2 bots | 1 bot + site web | 1 bot |
| Suivi | Feuille de calcul Google | Feuille de calcul SAME | Suivi interne |
| Langue | Russe | Russe | Russe |
| Statut | Actif | Actif | Archivé |
Points communs en matière d'infrastructure
- Feuille de calcul Google partagée — MercuryTeam et WasabiSquad utilisent le même document pour le suivi des victimes et des recettes
- lolz.live, plateforme centrale — Ces trois équipes mènent leurs activités de recrutement, de promotion et de coordination via le même forum en russe
- Telegram en tant que couche opérationnelle — Chaque équipe utilise des bots Telegram pour l'intégration des victimes et la communication entre les opérateurs
- Personnel inter-équipes — L'administrateur de l'équipe 717, @imdebank, a été associé à l'équipe Rublevka, ce qui illustre la mobilité des opérateurs d'une équipe à l'autre
- Opérations en langue russe — Toutes les équipes travaillent en russe, ce qui témoigne d'une origine géographique et culturelle commune
« Ils partagent des feuilles de calcul. Ils partagent des forums. Ils partagent des techniques. La seule chose qu’ils ne partagent pas, c’est leur nom de marque — et même cette distinction pourrait bien être artificielle. »
— Résumé de l'analyse de PhishDestroy
Des acteurs qui ne sont pas isolés
Les faits sont clairs : MercuryTeam, WasabiSquad et 717Team ne sont pas des groupes indépendants qui utiliseraient par hasard des méthodes similaires. Le feuille de calcul Google partagée entre Mercury et Wasabi, le forum commun pour les trois, et le chevauchement de personnel Les liens entre 717Team et RublevkaTeam témoignent tous d'un écosystème interconnecté. Perturber le fonctionnement d'une équipe sans comprendre le réseau risque simplement de pousser les opérateurs vers une autre marque.
Preuves et documentation
Toutes les informations mentionnées dans cette enquête ont été archivées dans le référentiel ScamIntelLogs de PhishDestroy. Chaque équipe dispose d'un répertoire dédié aux preuves contenant les identifiants des bots, les adresses de portefeuilles, les captures d'écran de forums, les listes de domaines et les analyses structurelles.
Preuves de MercuryTeam
Identifiants de bots doubles, fil de discussion sur le forum, documentation sur la structure des mentors, feuille de calcul de référence
Preuves de WasabiSquad
Analyse des « trois menaces », documentation de wasabihub.one, preuve sous forme de feuille de calcul partagée
717Team Evidence (Archivé)
125 membres, 85 portefeuilles, 2 946,25 $ détournés, plus de 12 domaines, l'administrateur @imdebank lié à RublevkaTeam
Référentiel complet de ScamIntelLogs
Archives complètes de renseignements sur les menaces — toutes les équipes, toutes les preuves, avec contrôle des versions
L'équipe 717 a été arrêtée. Les autres peuvent l'être aussi.
La collecte de renseignements, ça marche. La conservation des preuves, ça marche. La coordination des rapports, ça marche. Le statut « archivé » de 717Team en est la preuve vivante.
Aidez-nous à exercer la même pression sur MercuryTeam, WasabiSquad et toutes les équipes d'escrocs de taille moyenne qui sont encore en activité.
#ScamTeams#MercuryTeam#WasabiSquad#717Team#Investigation