Torna alle notizie
INDAGINE SU UNA MINACCIA ATTIVA

Smascherata una rete di phishing legata a Trust Wallet: rubati 239.000 dollari, identificati 6 operatori

tttadmin.com · Truffa tramite chat live · IDOR · 14 mesi di attività · marzo 2026

Il pannello di Trust Wallet è stato smascherato
1,900
Sessioni di chat con le vittime
$239K+
Furto confermato (USDT/ETH/BTC)
21
Identificati i portafogli dei truffatori
6
Operatori con nome

 Sintesi

La presente indagine documenta TrustWalletPanel — una sofisticata operazione di phishing che si spaccia per Trust Wallet tramite il dominio di backend tttadmin.com. Candidato per 14 mesi (gennaio 2025 – febbraio 2026), l’operazione ha preso di mira gli utenti di criptovalute tramite una finta chat di assistenza, sottraendo loro le frasi seed e richiedendo depositi con il pretesto della “conformità all’OFAC” e della “sostituzione degli asset”. Tutte le 1.900 conversazioni delle vittime sono state estratte sfruttando una grave vulnerabilità IDOR. L’identità dell’operatore principale è stata resa nota.

 Come funziona la truffa: sequenza dell'attacco

L'operazione segue un percorso articolato in cinque fasi, attentamente pianificato, volto a ricavare il massimo profitto da ciascuna vittima:

Fase 1
Scoperta — Le vittime individuano il dominio di phishing tramite gruppi di Telegram, truffe sentimentali (personaggio “Sofia”) o risultati dei motori di ricerca
Fase 2
Portafoglio contraffatto — Un sito di phishing imita l’interfaccia di Trust Wallet; intercetta la frase mnemonica e la password durante la “creazione del portafoglio”
Fase 3
Attivazione della chat live — I tentativi di prelievo falliscono deliberatamente; l’operatore della chat appare come “Trust Wallet Support”
Fase 4
Ingegneria sociale — Gli operatori sostengono che i beni siano stati congelati a causa di violazioni delle norme OFAC e antiriciclaggio e richiedono depositi in criptovaluta a titolo di “sostituzione” o “verifica”
Fase 5
Estrazione ripetuta — Richieste continue di pagamenti aggiuntivi, accompagnate da tattiche volte a creare un senso di urgenza e da pressioni legate alle scadenze

 Danni finanziari: le principali perdite accertate

ID chatImportoAttivoContesto
#1795197.000 USDTTRON (TRC-20)Preso in prestito dall'ex moglie
#481~45,77 ETHEthereumDepositi multipli
#965circa 16.000 USDTUSDTDepositi sequenziali
#7208.000 USDTTRC-20Trasferimento di un giorno
#10905.839 USDTUSDTMadre single, perdita accertata
#1430circa 3.686 USDTUSDTDue depositi distinti
#923.340,23 USDTUSDTImporto esatto confermato
#10890,3201 BTCBitcoinDal portafoglio hardware Ledger

 Il danno effettivo è probabilmente molto più elevato

Si tratta di dichiarazioni spontanee non verificate tratte dai log delle chat. Molte vittime non hanno mai segnalato gli importi. La rotazione dei wallet rende impossibile calcolare i totali on-chain senza un tracciamento completo della blockchain.

 Identificazione dell'operatore

 Operatore principale: Vasiliy Navrotsky

ParametroValore
Nome completoVasiliy Navrotsky (Василий Навроцкий)
ID Telegram6005741623
Identificativo corrente@Addmeks
Cronologia dei nomi utente @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Periodo di validitàLuglio 2023 – maggio 2025
Messaggi monitorati249 distribuiti su 61 gruppi di Telegram
Gruppi chiaveBinance RU (34), P2P LAB (9), Trust Wallet RU (6)

Membri del team identificati nei log delle chat

👤
Lyokha / Alexey
Operatore di chat principale
👤
Dima
Operatore (Chat n. 92)
👤
Maksim
Operatore (Chat n. 446, 201 messaggi)
👤
Andrey
Operatore (Chat n. 579)
👤
Aleksander
Responsabile delle assunzioni su Telegram
👤
Sofia
Profilo utilizzato nelle truffe romantiche

 Tattiche di ingegneria sociale

TatticaMessaggiDescrizione
Falsificazione dell'identità di Trust Wallet1,905Fingendosi di essere il servizio di assistenza ufficiale di Trust Wallet
Richieste di blocco/sblocco del portafoglio360 Affermazione secondo cui il portafoglio sarebbe stato bloccato a causa di “attività sospette”
Offerte di sostituzione dei beni305 Con la promessa di “sostituire” i fondi congelati dopo il deposito
Minacce di sanzioni da parte dell'OFAC210Affermazioni infondate relative a sanzioni del Tesoro statunitense nei confronti di un portafoglio digitale
Richieste di deposito a titolo di garanzia per lo sblocco185 Richiesta di un deposito in criptovaluta per “sbloccare” il portafoglio
Offerte fasulle di staking161Pool di staking con APY personalizzato nel pannello di amministrazione
Accuse relative all'antiriciclaggio e alla lotta al terrorismo66Accusare le vittime di riciclaggio di denaro

 L'ironia

Truffatori di lingua russa che prendono di mira vittime di lingua russa (il 51% delle chat è in russo) con minacce di Sanzioni dell'OFAC del Dipartimento del Tesoro degli Stati Uniti — un meccanismo normativo che non tiene conto della distribuzione geografica delle proprie vittime. Ingegneria sociale basata su modelli prestabiliti, non sulla comprensione del contesto.

 Percorso di coinvolgimento delle vittime

Sessioni iniziali
1,900
100%
Ha risposto alla chat
679
35.7%
Coinvolgimento profondo (10+ messaggi)
175
9.2%
Trasferimenti di fondi confermati
~20
1%

Lingue: Russo 51% (3.013 messaggi) · Inglese 40% (2.995 messaggi) · Altro 9% (365 messaggi)

Picco di attività: Novembre 2025 (959 messaggi). Orario di lavoro: dalle 10:00 alle 13:00 UTC; nei fine settimana, attività ridotta del 40%.

 Analisi delle infrastrutture

 Architettura del dominio principale: tttadmin.com

IDORNESSUNA AUTORIZZAZIONEMappe delle fonti svelateCORS CONFIGURATO IN MODO ERRATO
ComponenteDettagli
API Victimappp.tttadmin.com
Backend di amministrazione core.tttadmin.com / app.tttadmin.com
CDN staticastatic.tttadmin.com
Stack backendJava Spring Boot + Spring Security, JWT RS256
DatabasePostgreSQL (JPA/Hibernate)
FrontendReact CRA + Material UI (339 file sorgente recuperati)
Server webnginx/1.18.0 (Ubuntu)

 Infrastruttura di hosting

IPUbicazioneFornitoreRuolo
45.144.30.6Mosca, RUUFO Hosting (AS33993)A diretto contatto con le vittime
2.56.178.117Mosca, RUUFO Hosting (AS33993)Fase iniziale (gennaio-febbraio 2025)
185.170.198.121Vilnius, LTHostinger (AS47583)Interfaccia di phishing
69.10.62.71New York, Stati UnitiInterserver (AS19318)Rivolto alle vittime
69.49.231.166Atlanta, GeorgiaSoluzioni di reteAttuale primario — tutti i domini *.tttadmin.com
94.131.121.154Mosca, RUUFO Hosting (AS33993)Phishing
146.185.239.62Madrid, SpagnaGTHost (AS63023)Secondario (casinò + Next.js)

 Domini di phishing (a rotazione)

ALIVE (Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
DISATTIVATO
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
FACCIENDA PER TRUFFE ROMANTICHE
rynova-qw.shop

 Vulnerabilità critiche alla sicurezza

L'infrastruttura del pannello dedicato alle truffe era piena di vulnerabilità che rendevano semplicissima l'estrazione completa dei dati:

 11 Endpoint API senza autenticazione

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Trascrizione completa della chat, senza autorizzazione# Returns latest victim session data POST /session/get → Mnemonica + password trapelate# Inject messages into any victim chat POST /message/save → Non è richiesta l'autenticazione# Create fake victim sessions POST /session/init → Acquisisce le frasi di seed# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Dati completi sulla rete POST /token/info/get/all → Prezzi in tempo reale su CoinMarketCap POST /stake/get/all → Configurazioni dei pool di staking# Admin login - no rate limiting POST /admin/sign-in → Brute-force illimitato
IDOR su /chat/get
Tutte le 1.900 chat sono consultabili senza autorizzazione
Mappe sorgente rivelate
339 file sorgente (3,4 MB) recuperati
CORS configurato in modo errato
Riflette qualsiasi Origine con credenziali
Nessuna limitazione della frequenza
Attacchi di forza bruta illimitati sul login dell'amministratore

 Funzionalità del pannello di amministrazione (analisi del codice sorgente)

Sono stati recuperati 339 file sorgente dalle mappe sorgente di produzione esposte (main.3924229a.js.map). Il panel comprende:

Gestione portafoglio
Visualizza/modifica tutti i portafogli delle vittime con le frasi mnemoniche
Chat in tempo reale (sondaggio di 1 secondo)
Chat in tempo reale con le vittime sotto il nome di “Trust Wallet Support”
Controllo delle transazioni
Modifica lo stato, inserisci transazioni fittizie
Pool di staking
Tassi APY personalizzati, periodi di vincolo, rendimenti fittizi

 Rilevata attività di ricerca da parte di terzi

 Payload di reverse shell individuato nella chat n. 1

È stato rilevato un payload di reverse shell codificato in base64 iniettato tramite l'accesso non autenticato /message/save punto finale su 6 maggio 2025 — circa 10 mesi prima di questa indagine. Ciò indica che le vulnerabilità erano sfruttabili pubblicamente per un lungo periodo e che un altro ricercatore le aveva scoperte molto prima di noi.

 Cronologia dell'operazione

Gennaio 2025
Compaiono le prime sessioni delle vittime (845 messaggi). Infrastruttura su indirizzi IP di Mosca.
Maggio 2025
Un ricercatore indipendente scopre una vulnerabilità IDOR e inietta un payload reverse shell
novembre 2025
Picco di attività: 959 messaggi in un solo mese. Certificati SSL rinnovati.
febbraio 2026
È stato emesso l'ultimo certificato. L'operazione è ancora attiva, vengono create nuove sessioni.
1 marzo 2026
Pubblicata l'indagine su PhishDestroy. Sono state estratte e analizzate tutte le 1.900 conversazioni.

 Consigli per gli utenti

 Relazione tecnica completa con i log delle chat

Dati completi dell'indagine, comprese tutte le trascrizioni delle chat, gli indirizzi dei portafogli, le analisi degli operatori e le visualizzazioni interattive

Visualizza il rapporto completo su GitHub →

Sfoglia tutte le 1.900 trascrizioni delle chat →

Condividi questa indagine

X / Twitter Telegram Reddit LinkedIn

Indagini correlate

Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
INDAGINE APPROFONDITA
Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
BUYTRX smascherato: 55 domini e lo "Approval Drainer" di TRON
INDAGINE
BUYTRX smascherato: 55 domini e lo "Approval Drainer" di TRON
Anatomia del phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed
INDAGINE APPROFONDITA
Anatomia del phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed