Retour aux actualités
Rapport d'enquête — Greffier

Trustname[.]com : Dans les coulisses d'un bureau d'enregistrement « à toute épreuve », accrédité par l'ICANN, au service de casinos frauduleux

Un bureau d'enregistrement accrédité par l'ICANN (IANA n° 4318) qui se présente comme « le bureau d'enregistrement indépendant connaissant la croissance la plus rapide ». Les déclarations fiscales estoniennes font état d'un chiffre d'affaires de 120 €, d'un seul salarié, d'un capital propre négatif et d'un avis de suppression. Les deux propriétaires sont biélorusses. Les domaines de casinos frauduleux ne cessent d'apparaître.

14 avril 2026 Recherche PhishDestroy 14 minutes de lecture
Tableau de bord d'enquête de Trustname.com — IANA 4318, chiffre d'affaires : 120 EUR, statut : en liquidation
Aperçu de l'enquête : un bureau d'enregistrement accrédité par l'ICANN déclarant un chiffre d'affaires de 120 €, alors qu'il exploite une plateforme complète d'enregistrement de noms de domaine.
120 €
Chiffre d'affaires déclaré pour 2024
1
Salarié
-71 000 €
Capitaux propres
6
Casinos frauduleux / Semaine
4318
Identifiant IANA
Résumé analytique

Trustname.com est géré par Fewmoretaps OÜ — une société écran estonienne dont le capital social n'a pas été libéré, 120 € de chiffre d'affaires annuel déclaré, un salarié, un capital propre négatif de −71 648 €, et un avis de suppression publiée au registre du commerce estonien. La société se qualifie littéralement de « registraire de noms de domaine à toute épreuve » dans son propre enregistrement TXT DNS. Les deux propriétaires sont des citoyens biélorusses. Le registraire est activement utilisé pour enregistrer faux casinos cryptos « Elon Musk » cachée derrière ses propres serveurs proxy offshore assurant la confidentialité.

La filiale estonienne de Shell : Fewmoretaps OÜ

La société Fewmoretaps OÜ est inscrite au registre du commerce estonien sous le numéro d'enregistrement 16354846, TVA EE102702659, à une adresse de siège social virtuel — Roseni tn 13, Tallinn. Société constituée le 01/11/2021 avec un capital social de 2 500 €, qui a été n'a jamais été versé (« Créée sans apport » — Rapport annuel 2022).

Structure d'entreprise de Fewmoretaps OU — Trustname.com, harakiri.org et whoispps.com sont gérés par un seul opérateur biélorusse
Chaîne de propriété : un opérateur biélorusse contrôle la société écran estonienne, les deux proxys de confidentialité « indépendants » et la société de façade chargée du marketing fewmoretaps.com.

Chaîne de propriété

Fondateur (2021-2023)
Vitali Tsyvinski
Administrateur unique et actionnaire unique
Numéro d'identification personnel 39403090187
Biélorussie (« Valgevene »)
Rapport annuel 2022 signé le 13 janvier 2023
Année sans activité
Propriétaire actuel (depuis mai 2023)
Kiryl Nestsiarovich
« Kir N. » — PDG (trustname.com/about)
Date de naissance : 09/09/1993
Biélorussie
+375 29 2964411 (mobile MTS)
fewmoretaps@gmail.com
actionnaire à 100 %Nommé le 23 mai 2023
Personne morale
Fewmoretaps OÜ
Nom commercial : Trustname.com
N° d'enregistrement 16354846 · N° de TVA EE102702659
Roseni tn 13, Tallinn 10111
Société constituée le 1er novembre 2021
Publication d'un avis de radiation
2 500 € de capital non libéré

Situation financière : 120 € par an et des pertes croissantes

Les rapports annuels obligatoires en Estonie sont accessibles au public. Les chiffres sont sans équivoque :

Réclamations de Trustname face aux déclarations fiscales estoniennes — des millions de clients contre 120 euros de chiffre d'affaires
Allégations marketing vs. documents officiels : « La confiance de millions de personnes » et « Des clients du classement Fortune 500 » d’un côté — 120 € de chiffre d'affaires, 1 salarié, liquidation d'autre part.

Tableau financier (EUR)

Système métrique202220232024
Chiffre d'affaires0 €0 €120 €
Perte nette0−20 711−50 937
Frais de personnel08,32424,084
Passifs à long terme035,370175,310
Capitaux propres0−20 711−71 648
Effectifs (ETP)011
Les chiffres ne concordent pas

Les frais d'accréditation auprès de l'ICANN s'élèvent à environ 4 000 $ par an. AWS (3 brokers Kafka + EKS + S3) fonctionne $500–2,000/month. Les domaines .com vendus en gros par OpenSRS coûtent entre 8 et 12 € chacun. À cela s'ajoutent les frais liés à Vercel, Freshdesk, Brevo et Stripe. Coût d'exploitation minimum : 35 000 à 50 000 € par an. Chiffre d'affaires déclaré : 120 €. Ce déficit est couvert par un montant de 175 310 € figurant au poste « passifs à long terme » et provenant de sources non précisées.

« À l'épreuve des balles » — selon leurs propres termes

Il ne s'agit pas d'un argument marketing de PhishDestroy — cela figure littéralement dans l'enregistrement TXT DNS de Trustname lui-même :

« Trustname est un bureau d’enregistrement de noms de domaine indépendant accrédité par l’ICANN et considéré comme le plus fiable au monde pour les particuliers soucieux de la protection de leur vie privée et les entreprises évoluant dans des secteurs sensibles. Vous pouvez compter sur nous pour être votre un registraire de noms de domaine infaillible. « Nous sommes dignes de confiance, fiables et abordables. »

Vérifiable par toute personne disposant d'un client DNS : dig TXT trustname.com. Dans le secteur de l'hébergement et des registres de noms de domaine, « à l'épreuve des balles » Il s'agit d'un terme technique qui désigne sans ambiguïté les services qui refusent de donner suite aux demandes de retrait pour abus et qui fournissent leurs services aux exploitants de contenus illicites.

Le réseau de casinos frauduleux

En l'espace de une semaine (Du 8 au 13 avril 2026), six noms de domaine frauduleux liés à des casinos cryptos ont été enregistrés via Trustname, tous dissimulés derrière les propres proxys de confidentialité de Trustname :

Six domaines de casinos frauduleux partageant le même backend de panneau d'administration en russe, « gambler-partners.is »
Ces six casinos utilisent tous les mêmes modèles Next.js, les mêmes hachages de chunks Webpack et partagent un backend d'administration commun en russe à l'adresse gambler-partners.is.

Domaines identifiés comme frauduleux (tous enregistrés via IANA n° 4318)

noawin.com

2026-04-12
Casino crypto

Mandataire : Perfect Privacy LLC (KN)

henofex.com

2026-04-09
Casino « Elon Musk »

Proxy : Confidentialité WHOIS (FL)

jopexplay.com

2026-04-10
Bloqué par Cloudflare

Proxy : Confidentialité WHOIS (FL)

bezowin159.pro

2026-04-13
Casino crypto

Proxy : Confidentialité WHOIS (FL)

noswin152.pro

2026-04-08
Casino crypto

Proxy : Confidentialité WHOIS (FL)

bazowin781.pro

2026-04-08
Casino crypto

Proxy : Confidentialité WHOIS (FL)

Preuves issues du backend partagé

Analyse JavaScript de noawin.com appels d'API exposés vers https://gambler-partners.is/api, /api/slots, /payser, et un CDN d'images https://pictures-cdn.is/. Le gambler-partners.is Le site web lui-même affiche un panneau d'administration en russe intitulé « Gambler | Accueil » (Gambler | Accueil) avec description « Panneau de gestion du trafic » (Panneau de gestion du trafic). Même code source, même backend, même CDN : il s'agit d'un réseau de casinos frauduleux bien organisé.

Proxys offshore garantissant la confidentialité — Appartenant au registraire

Trustname n'utilise pas de services de protection de la vie privée proposés par des tiers indépendants. L'entreprise gère ses propres services :

Carte du monde indiquant les connexions de la société écran en Estonie, du proxy à Saint-Christophe, du proxy en Floride et de l'opérateur en Biélorussie
Tallinn (shell) → Charlestown, Nevis (Perfect Privacy LLC) → Orlando, Floride (WHOIS Privacy LLC) → Minsk (opérateurs). Tous les nœuds sont contrôlés par la même personne.

harakiri.org

Perfect Privacy LLCSaint-Christophe-et-NiévèsBTC / LTC / XMR / ZEC / ETHEnregistré via l'IANA sous le numéro 4318

whoispps.com

WHOIS Privacy Protection LLCOrlando, FL 32837« Le courrier papier est jeté »Enregistré via l'IANA sous le numéro 4318
La structure circulaire de gestion des erreurs

Lorsqu'une plainte pour abus concernant un nom de domaine protégé par la confidentialité est déposée, Trustname la reçoit et la transmet à… elle-même. La whoispps.com Le site indique clairement que « Le courrier papier est jeté. » Ce n'est pas de la vie privée — c'est une blanchiment d'argent issu d'abus une structure conçue pour que les réclamations ne mènent nulle part.

Où va l'argent ?

Des paiements via Stripe et Monero sont versés à Fewmoretaps OU, alors que seuls 120 euros ont été déclarés à l'administration fiscale estonienne
Modes de paiement acceptés : Stripe + BTC/ETH/LTC/XMR/ZEC. Paiements déclarés à l'administration fiscale estonienne : 120 € par an. Ce déficit a été comblé par des « prêts à long terme » d'un montant de 175 310 €, provenant de sources non divulguées.

La plateforme Trustname accepte les paiements par carte via Stripe (/v2/users/billing/stripe/payment-methods) et cryptomonnaie via les adresses de portefeuille suivantes intégrées dans le point de terminaison de notification de l'API authentifiée :

ETH:  0xdee6582dc53fa56180311393018121c6f1e8bd7c
LTC:  MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri
ZEC:  t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S
XMR:  8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM

L'acceptation de Monero (XMR) — une cryptomonnaie spécialement conçue pour être intraçable — parallèlement à un prestataire de services de paiement réglementé exigeant une vérification d’identité (Stripe), tout en déclarant 120 € de chiffre d'affaires annuel aux autorités fiscales estoniennes, ce qui crée un paradoxe en matière de conformité. Un simple enregistrement de nom de domaine .com au prix de gros (environ 13 dollars) dépasse déjà le chiffre d'affaires déclaré pour l'ensemble de l'année.

Question sur la lutte contre le blanchiment d'argent en Estonie

La législation estonienne (loi sur la prévention du blanchiment d'argent et du financement du terrorisme) impose aux prestataires de services liés aux actifs virtuels d'être titulaires d'une licence délivrée par la Cellule de renseignement financier. La société Fewmoretaps OÜ est-elle titulaire de cette licence ? Dans le cas contraire, le fait d'accepter des paiements en cryptomonnaie pour des services pourrait en soi constituer une infraction à la réglementation.

Allégations commerciales et déclarations fiscales

Ce qu'ils disent à leurs clients

  • « N° 1 des bureaux d'enregistrement de noms de domaine indépendants affichant la plus forte croissance en 2025 »
  • « Des millions de propriétaires de noms de domaine nous font confiance »
  • « Reconnu par les entreprises du classement Fortune 500 »
  • « Une équipe de plus de 35 personnes réparties dans différents endroits à travers le monde »
  • Bureaux situés à Londres, Beverly Hills et Melbourne
  • Clients : McDonald’s, Vodafone, Adidas, Tata, Yahoo, BCG (mur des logos sur fewmoretaps.com)
  • « Depuis 1997 » (fewmoretaps.com)

Ce qu'ils déclarent à l'administration fiscale estonienne

  • 0 € de chiffre d'affaires en 2023, 120 € de chiffre d'affaires en 2024
  • 1 salarié (ETP) pour les deux années
  • Capitaux propres −71 648 €, capital non libéré de 2 500 €
  • Bureau virtuel au 13, rue Roseni, à Tallinn
  • Société anonyme 2021, et non 1997
  • Entreprise en liquidation

Faux témoignages (« Mur de l'amour »)

Trustname « Wall of Love » : faux avis comportant des prénoms en double : Jack, Lily, Megan
30 avis. 11 prénoms différents. « Jack » apparaît 5 fois, « Lily » 6 fois. Pas de photos, pas de dates, pas de profils vérifiables, pas de liens vers Trustpilot ou G2. Pas de noms de famille.

Analyse de la trustname.com/wall-of-love page : Sur 30 « avis clients », on ne compte que 11 prénoms différents. « Jack » apparaît cinq fois. « Lily », six fois. « Megan », trois fois. Tous les avis sont des éloges génériques d'une seule ligne, rédigés dans un style uniforme. Il n'y a aucun lien vers des plateformes d'avis indépendantes. Aucune identité de client ne peut être vérifiée. À titre de comparaison, Namecheap et Porkbun comptent des milliers d'avis vérifiés sur Trustpilot et G2.

Risques liés aux infrastructures et à la sécurité

Schéma de l'infrastructure de Trustname indiquant les ports Kafka exposés, les panneaux d'administration ouverts et le service FTP sur le serveur d'origine
Carte de l'infrastructure : frontend Vercel, Kubernetes AWS eu-central-1 avec des brokers Kafka accessibles au public sur le port 7777, interface d'administration Strapi ouverte, système WHOIS CoreNIC non protégé en mode développement.
trustname.com (Vercel / Next.js)
  ├── api.trustname.com              Fastify API (Swagger behind Basic Auth only)
  ├── admin.trustname.com            React-Admin panel (publicly accessible)
  ├── blog.trustname.com             Strapi CMS (admin UI exposed)
  ├── support.trustname.com          Freshdesk (EU instance)
  └── whois-fewmoretaps.corenic.net  Knipp DomainSRS (JSF Development mode)

fewmoretaps.com (WordPress) origin: 37.1.219.211
     Open ports: FTP:21 (vsftpd 3.0.5), SSH:22, HTTP:80, HTTPS:443

AWS eu-central-1 (EKS Kubernetes):
  35.156.29.145 / 18.196.68.81 / 52.28.105.156
  Port 7777 — Apache Kafka (Strimzi)
  SSL cert CN: kafka-staging-kafka   SAN: staging.kafka-0.trustname.com
  Namespace: backend-staging

Upstream registrar: OpenSRS (Tucows)
Invoicing: Quaderno · Payments: Stripe + Crypto
Email: Brevo  ·  Analytics: Google, Fuago
S3: domain-registrar-strapi-media (eu-central-1, leaked via CSP header)
Erreurs de configuration constatées
  1. Panneau d'administration accessible au public (admin.trustname.com) — protection réservée aux utilisateurs connectés, pas de liste blanche d'adresses IP.
  2. L'interface d'administration du CMS Strapi est accessible à l'adresse suivante : blog.trustname.com.
  3. JSF en mode « Développement » sur le système WHOIS de CoreNIC.
  4. Trois brokers AWS Kafka exposés à l'Internet public sur le port 7777 ; le SAN SSL divulgue l'espace de noms Kubernetes.
  5. Les adresses IP d'origine contournent Cloudflare — un accès direct est possible.
  6. Le service FTP (vsftpd) est actif sur le serveur d'origine de fewmoretaps.
  7. Swagger / OpenAPI accessible uniquement via une authentification de base sur api.trustname.com/api-json.

Chronologie

2004-06-04
Première immatriculation de trustname.com (ancien propriétaire).
2021-07-11
fewmoretaps.com enregistré. L'ensemble du site marketing a été créé en 5 jours par un seul utilisateur de WordPress, « riseup ».
2021-11-01
Société « Fewmoretaps OÜ » constituée en Estonie. Propriétaire : Vitali Tsyvinski (Biélorussie). Capital social : 2 500 €, non libéré.
2023-01-13
Dépôt du premier rapport annuel (aucune activité en 2022).
2023-05-23
Transfert de propriété à Kiryl Nestsiarovich (Biélorussie).
2023-08-20
whoispps.com Domaine proxy de confidentialité enregistré.
2023
Accréditation ICANN obtenue (identifiant IANA 4318).
2024-02-01
Numéro d'identification à la TVA (EE102702659).
2024-12-31
Rapport annuel 2024 déposé. Chiffre d'affaires 120 €, perte nette −50 937 €, capitaux propres −71 648 €.
8 avril 2026…13
Enregistrement en masse de six domaines de casinos frauduleux en l'espace d'une semaine.
2026-04
Avis de radiation de la société publié au registre du commerce estonien.

Qui rend cela possible ?

Badges de responsabilité ICANN, AWS, Stripe, Cloudflare, Vercel, Tucows et OpenSRS
Toutes les grandes plateformes concernées par cette opération disposent de leur propre charte d'utilisation interdisant la fraude. Aucune n'a pris de mesures.

À l'attention de l'ICANN

  • Comment une entreprise qui 0 € de chiffre d'affaires et 0 salarié Au moment de la demande, l'organisme avait-il obtenu l'accréditation de l'ICANN ? Quelles vérifications ont été effectuées ?
  • Un registraire dont l'enregistrement TXT DNS indique littéralement : « registraire de noms de domaine à toute épreuve » et « niches sensibles » — En quoi cela est-il conforme à l'accord d'accréditation des bureaux d'enregistrement ?
  • Le greffier est désormais sous la responsabilité de liquidation en Estonie. Qu'advient-il des plaintes pour abus actuellement en cours concernant les noms de domaine enregistrés via l'IANA n° 4318 ?
  • Les deux propriétaires sont ressortissants de Biélorussie — un pays soumis à des sanctions globales de l'UE et des États-Unis depuis 2020. Cette information a-t-elle été communiquée lors de l'accréditation ?

À OpenSRS (Tucows)

  • OpenSRS fournit l'API en amont utilisée par Trustname pour enregistrer des noms de domaine (confirmé par opensrsOrderId (dans les données transactionnelles). Tucows procède-t-il à des contrôles de conformité auprès des revendeurs qui se présentent ouvertement comme « à l'épreuve des balles » ?
  • Six domaines de casinos frauduleux — dont un déjà signalé par Cloudflare — ont été enregistrés via OpenSRS par l'intermédiaire de Trustname en l'espace d'une semaine. Quels sont les systèmes de détection automatisée de la fraude mis en place au niveau des revendeurs ?

À AWS, Stripe, Vercel, Cloudflare

  • AWS: le cluster EKS, le compartiment S3 et les trois brokers Kafka accessibles au public se trouvent dans eu-central-1. La politique d'utilisation acceptable (AUP) d'AWS interdit les services facilitant la fraude.
  • Rayure: les paiements par carte sont traités via /v2/users/billing/stripe/payment-methods. La liste des activités interdites de Stripe interdit les services facilitant des activités illégales. Le portefeuille de clients a-t-il été examiné ?
  • Vercel: trustname.com et admin.trustname.com sont hébergés sur Vercel. La politique d'utilisation acceptable (AUP) de Vercel interdit « les services qui encouragent des pratiques frauduleuses ».
  • Cloudflare: jopexplay.com est signalé comme « site web potentiellement trompeur ». Les cinq autres casinos utilisant des modèles identiques restent actifs. Pourquoi cette incohérence ?

À propos de la Biélorussie et de Monero

  • Les deux propriétaires sont Résidents fiscaux biélorusses. Les revenus perçus dans le monde entier doivent être déclarés en Biélorussie conformément à la législation fiscale biélorusse. Les autorités biélorusses n'ont conclu aucun accord d'assistance mutuelle en matière fiscale (MLAT) avec la plupart des juridictions occidentales — ce qui rend l'application de la loi pratiquement impossible.
  • Trustname accepte Monero (XMR), une cryptomonnaie conçue pour être intraçable. Comment les paiements en XMR sont-ils déclarés aux fins de la TVA, de la lutte contre le blanchiment d'argent et des obligations d'information financière en Estonie ? Le rapport annuel indique que 120 €. Est-ce que cela inclut les cryptomonnaies ? Si ce n'est pas le cas, où sont-elles classées ?

Indicateurs de compromission

Identifiants des bureaux d'enregistrement

IANA ID:        4318
WHOIS Server:   whois.fewmoretaps.com
Abuse email:    abuse@trustname.com
Abuse phone:    +372.6884747

Infrastructures

trustname.com
fewmoretaps.com
harakiri.org
whoispps.com
gambler-partners.is
pictures-cdn.is

37.1.219.211      fewmoretaps.com origin (FTP, SSH, HTTP, HTTPS)
195.253.23.47     CoreNIC WHOIS origin
35.156.29.145     AWS Kafka broker
18.196.68.81      AWS Kafka broker
52.28.105.156     AWS Kafka broker

Domaines identifiés comme frauduleux

noawin.com          henofex.com         jopexplay.com
bezowin159.pro      noswin152.pro       bazowin781.pro

Verdict

Trustname.com n'est pas un « registraire soucieux de la protection de la vie privée ». Il s'agit d'une infrastructure spécialement conçue pour faciliter la fraude en ligne :

  • Société écran estonienne au capital non libéré, détenue par deux propriétaires biélorusses
  • Aucun revenu légitime malgré des opérations d'enregistrement de noms de domaine en cours
  • Des serveurs proxy « indépendants » offshore privés, spécialisés dans la protection de la vie privée, situés à Saint-Kitts et en Floride
  • Acceptation des cryptomonnaies intraçables (Monero, Zcash)
  • Des dizaines de domaines de casinos frauduleux récemment enregistrés, basés sur des modèles identiques
  • Un enregistrement TXT DNS dans lequel ils se désignent littéralement eux-mêmes à l'épreuve des balles
  • Entreprise actuellement en liquidation — une stratégie de sortie déjà en cours

L'ICANN et OpenSRS (Tucows) devraient réexaminer l'accréditation de IANA n° 4318. Les domaines enregistrés via les proxys de confidentialité de Trustname justifient un examen approfondi des signalements d'abus. En attendant, PhishDestroy signale chaque domaine enregistré via Trustname détecté par notre scanner avec un Avertissement du registraire, comme nous le faisons pour NiceNIC et NameSilo.

Recherches connexes

Sources et vérification

Chaque affirmation contenue dans ce rapport s'appuie sur des documents accessibles au public ou sur des données obtenues via le compte authentifié du chercheur lui-même. Vous trouverez ci-dessous les sources primaires, accompagnées d'instructions permettant une vérification indépendante.

Registre du commerce et dossiers fiscaux

AllégationSourceComment vérifier
Enregistrement de la société, propriétaires, statut, avis de radiationRegistre du commerce estonien (Äriregister)ariregister.rik.ee — rechercher un numéro d'enregistrement 16354846
Rapports annuels 2022, 2023, 2024 — chiffre d'affaires, capitaux propres, effectifsRegistre du commerce estonien — déclarations obligatoires pour les sociétés de type OÜMême registre → onglet « Rapports annuels ». Les rapports sont accessibles au public.
Noms des propriétaires, numéros d'identification, nationalité (Tsyvinski, Nestsiarovich)Pages du rapport annuel destinées aux actionnaires (Osanikud)Rapport 2022, p. 6 (Tsyvinski) ; Rapports 2023-2024 (Nestsiarovich)
Enregistrement à la TVA EE102702659Administration estonienne des impôts et des douanesVérifier via l'UE VIES

Identifiants de l'ICANN et des bureaux d'enregistrement

AllégationSourceComment vérifier
Identifiant IANA 4318 — Accréditation ICANNListe des bureaux d'enregistrement accrédités par l'ICANNicann.org/fr/bureaux-d'enregistrement-agréés — recherchez « Fewmoretaps » ou « 4318 »
Contact en cas d'abus (abuse@trustname.com, +372.6884747)Fiches WHOIS pour tout domaine enregistré auprès de Trustnamewhois trustname.com via n'importe quel client RDAP/WHOIS
Serveur WHOIS whois.fewmoretaps.comEnregistrements WHOISRépertorié sur tous les domaines enregistrés via l'IANA n° 4318

Données WHOIS et DNS

AllégationMéthode
Enregistrement TXT DNS — la citation littérale « à toute épreuve »dig TXT trustname.com ou DNSChecker
Proxy de confidentialité des données WHOIS (Perfect Privacy LLC, WHOIS Privacy LLC)whois noawin.com, whois harakiri.org, whois whoispps.com
Enregistrement de domaines frauduleux via TrustnameRequête WHOIS sur le port 43 vers 195.253.23.47:43 ou tout service WHOIS public
Enregistrements MX et NS pour la cartographie de l'infrastructureRequêtes DNS standard (dig NS trustname.com, dig MX)

Arguments marketing (en direct + en différé)

Infrastructure technique (non intrusive)

Afficher le tableau complet des sources de données
DonnéeMéthode
Adresses IP d'origine (37.1.219.211, 195.253.23.47)Résolution DNS + analyse des en-têtes HTTP
Sous-domaines (api / admin / blog / support)Énumération DNS standard
Technologie du panneau d'administration (React-Admin)Fichiers JS publics mis à disposition par admin.trustname.com
Carte des points de terminaison de l'APIAnalyse des segments du frontend (accessible au public)
Présentation du CMS StrapiRéponse HTTP provenant de blog.trustname.com
Kafka sur le port 7777 + fuite de SAN SSLnmap -sV; openssl s_client -connect 35.156.29.145:7777
CoreNIC / Knipp DomainSRSRéponse HTTP provenant de whois-fewmoretaps.corenic.net
Bannière FTP sur le serveur d'originenmap -sV 37.1.219.211 — Bannière de vsftpd 3.0.5
Fournisseur en amont (OpenSRS)Champ details.opensrsOrderId dans le modèle de données du panneau d'administration
Intégration du système de paiement StripePoint d'extrémité /v2/users/billing/stripe/payment-methods
Adresses de portefeuilles de cryptomonnaiesGET /users/notifications sur api.trustname.com (témoignage du chercheur lui-même)
compartiment S3 domain-registrar-strapi-mediaFuite via l'en-tête Content-Security-Policy sur blog.trustname.com
Back-end du casino gambler-partners.isExtrait de app/layout-414e3e65ac0c109b.js sur noawin.com

Analyse du réseau des casinos

  • Contenu sur les casinos (« Le casino officiel d'Elon Musk ») — curl https://henofex.com
  • Blocage des tentatives d'hameçonnage par Cloudflare — curl https://jopexplay.com affiche une page interstitielle Cloudflare
  • Modèle partagé (hachages de blocs identiques) — comparer _next/static/chunks/ dans les six domaines
  • Panneau d'administration en russe — curl https://gambler-partners.is affiche le titre « Gambler | Accueil »

Outils utilisés

DNS / WHOIS:    dig, nslookup, whois
Port scanning:  nmap (service / version detection only)
HTTP:           curl (header + content retrieval)
SSL:            openssl s_client
JavaScript:     manual deobfuscation of publicly served bundles
PDF:            PyPDF2 (annual report text extraction)

Méthodologie relative aux coûts financiers

Le Coût d'exploitation minimum : entre 35 000 et 50 000 € Ce chiffre est calculé à partir des prix publics :

  • Frais d'accréditation de l'ICANN : ~$4,000/year (Tarifs publiés par l'ICANN)
  • OpenSRS : vente en gros de domaines .com : $8–12/domain (Tarifs pour les revendeurs Tucows)
  • AWS eu-central-1 (3 instances m5.large pour Kafka + plan de contrôle EKS + S3) : $500–2,000/month (Calculateur de tarifs AWS)
  • Vercel Pro : 20 $/mois, Freshdesk : 15 $/agent/mois, Brevo : 25 $/mois (pages de tarifs publiques)
  • Frais de personnel déclarés pour 2024 : 24 084 € (le rapport annuel de l'entreprise)

Éthique et méthodologie

Ce qui a été fait
  • Recherche dans les registres publics (Registre du commerce estonien, ICANN, VIES, WHOIS, DNS).
  • Reconnaissance technique non intrusive : requêtes DNS, lecture des en-têtes HTTP, inspection des certificats SSL, analyse du JavaScript des paquets publics, nmap détection de services sans exploitation.
  • Tests d'API authentifiés à l'aide du compte Trustname du chercheur, dûment enregistré.
  • Recoupement des captures d'écran de Wayback Machine avec les allégations marketing.
Ce qui n'a PAS été fait
  • Aucune attaque par force brute contre aucune connexion.
  • Aucune tentative d'injection SQL, d'exécution de code à distance (RCE) ou autre exploitation.
  • Tout accès non autorisé à un système, un compte ou des données est interdit.
  • Aucune fuite de données à partir des terminaux protégés.
  • Aucune modification des données n'a été effectuée, même lorsque des erreurs de configuration auraient pu le permettre.
  • Les points de terminaison de l'API d'administration ont été testés pour détecter d'éventuels problèmes de BOLA (Broken Object Level Authorization) — La mise en œuvre du modèle RBAC a été validée; les jetons utilisateur sont correctement rejetés par les points de terminaison d'administration.

Poste chargé de la divulgation et du reporting

Cette enquête a été publiée dans son intégralité sous la forme d'un divulgation publique. PhishDestroy est une équipe de recherche OSINT et non une entité soumise à une obligation de déclaration réglementaire ; il n'existe donc aucune obligation légale, en vertu de l'article 306 du Code pénal estonien (KarS) ou de textes législatifs européens équivalents, de déposer un signalement privé auprès des autorités — cette obligation ne s'applique qu'aux banques, aux prestataires de services d'actifs virtuels (VASP) et aux entités réglementées similaires soumises à cette obligation.

Si les signalements d'abus concernant des domaines enregistrés via l'IANA n° 4318 continuent d'être ignorés, ce dossier sera officiellement transmis à :

  1. Conformité aux normes de l'ICANNicann.org/conformité/plainte · RAA § 3.7.8 (exactitude des données WHOIS) et § 3.18 (traitement des abus)
  2. Tucows / OpenSRS — registraire en amont ; abuse@tucows.com, compliance@opensrs.com
  3. CERT-EE (RIA) — cert@cert.ee
  4. MTA estonienne (Maksu- ja Tolliamet, Administration des impôts et des douanes) — ligne d'alerte contre la fraude fiscale vihjeliin@emta.ee
  5. Cellule de renseignement financier estonienne (Bureau des statistiques de Rahapesu) — rab@politsei.ee pour les activités liées au blanchiment d'argent et aux prestataires de services d'actifs virtuels (VASP) non agréés
  6. Services chargés de la lutte contre les abus sur les plateformes — AWS Trust & Safety, Stripe Risk, Vercel Abuse, Cloudflare Trust & Safety
  7. EU FIU.net par l'intermédiaire de la cellule de renseignement financier estonienne — pour le volet « sanctions contre la Biélorussie »

Pour l'instant, toute escalade officielle a été délibérément reportée : l'entité chargée de l'enregistrement est déjà en liquidation en Estonie, les opérateurs sont basés en Biélorussie (absence d'accord d'entraide judiciaire ⇒ impasse sur le plan de l'application de la loi), et un rapport public a plus de poids qu'un ticket en attente. Nous réévaluerons la situation si les circonstances changent — ou si l'un des lecteurs de cet article avance un argument qui justifie un tel changement.

Cette enquête a été menée en recourant exclusivement à des méthodes OSINT et à des analyses techniques non intrusives. Toutes les sources de données sont accessibles au public ou ont été obtenues via le compte authentifié du chercheur sur la plateforme. Aucun accès non autorisé n’a été effectué à aucun moment. Corrections, contre-preuves ou données supplémentaires : @PhishDestroy_bot · @Phish_Destroy · github.com/PhishDestroy.

Partager cette enquête

X / Twitter Télégramme Reddit LinkedIn

Enquêtes connexes

xmrwallet.com démasqué : 10 ans de clés volées
ENQUÊTE APPROFONDIE
xmrwallet.com démasqué : 10 ans de clés volées
Enquête « NiceNIC » : un registraire de l'ICANN favorise la cybercriminalité
ENQUÊTE APPROFONDIE
Enquête « NiceNIC » : un registraire de l'ICANN favorise la cybercriminalité
NameSilo, Webnic, NiceNic : des bureaux d'enregistrement à l'origine d'escroqueries
ENQUÊTE
NameSilo, Webnic, NiceNic : des bureaux d'enregistrement à l'origine d'escroqueries