Enquête sur une affaire d'escroquerie liée à un programme de mentorat
TheProject : Dans les coulisses d'un empire de mentorat frauduleux d'une valeur de 10 millions de dollars, en activité depuis 2021
Ce n’est pas un outil d’arnaque, mais une université de l’arnaque. TheProject a mis en place un système de mentorat hiérarchisé : recrutement, formation, déploiement, profit. Plus de 10 millions de dollars de chiffre d’affaires déclaré, plus de 5 000 membres formés depuis 2021. Leurs mentors sont les créateurs à l’origine de Gambler, LuxardGambling et Olympus. Ils ont créé une école qui enseigne à des milliers de personnes comment voler.
10 min de lecture· Mise à jour Mars 2026· PhishDestroy Intelligence
Chiffre d'affaires déclaré supérieur à 10 millions de dollarsPlus de 5 000 membres formésPlus de 730 noms d'utilisateur d'escrocs ont été divulgués
Plus de 10 millions de dollars
Chiffre d'affaires déclaré
0
Membres formés
0
Fuite des noms d'utilisateur d'escrocs
0
Victimes d'OFEDREX
Le modèle de l'université frauduleuse
TheProject n'est pas un outil. Ce n'est pas un forum. Ce n'est pas une simple arnaque. C'est un école — une organisation de mentorat structurée et hiérarchisée qui forme des escrocs à grande échelle depuis 2021. Alors que d’autres enquêtes mettent au jour un produit, celle-ci révèle l'usine qui fabrique les fabricants.
L'opération affirme Plus de 10 millions de dollars de chiffre d'affaires total et Plus de 5 000 membres formés. Ce ne sont pas là de vaines fanfaronnades. Un dépôt vérifié de 1 million de roubles sur lolz.live — la place de marché du cybercrime en langue russe — confirme qu'ils opèrent à une échelle financière considérable. Leur fil de discussion dédié au recrutement (lolz.live/threads/4826265/) opère au grand jour, proposant des formules de mentorat aux escrocs en herbe.
La hiérarchie
Administrateur
Des responsables de haut niveau qui gèrent les infrastructures, les finances et l'orientation stratégique. Ils gèrent la plateforme, définissent les programmes de formation et perçoivent la plus grande part des recettes issues de l'ensemble des activités en aval.
Mentors
Des escrocs chevronnés qui forment de nouvelles recrues. Chaque mentor supervise une équipe de collaborateurs, leur fournit des conseils opérationnels et touche une commission sur chaque escroquerie menée par ses protégés. Ils constituent un véritable multiplicateur de force.
Salariés (affiliés)
Des recrues formées sont envoyées sur le terrain. Elles gèrent les faux sites de casino, s'occupent des interactions avec les victimes et traitent les dépôts. Les recettes remontent vers le haut de la hiérarchie : les travailleurs ne gardent qu'une petite partie, tandis que les mentors et les administrateurs empochent le reste.
Victimes
Objectifs finaux dans l'ensemble Plus de 30 pays, l'Inde représentant 20,1 % de victimes confirmées. Les victimes se heurtent à de fausses plateformes de casino, à des dépôts de vérification truqués et à des pièges d'investissement reposant sur l'ingénierie sociale.
Pourquoi est-ce important ?
La plupart des enquêtes sur les escroqueries se concentrent sur un seul outil ou panel. TheProject est différent : c'est le producteur en amont. Lorsque vous démantelez un nœud du Gambler Panel ou que vous fermez un domaine LuxardGambling, TheProject se contente de former de nouveaux affiliés et de les déployer sur une nouvelle infrastructure. Il est impossible d'arrêter le flux en aval sans couper l'approvisionnement à la source.
The Casino Pipeline : OFEDREX & WinSystems
La branche casino de TheProject opère sous les noms de code OFEDREX et WinSystems — une infrastructure de faux panneaux de casino qui a été directement associée à 383 victimes confirmées à travers 22 domainesCe ne sont pas des conjectures. PhishDestroy a mis la main sur la base de données des victimes.
OFEDREX en chiffres
383 victimes confirmées
Ces données proviennent de bases de données qui ont fait l'objet de fuites. Chaque enregistrement comprend les montants des dépôts, l'origine géographique et le code promotionnel utilisé pour les attirer. L'Inde arrive en tête avec 20,1 % du nombre total de victimes, suivie par des cibles issues de plus de 30 pays.
22 domaines actifs
Une flotte tournante de faux domaines de casino conçue pour échapper aux mesures de suppression. Lorsqu’un site est mis hors service, l’infrastructure en génère d’autres pour le remplacer. Tous remontent à la même couche administrative, TheProject.
Suivi des codes promotionnels
TheProject utilise des codes promotionnels pour déterminer quel mentor ou affilié a dirigé chaque victime vers le site. Deux codes ressortent particulièrement dans les données divulguées :
RÊVE — 115 victimes recensées. Code d'affiliation le plus performant de l'ensemble de données.
Longue portée X774 — 61 victimes recensées. Ce réseau serait lié à un groupe spécifique de « mentors » opérant via des canaux Telegram.
Vulnérabilité liée à l'injection SQL
Au cours de son enquête, PhishDestroy a découvert un Vulnérabilité liée à l'injection SQL au sein de l'infrastructure de la plateforme TheProject. Cette faille a permis de mettre au jour les structures internes de la base de données et a confirmé l'authenticité des données des victimes qui avaient fait l'objet d'une fuite. Cette découverte démontre que la sécurité opérationnelle de TheProject repose sur le même code de mauvaise qualité et bâclé que l'entreprise enseigne à ses affiliés à déployer.
Identifiants divulgués
Données d'identification administratives recueillies au cours de l'enquête :
lancerbuy777@project.com / holabol1337
Mot-clé du super compte : ximerawork
— Extrait de la faille de sécurité de l'infrastructure TheProject
La hiérarchie du mentorat
Le processus de recrutement de TheProject se déroule en toute transparence. Leur fil de discussion principal consacré au recrutement sur lolz.live (threads/4826265/) propose des formules de mentorat avec l'assurance d'une entreprise SaaS reconnue. Le dépôt vérifié d'un million de roubles sur la plateforme sert de preuve sociale — un signe pour les recrues potentielles que cette activité génère de l'argent réel.
Processus de recrutement
Étape 1 : Recrutement
Les nouveaux membres découvrent TheProject grâce aux fils de discussion sur lolz.live, aux chaînes Telegram et au bouche-à-oreille sur les forums de cybercriminalité en russe. Le bot Telegram @TheProject_inbot (ID : 7291050577) se charge de l'intégration initiale et de la vérification.
Étape 2 : Formation
Les nouvelles recrues se voient attribuer un mentor qui leur enseigne toutes les étapes du cycle de vie d'une arnaque : configuration du domaine, recherche de victimes par le biais de l'ingénierie sociale, manipulation des dépôts et détournement de fonds. Les supports de formation sont structurés et standardisés.
Étape 3 : Déploiement
Les affiliés formés ont accès à l'infrastructure des panels (OFEDREX, WinSystems ou des panels externes tels que Gambler et Olympus). Ils lancent leurs propres opérations sous la supervision d'un mentor, le partage des revenus étant géré via la plateforme.
Étape 4 : Retrait des bénéfices
Les revenus remontent les échelons de la hiérarchie. Les travailleurs en conservent une partie. Les mentors prennent leur part. Les administrateurs prélèvent une commission sur chaque opération active. La base de données sous forme de feuille de calcul Google permet de suivre l'ensemble des flux financiers, le nombre de victimes et les indicateurs de performance des affiliés.
Bot Telegram
@TheProject_inbot (ID : 7291050577) — gère l'intégration, la vérification et l'assistance de base pour les nouvelles recrues intégrées au programme de mentorat.
Suivi des opérations
TheProject utilise un Base de données Google Spreadsheet pour suivre les performances des affiliés, le nombre de victimes, l'attribution des revenus et les rémunérations des mentors. Centralisé, vérifiable et accablant.
Ampleur des activités
Avec Plus de 5 000 membres déclarés et un 1 million de roubles de dépôt vérifié sur lolz.live, TheProject opère à une échelle qui éclipse la plupart des réseaux de fraude individuels. Il s'agit d'une organisation criminelle dotée d'une structure d'entreprise : filières de recrutement, programmes de formation, suivi des performances et accords de partage des revenus.
Opérations en aval : le parcours de formation
TheProject ne se contente pas d'organiser des escroqueries — il attire les escrocs. L'enquête menée par PhishDestroy a permis d'identifier TheProject comme étant le producteur en amont pour plusieurs écosystèmes de panels frauduleux bien connus. Les affiliés formés par les mentors de TheProject se lancent ensuite dans l'exploitation :
Panel des joueurs — Le plus grand réseau de faux sites de casino, avec plus de 1 200 domaines suivis par PhishDestroy. Les opérateurs formés par TheProject représentent une part importante de la base d'affiliés de Gambler.
LuxardGambling — Une opération de casino fictif de marque haut de gamme. Le partage des infrastructures et les recoupements au niveau des identifiants renvoient directement au parcours de formation de TheProject.
Panel Olympus — Un autre forum en aval dont les modérateurs ont été formés grâce au programme de mentorat de TheProject. Les similitudes dans les noms de domaine et les codes promotionnels communs confirment ce lien.
Plus de 730 noms d'utilisateur d'escrocs ont été divulgués
L'enquête menée par PhishDestroy a permis de récupérer une base de données contenant Plus de 730 noms d'utilisateur uniques utilisés par des escrocs liées aux activités de TheProject. Cet ensemble de données comprend des identifiants Telegram, des comptes lolz.live et des identifiants internes à la plateforme. Il s'agit de l'une des plus importantes fuites jamais recensées concernant les identités d'affiliés impliqués dans des escroqueries.
La carte des connexions
La chaîne de preuves est claire : TheProject forme des affiliés. Ces affiliés déploient leurs activités sur les plateformes Gambler, LuxardGambling et Olympus. Des identifiants partagés (lancerbuy777@project.com), les domaines qui se recoupent et les fuites de bases de données prouvent que ces opérations ne sont pas indépendantes — elles sont produits dérivés du parcours de formation de TheProject. Dès qu'un nœud Gambler est arrêté, TheProject déploie dix nouveaux diplômés.
« Ils ont construit une école qui apprend à des milliers de personnes à voler. »
— Évaluation de PhishDestroy Research
Données factuelles et veille stratégique
Toutes les conclusions de cette enquête s'appuient sur des preuves provenant de sources primaires conservées dans le référentiel ScamIntelLogs de PhishDestroy. Les indicateurs de compromission (IOC) et les éléments de preuve suivants sont accessibles au public à des fins de vérification.
TheProject n'est pas une menace isolée : c'est un vivier qui génère des menaces à grande échelle. Supprimer certaines commissions sans remettre en cause le système de mentorat est une stratégie vouée à l'échec. Les preuves sont publiques. Les affiliés ont été identifiés. L'infrastructure a été cartographiée.
Avis de transparence. PhishDestroy est un projet à but non lucratif mené par des bénévoles. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les rendent possibles. Nous encourageons les lecteurs à évaluer l'ensemble de ces informations de manière critique et indépendante. Lire notre déclaration de transparence complète →
