Smascherata una rete di phishing legata a Trust Wallet: rubati 239.000 dollari, identificati 6 operatori
tttadmin.com · Truffa tramite chat live · IDOR · 14 mesi di attività · marzo 2026

Sintesi
La presente indagine documenta TrustWalletPanel — una sofisticata operazione di phishing che si spaccia per Trust Wallet tramite il dominio di backend tttadmin.com. Candidato per 14 mesi (gennaio 2025 – febbraio 2026), l’operazione ha preso di mira gli utenti di criptovalute tramite una finta chat di assistenza, sottraendo loro le frasi seed e richiedendo depositi con il pretesto della “conformità all’OFAC” e della “sostituzione degli asset”. Tutte le 1.900 conversazioni delle vittime sono state estratte sfruttando una grave vulnerabilità IDOR. L’identità dell’operatore principale è stata resa nota.
Come funziona la truffa: sequenza dell'attacco
L'operazione segue un percorso articolato in cinque fasi, attentamente pianificato, volto a ricavare il massimo profitto da ciascuna vittima:
Danni finanziari: le principali perdite accertate
| ID chat | Importo | Attivo | Contesto |
|---|---|---|---|
| #1795 | 197.000 USDT | TRON (TRC-20) | Preso in prestito dall'ex moglie |
| #481 | ~45,77 ETH | Ethereum | Depositi multipli |
| #965 | circa 16.000 USDT | USDT | Depositi sequenziali |
| #720 | 8.000 USDT | TRC-20 | Trasferimento di un giorno |
| #1090 | 5.839 USDT | USDT | Madre single, perdita accertata |
| #1430 | circa 3.686 USDT | USDT | Due depositi distinti |
| #92 | 3.340,23 USDT | USDT | Importo esatto confermato |
| #1089 | 0,3201 BTC | Bitcoin | Dal portafoglio hardware Ledger |
Il danno effettivo è probabilmente molto più elevato
Si tratta di dichiarazioni spontanee non verificate tratte dai log delle chat. Molte vittime non hanno mai segnalato gli importi. La rotazione dei wallet rende impossibile calcolare i totali on-chain senza un tracciamento completo della blockchain.
Identificazione dell'operatore
Operatore principale: Vasiliy Navrotsky
| Parametro | Valore |
|---|---|
| Nome completo | Vasiliy Navrotsky (Василий Навроцкий) |
| ID Telegram | 6005741623 |
| Identificativo corrente | @Addmeks |
| Cronologia dei nomi utente | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Periodo di validità | Luglio 2023 – maggio 2025 |
| Messaggi monitorati | 249 distribuiti su 61 gruppi di Telegram |
| Gruppi chiave | Binance RU (34), P2P LAB (9), Trust Wallet RU (6) |
Membri del team identificati nei log delle chat
Tattiche di ingegneria sociale
| Tattica | Messaggi | Descrizione |
|---|---|---|
| Falsificazione dell'identità di Trust Wallet | 1,905 | Fingendosi di essere il servizio di assistenza ufficiale di Trust Wallet |
| Richieste di blocco/sblocco del portafoglio | 360 | Affermazione secondo cui il portafoglio sarebbe stato bloccato a causa di “attività sospette” |
| Offerte di sostituzione dei beni | 305 | Con la promessa di “sostituire” i fondi congelati dopo il deposito |
| Minacce di sanzioni da parte dell'OFAC | 210 | Affermazioni infondate relative a sanzioni del Tesoro statunitense nei confronti di un portafoglio digitale |
| Richieste di deposito a titolo di garanzia per lo sblocco | 185 | Richiesta di un deposito in criptovaluta per “sbloccare” il portafoglio |
| Offerte fasulle di staking | 161 | Pool di staking con APY personalizzato nel pannello di amministrazione |
| Accuse relative all'antiriciclaggio e alla lotta al terrorismo | 66 | Accusare le vittime di riciclaggio di denaro |
L'ironia
Truffatori di lingua russa che prendono di mira vittime di lingua russa (il 51% delle chat è in russo) con minacce di Sanzioni dell'OFAC del Dipartimento del Tesoro degli Stati Uniti — un meccanismo normativo che non tiene conto della distribuzione geografica delle proprie vittime. Ingegneria sociale basata su modelli prestabiliti, non sulla comprensione del contesto.
Percorso di coinvolgimento delle vittime
Lingue: Russo 51% (3.013 messaggi) · Inglese 40% (2.995 messaggi) · Altro 9% (365 messaggi)
Picco di attività: Novembre 2025 (959 messaggi). Orario di lavoro: dalle 10:00 alle 13:00 UTC; nei fine settimana, attività ridotta del 40%.
Analisi delle infrastrutture
Architettura del dominio principale: tttadmin.com
| Componente | Dettagli |
|---|---|
| API Victim | appp.tttadmin.com |
| Backend di amministrazione | core.tttadmin.com / app.tttadmin.com |
| CDN statica | static.tttadmin.com |
| Stack backend | Java Spring Boot + Spring Security, JWT RS256 |
| Database | PostgreSQL (JPA/Hibernate) |
| Frontend | React CRA + Material UI (339 file sorgente recuperati) |
| Server web | nginx/1.18.0 (Ubuntu) |
Infrastruttura di hosting
| IP | Ubicazione | Fornitore | Ruolo |
|---|---|---|---|
45.144.30.6 | Mosca, RU | UFO Hosting (AS33993) | A diretto contatto con le vittime |
2.56.178.117 | Mosca, RU | UFO Hosting (AS33993) | Fase iniziale (gennaio-febbraio 2025) |
185.170.198.121 | Vilnius, LT | Hostinger (AS47583) | Interfaccia di phishing |
69.10.62.71 | New York, Stati Uniti | Interserver (AS19318) | Rivolto alle vittime |
69.49.231.166 | Atlanta, Georgia | Soluzioni di rete | Attuale primario — tutti i domini *.tttadmin.com |
94.131.121.154 | Mosca, RU | UFO Hosting (AS33993) | Phishing |
146.185.239.62 | Madrid, Spagna | GTHost (AS63023) | Secondario (casinò + Next.js) |
Domini di phishing (a rotazione)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
Vulnerabilità critiche alla sicurezza
L'infrastruttura del pannello dedicato alle truffe era piena di vulnerabilità che rendevano semplicissima l'estrazione completa dei dati:
11 Endpoint API senza autenticazione
Funzionalità del pannello di amministrazione (analisi del codice sorgente)
Sono stati recuperati 339 file sorgente dalle mappe sorgente di produzione esposte (main.3924229a.js.map). Il panel comprende:
Rilevata attività di ricerca da parte di terzi
Payload di reverse shell individuato nella chat n. 1
È stato rilevato un payload di reverse shell codificato in base64 iniettato tramite l'accesso non autenticato /message/save punto finale su 6 maggio 2025 — circa 10 mesi prima di questa indagine. Ciò indica che le vulnerabilità erano sfruttabili pubblicamente per un lungo periodo e che un altro ricercatore le aveva scoperte molto prima di noi.
Cronologia dell'operazione
Consigli per gli utenti
- Non condividere mai le frasi di seed tramite chat, e-mail o qualsiasi altro canale di assistenza — Trust Wallet non le richiederà mai
- Verifica i contatti dell'assistenza esclusivamente tramite i canali ufficiali di Trust Wallet
- Riconoscere le minacce legate all’OFAC e all’antiriciclaggio come pretesti comuni utilizzati nelle truffe — i servizi legittimi non bloccano i portafogli tramite chat
- Segnala i domini di phishing al team di sicurezza di Trust Wallet e PhishDestroy
- Utilizza i portafogli hardware per la firma di prelievo, al fine di impedire trasferimenti non autorizzati
- Verifica lo stato del portafoglio attraverso la cronologia delle transazioni sulla blockchain, non tramite alcuna interfaccia di “supporto”
Relazione tecnica completa con i log delle chat
Dati completi dell'indagine, comprese tutte le trascrizioni delle chat, gli indirizzi dei portafogli, le analisi degli operatori e le visualizzazioni interattive
Visualizza il rapporto completo su GitHub →Sfoglia tutte le 1.900 trascrizioni delle chat →


