Anatomia comparativa di 4 operazioni di "Panel-as-a-Service" legate al mondo dei casinò, individuate grazie all'archivio ScamIntelLogs di PhishDestroy. Da 383 vittime verificate in oltre 30 paesi a una meta-truffa che deruba i propri stessi truffatori: ogni panel, ogni credenziale, ogni menzogna smascherata.
8 minuti di lettura· Aggiornato Marzo 2026· PhishDestroy Intelligence
383 vittime accertateOltre 40 domini di phishing4 operazioni svelate
0
Vittime accertate
30+
Paesi di destinazione
0
Domini di phishing
4
Operazioni allo scoperto
Il manuale delle truffe nei casinò: come funzionano tutti e quattro i gruppi
Ogni operazione di questa indagine segue lo stesso schema di base: creare un casinò o una piattaforma di scommesse sportive fasulli, reclutare “collaboratori” (affiliati) tramite Telegram, attirare le vittime con la promessa di bonus gratuiti, per poi intrappolarle con un “deposito di verifica” obbligatorio che non potrà mai essere prelevato. Il denaro della vittima viene suddiviso tra il collaboratore e il gestore del panel.
Ciò che rende questa indagine unica è il fatto che tutte e quattro le operazioni sono state conservate nell'archivio ScamIntelLogs di PhishDestroy — complete di chat interne su Telegram, dump dei pannelli di amministrazione, file di configurazione, database delle vittime e codice sorgente. Ogni affermazione riportata di seguito è supportata da prove dirette.
DNA in comune
Tutti e quattro i gruppi hanno in comune: la protezione di Cloudflare, operatori di lingua russa, il reclutamento tramite Telegram, il modello truffaldino del “deposito di verifica” e variabili dei modelli come %sum_verif% per gli importi dei depositi e i domini sovrapposti (inclusivebets.fun compare SIA in OFEDREX che in Olympus).
Operazione OFEDREX: 383 vittime in oltre 30 paesi
OFEDREX, noto anche come WinSystems e TheProject Casino, è l'operazione più documentata nell'ambito di questa indagine. Un dump completo del database amministrativo ha rivelato la presenza di 383 vittime in oltre 30 paesi, con l'India in testa con il 20,1%.
383
Vittime accertate
22
Domini di phishing
20.1%
Dall'India
30+
Paesi colpiti
L'operazione ha utilizzato codici promozionali per monitorare le prestazioni degli affiliati. Codice "DREAM" da solo ha portato 115 vittime. Codice "LRX774" ha causato 61 vittime.
Credenziali trapelate rinvenute nei file di configurazione: E-mail: lancerbuy777@project.com Password: holabol1337 Parola chiave dell'account Super: ximerawork
— Dump della configurazione di sistema di OFEDREX
Modalità debug ancora attiva
L'intero backend PHP di Laravel era in esecuzione con APP_DEBUG=true in produzione, rendendo visibili le tracce complete dello stack, le query al database e i percorsi interni a chiunque abbia generato un errore. Si tratta di una sicurezza da dilettanti che la dice lunga sul livello di competenza degli operatori.
Indicatori di compromissione
Dominio
Stato
winsystems-lp.site
Rimosso
inclusivebets.fun
Attivo
luckypeak.pro
Rimosso
betmax-official.com
Rimosso
LuxardGambling: Deepfake sulle celebrità e vittime "mammut"
LuxardGambling opera come un servizio di panel-as-a-service (PaaS) che offre una commissione del 70% ai collaboratori. Ciò che lo contraddistingue è l’uso su scala industriale dei deepfake di personaggi famosi e il suo manuale operativo, pubblicato su GitBook senza alcuna remora.
L'operazione utilizza deepfake di almeno 12 personaggi famosi, tra cui Elon Musk, MrBeast, Jake Paul, Neymar e altri, per creare video di sponsorizzazione falsi. I risultati sportivi vengono gonfiati del +35% per creare l'illusione di "vittorie garantite": un bookmaker fittizio chiamato "Crazy Odds" con quote impossibili.
"La vittima (il 'mammut') vede coefficienti gonfiati e crede di poter prevedere i risultati. Una volta versato l'importo di verifica, non potrà mai più prelevare. Il denaro finisce nelle tasche di chi sta più in alto."
— Documentazione GitBook di LuxardGambling
Deepfake Factory
Oltre 12 deepfake di personaggi famosi, tra cui Elon Musk, MrBeast, Jake Paul, Neymar e Travis Scott. Alle vittime vengono mostrati video di sponsorizzazione falsi prima di essere reindirizzate alla piattaforma.
Caccia al mammut
I lavoratori chiamano le vittime “mammut” (мамонт). L’intero schema della truffa: annuncio falso → video deepfake → registrazione → deposito di verifica → blocco dei prelievi.
Diagramma di flusso della truffa del casinò: dalla deviazione dei fondi e dalla promozione da parte di personaggi famosi, passando per l'elaborazione dei pagamenti, fino alla vittima
Tavola rotonda Olympus: La trappola dei chatbot basati sull’intelligenza artificiale
Olympus Panel (Syndicate Casino) è stato implementato su 16 domini tramite una console di amministrazione centrale all'indirizzo olympus-panel.cc. La sua caratteristica distintiva: “Alice”, un chatbot basato sull’intelligenza artificiale implementato su ogni istanza del casinò per coinvolgere le vittime in conversazioni in tempo reale e indirizzarle verso il deposito minimo di verifica di 50 dollari.
I lavoratori ricevono una commissione del 70%. I dump HTML del pannello di amministrazione mostrano il tracciamento completo delle vittime, con gli importi dei depositi compilati automaticamente tramite variabili del template %sum_verif%.
Rilevata sovrapposizione di domini
Il dominio inclusivebets.fun compare SIA nel database OFEDREX SIA in quello di Olympus, il che suggerisce o un’infrastruttura condivisa, o la presenza degli stessi operatori che gestiscono più panel, oppure attività di cross-selling tra piattaforme da parte di società affiliate.
Indicatori di compromissione
Dominio
Stato
olympus-panel.cc
Pannello di amministrazione
syndicate-casino.com
Rimosso
inclusivebets.fun
Condiviso con OFEDREX
BitXLucky: la truffa che truffa i truffatori
BitXLucky è l'operazione più cinica presente nel nostro archivio. Realizzata con Next.js/NestJS, si presenta come una piattaforma PaaS per casinò che recluta collaboratori, ma le registrazioni delle vittime non compaiono mai nel pannello dei collaboratori. Collaboratori: 0. Ogni singola registrazione delle vittime viene reindirizzata in modo invisibile all'operatore, escludendo completamente gli affiliati.
Questo è un meta-truffa: uno strumento fraudolento che deruba i propri stessi truffatori.
La prova sta negli errori di battitura
Il pannello di amministrazione è pieno di errori ortografici: "saport" (support), "Warkers" (Workers), "Logi" (Login), "Postsuk" (Postback). Non si tratta solo di errori di battitura: sono le tracce evidenti di uno strumento fraudolento realizzato in fretta da persone che non sono madrelingua.
Pannello di controllo dei lavoratori: "Lavoratori: 0 | Depositi totali: 0 | Logi: saport@bitxlucky"
— Screenshot del pannello di amministrazione di BitXLucky
Infrastruttura esposta
Indirizzi IP dei server rilevati nella configurazione: 77.110.103.90176.46.152.13:300077.221.151.196. A differenza degli altri pannelli, BitXLucky non si è nemmeno preso la briga di nascondersi in modo coerente dietro Cloudflare: gli indirizzi IP dei server erano visibili nelle risposte dell'API.
Pannello di phishing di un casinò falso — interfaccia di amministrazione esposta
Nessun casinò legittimo richiede un “deposito di verifica”. Nessuna piattaforma seria ha bisogno di testimonianze di celebrità create con la tecnica del deepfake. Se vi imbattete in una di queste piattaforme, segnalatela immediatamente.
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →