Kembali ke Berita
PENYELIDIKAN ANCAMAN AKTIF

Panel Phishing Trust Wallet Terungkap: $239K Dicuri, 6 Pelaku Teridentifikasi

tttadmin.com · Penipuan Obrolan Langsung · IDOR · Aktif selama 14 bulan · Maret 2026

Panel Trust Wallet Terungkap
1,900
Sesi Obrolan dengan Korban
$239K+
Terkonfirmasi Dicuri (USDT/ETH/BTC)
21
Dompet Penipu Telah Diidentifikasi
6
Operator Bernama

 Ringkasan Eksekutif

Penelitian ini mendokumentasikan Panel TrustWallet — operasi phishing yang canggih yang menyamar sebagai Trust Wallet melalui domain backend tttadmin.com. Mencalonkan diri sebagai 14 bulan (Januari 2025 – Februari 2026), operasi ini menargetkan pengguna kripto melalui obrolan dukungan palsu, mencuri frasa benih, dan memeras setoran dengan dalih palsu “kepatuhan terhadap OFAC” dan “penggantian aset.” Seluruh 1.900 percakapan korban diekstraksi melalui kerentanan IDOR yang kritis. Identitas operator utama telah diungkap.

 Cara Kerja Penipuan: Alur Serangan

Operasi ini mengikuti Pipeline 5 tahap yang dirancang dengan cermat untuk memeras nilai maksimal dari setiap korban:

Tahap 1
Penemuan — Para korban menemukan domain phishing melalui grup Telegram, umpan penipuan asmara (dengan identitas “Sofia”), atau hasil pencarian mesin pencari
Tahap 2
Dompet Palsu — Situs phishing meniru antarmuka Trust Wallet; mencuri frasa benih mnemonik dan kata sandi saat “pembuatan dompet”
Tahap 3
Pemicu Obrolan Langsung — Upaya penarikan sengaja digagalkan; operator obrolan muncul dengan nama “Trust Wallet Support”
Tahap 4
Rekayasa Sosial — Para operator mengklaim bahwa aset mereka dibekukan akibat pelanggaran aturan OFAC/AML, dan menuntut setoran mata uang kripto sebagai “pengganti” atau “verifikasi”
Tahap 5
Ekstraksi Ulang — Permintaan yang terus-menerus untuk pembayaran tambahan dengan taktik yang mendesak dan tekanan tenggat waktu

 Kerugian Finansial: Kerugian Terbesar yang Telah Dikonfirmasi

ID ObrolanJumlahAsetKonteks
#1795197.000 USDTTRON (TRC-20)Dipinjam dari mantan istri
#481~45,77 ETHEthereumBeberapa setoran
#965~16.000 USDTUSDTSetoran berurutan
#7208.000 USDTTRC-20Transfer satu hari
#10905.839 USDTUSDTIbu tunggal, kehilangan yang telah dipastikan
#1430~3.686 USDTUSDTDua setoran terpisah
#923.340,23 USDTUSDTJumlah pasti yang telah dikonfirmasi
#10890,3201 BTCBitcoinDari dompet perangkat keras Ledger

 Kerugian Sebenarnya Kemungkinan Jauh Lebih Besar

Ini adalah laporan mandiri yang belum diverifikasi dari riwayat obrolan. Banyak korban tidak pernah melaporkan jumlahnya. Praktik rotasi dompet membuat total nilai di rantai blok tidak mungkin dihitung tanpa penelusuran blockchain secara menyeluruh.

 Identifikasi Operator

 Operator Utama: Vasiliy Navrotsky

ParameterNilai
Nama LengkapVasiliy Navrotsky (Василий Навроцкий)
ID Telegram6005741623
Nama Pengguna Saat Ini@Addmeks
Riwayat Nama Pengguna @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Periode AktifJuli 2023 – Mei 2025
Pesan yang Dilacak249 di 61 grup Telegram
Kelompok UtamaBinance RU (34), P2P LAB (9), Trust Wallet RU (6)

Anggota Tim yang Teridentifikasi dalam Catatan Percakapan

👤
Lyokha / Alexey
Operator obrolan utama
👤
Dima
Operator (Obrolan #92)
👤
Maksim
Operator (Obrolan #446, 201 pesan)
👤
Andrey
Operator (Obrolan #579)
👤
Aleksander
Perekrut Telegram
👤
Sofia
Tokoh yang digunakan untuk memancing korban dalam penipuan romantis

 Taktik Rekayasa Sosial

TaktikPesanDeskripsi
Penipuan dengan Mengaku sebagai Trust Wallet1,905Menyamar sebagai tim dukungan resmi Trust Wallet
Klaim Pembekuan/Pemblokiran Dompet360 Mengklaim bahwa dompetnya diblokir karena “aktivitas mencurigakan”
Penawaran Penggantian Aset305 Berjanji akan “mengganti” aset yang dibekukan setelah setoran
Ancaman Sanksi OFAC210Tuduhan palsu mengenai sanksi Departemen Keuangan AS terhadap dompet digital
Tuntutan Pembayaran Uang Jaminan untuk Pembukaan Blokir185 Mewajibkan setoran mata uang kripto untuk “membuka kunci” dompet
Penawaran Staking Palsu161Pool staking APY khusus di panel admin
Tuduhan AML/CTF66Menuduh para korban melakukan pencucian uang

 Ironi

Penipu berbahasa Rusia yang menargetkan korban berbahasa Rusia (51% percakapan dalam bahasa Rusia) dengan ancaman berupa Sanksi OFAC Departemen Keuangan AS — sebuah mekanisme regulasi yang secara geografis tidak relevan dengan basis korbannya. Rekayasa sosial berbasis templat, bukan pemahaman kontekstual.

 Alur Keterlibatan Korban

Sesi Awal
1,900
100%
Menanggapi Pesan Obrolan
679
35.7%
Interaksi Mendalam (10+ pesan)
175
9.2%
Transfer Dana yang Telah Dikonfirmasi
~20
1%

Bahasa: Bahasa Rusia 51% (3.013 pesan) · Bahasa Inggris 40% (2.995 pesan) · Lainnya 9% (365 pesan)

Aktivitas Puncak: November 2025 (959 pesan). Jam kerja 10.00–13.00 UTC, pada akhir pekan berkurang 40%.

 Analisis Infrastruktur

 Arsitektur Domain Inti: tttadmin.com

IDORTIDAK ADA OTENTIKASIPETUNJUK SUMBER TERUNGKAPKonfigurasi CORS Salah
KomponenRincian
API Korbanappp.tttadmin.com
Backend Admin core.tttadmin.com / app.tttadmin.com
CDN Statisstatic.tttadmin.com
Tumpukan BackendJava Spring Boot + Spring Security, JWT RS256
Basis DataPostgreSQL (JPA/Hibernate)
FrontendReact CRA + Material UI (339 berkas sumber berhasil dipulihkan)
Server Webnginx/1.18.0 (Ubuntu)

 Infrastruktur Hosting

IPLokasiPenyediaPeran
45.144.30.6Moskow, RusiaUFO Hosting (AS33993)Berorientasi pada korban (utama)
2.56.178.117Moskow, RusiaUFO Hosting (AS33993)Tahap awal (Januari–Februari 2025)
185.170.198.121Vilnius, LTHostinger (AS47583)Antarmuka phishing
69.10.62.71New York, ASInterserver (AS19318)Berorientasi pada korban
69.49.231.166Atlanta, GeorgiaSolusi JaringanDomain utama saat ini — semua *.tttadmin.com
94.131.121.154Moskow, RusiaUFO Hosting (AS33993)Phishing
146.185.239.62Madrid, SpanyolGTHost (AS63023)Sekunder (kasino + Next.js)

 Domain Phishing (Berganti-ganti)

ALIVE (Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
TIDAK AKTIF
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
PENYEDIA KORBAN PENIPUAN ROMANTIS
rynova-qw.shop

 Kerentanan Keamanan Kritis

Infrastruktur panel penipuan tersebut penuh dengan kerentanan yang membuat proses ekstraksi data secara menyeluruh menjadi sangat mudah:

 11 Titik Akhir API yang Tidak Diotentikasi

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Transkrip obrolan lengkap, tanpa otentikasi# Returns latest victim session data POST /session/get → Mnemonik + kata sandi bocor# Inject messages into any victim chat POST /message/save → Tidak perlu otentikasi# Create fake victim sessions POST /session/init → Menyimpan frasa benih# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Data jaringan lengkap POST /token/info/get/all → Harga terkini di CoinMarketCap POST /stake/get/all → Konfigurasi kolam staking# Admin login - no rate limiting POST /admin/sign-in → Serangan brute-force tanpa batas
IDOR di /chat/get
Semua 1.900 obrolan dapat diakses tanpa otentikasi
Peta Sumber Terungkap
339 berkas sumber (3,4 MB) berhasil dipulihkan
Konfigurasi CORS Salah
Mencerminkan Origin mana pun yang memiliki kredensial
Tanpa Pembatasan Kecepatan
Serangan brute-force tanpa batas pada halaman login admin

 Fitur Panel Admin (Analisis Kode Sumber)

Sebanyak 339 berkas sumber berhasil dipulihkan dari peta sumber produksi yang bocor (main.3924229a.js.map). Panel ini menampilkan:

Pengelola Dompet
Lihat/edit semua dompet korban beserta frasa mnemoniknya
Obrolan Langsung (jajak pendapat 1 detik)
Obrolan langsung dengan korban yang menyamar sebagai “Dukungan Trust Wallet”
Pengendalian Transaksi
Mengubah status, menyisipkan transaksi palsu
Pool Staking
Tingkat APY yang disesuaikan, periode penguncian, imbal hasil palsu

 Terdeteksi Aktivitas Penelitian Pihak Ketiga

 Payload Reverse Shell Ditemukan di Obrolan #1

Sebuah muatan reverse shell yang dikodekan dengan base64 ditemukan disisipkan melalui akses tanpa otentikasi /message/save titik akhir pada 6 Mei 2025 — sekitar 10 bulan sebelum penyelidikan ini. Hal ini menunjukkan bahwa kerentanan tersebut dapat dieksploitasi oleh publik dalam jangka waktu yang cukup lama, dan seorang peneliti lain telah menemukannya jauh sebelum kami.

 Jadwal Operasi

Januari 2025
Sesi korban pertama mulai terdeteksi (845 pesan). Infrastruktur tersebut menggunakan alamat IP di Moskow.
Mei 2025
Seorang peneliti independen menemukan kerentanan IDOR dan menyisipkan muatan reverse shell
November 2025
Puncak aktivitas: 959 pesan dalam satu bulan. Sertifikat SSL telah diperbarui.
Februari 2026
Sertifikat terbaru telah diterbitkan. Operasi masih aktif, sesi baru telah dibuat.
1 Maret 2026
Hasil investigasi PhishDestroy telah dipublikasikan. Seluruh 1.900 percakapan telah diekstraksi dan dianalisis.

 Rekomendasi bagi Pengguna

 Laporan Teknis Lengkap Bersama Catatan Percakapan

Data investigasi lengkap yang mencakup semua transkrip obrolan, alamat dompet, analisis operator, dan visualisasi interaktif

Lihat Laporan Lengkap di GitHub →

Lihat Semua 1.900 Transkrip Obrolan →

Bagikan Investigasi Ini

X / Twitter Telegram Reddit LinkedIn

Penyelidikan Terkait

Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
PENELITIAN MENDALAM
Crypto Drainer Toolkit: Para Penjual Kembali Angel Drainer Terbongkar
BUYTRX Terbongkar: 55 Domain & Penipu yang Menyalahgunakan Persetujuan TRON
PENYELIDIKAN
BUYTRX Terbongkar: 55 Domain & Penipu yang Menyalahgunakan Persetujuan TRON
Analisis Teknik Phishing Kripto: 8 Program Pencuri Frasa Benih Asli yang Telah Dianalisis Secara Terbalik
PENELITIAN MENDALAM
Analisis Teknik Phishing Kripto: 8 Program Pencuri Frasa Benih Asli yang Telah Dianalisis Secara Terbalik