ニュースに戻る
進行中の脅威に関する調査

Trust Walletのフィッシングパネルが発覚:23万9000ドルが盗まれ、6人の運営者が特定される

tttadmin.com · ライブチャット詐欺 · IDOR · 稼働期間14ヶ月 · 2026年3月

Trust Walletのパネルが公開された
1,900
被害者との対話セッション
$239K+
盗難が確認されました(USDT/ETH/BTC)
21
詐欺師のウォレットが特定された
6
名前付き演算子

 要約

本調査では、以下の点を明らかにしている TrustWalletPanel — バックエンドドメインを通じてTrust Walletを装った、巧妙なフィッシング攻撃 tttadmin.com. 立候補して 14ヶ月 (2025年1月~2026年2月)、この詐欺グループは偽のサポートチャットを通じて仮想通貨ユーザーを標的にし、「OFAC(米国財務省外国資産管理室)の規制遵守」や「資産の代替」といった虚偽の口実を用いて、シードフレーズを盗み出し、入金要求を行っていた。 1,900件の被害者との会話記録はすべて、重大なIDOR脆弱性を悪用して抽出された。主犯格の身元は特定された。

 詐欺の手口:攻撃の流れ

この手口は、各被害者から最大限の利益を引き出すために、綿密に設計された5段階のプロセスを踏襲している:

第1段階
発見 — 被害者は、Telegramのグループや恋愛詐欺の誘い(「ソフィア」という架空の人物)、あるいは検索エンジンの検索結果を通じて、フィッシングドメインを発見する
第2段階
偽の財布 — フィッシングサイトがTrust Walletのインターフェースを模倣し、「ウォレット作成」の画面でニーモニックシードフレーズとパスワードを盗み取る
ステージ3
ライブチャットのトリガー — 出金操作は意図的に失敗するように仕組まれている;チャットオペレーターは「Trust Wallet Support」と表示される
ステージ4
ソーシャルエンジニアリング — 事業者側は、OFAC(米国財務省外国資産管理室)やAML(マネーロンダリング防止)規制違反を理由に資産が凍結されたと主張し、「代替」または「本人確認」のために仮想通貨での入金を求めている
第5ステージ
抽出の繰り返し — 緊急性を強調する手法や期限のプレッシャーを用いて、追加支払いを執拗に要求してくる

 金銭的損害:確認された主な損失額

チャットID金額資産文脈
#1795197,000 USDTTRON (TRC-20)元妻から借りた
#481約45.77 ETHイーサリアム複数の入金
#965約16,000 USDTUSDT順次預金
#7208,000 USDTTRC-201日限定の送迎サービス
#10905,839 USDTUSDTシングルマザー、死亡が確認された
#1430約3,686 USDTUSDT2つの別々の預金
#923,340.23 USDTUSDT正確な金額が確認されました
#10890.3201 BTCビットコインLedgerハードウェアウォレットから

 実際の被害額はこれよりはるかに大きい可能性が高い

これらはチャットログからの未確認の自己申告です。多くの被害者は被害額を報告していません。ウォレットのローテーションが行われているため、ブロックチェーン全体を追跡しない限り、オンチェーン上の総額を算出することは不可能です。

 オペレーターの識別

 主担当オペレーター:ヴァシリー・ナブロツキー

パラメータ
氏名ヴァシリー・ナブロツキー (Василий Навроцкий)
Telegram ID6005741623
現在のハンドル@Addmeks
ユーザー名の履歴 @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
有効期間2023年7月 – 2025年5月
追跡中のメッセージ61のTelegramグループにまたがる249件
主要グループBinance RU (34)、P2P LAB (9)、Trust Wallet RU (6)

チャットログから特定されたチームメンバー

👤
リョーハ/アレクセイ
メインのチャットオペレーター
👤
ディマ
オペレーター(チャット #92)
👤
マクシム
オペレーター(チャット #446、201 件のメッセージ)
👤
アンドレイ
オペレーター(チャット #579)
👤
アレクサンダー
Telegramの採用担当者
👤
ソフィア
ロマンス詐欺の誘い役

 ソーシャルエンジニアリングの手口

戦術メッセージ説明
Trust Walletを装った詐欺1,905Trust Walletの公式サポートを装って
ウォレットの凍結・利用停止に関するクレーム360 「不審な活動」を理由にウォレットが凍結されたと主張
資産代替提案305 預け入れ後、凍結資産を「代替」することを約束
OFACによる制裁の脅威210ウォレットに対する米国財務省の制裁に関する虚偽の主張
「デポジットによるロック解除」の要求185 ウォレットの「ロック解除」に仮想通貨の入金を要求する
偽のステーキングの勧誘161管理パネルでのカスタムAPYステーキングプール
AML/CTFに関する告発66マネーロンダリングの被害者を非難する

 皮肉

ロシア語を話す詐欺師たちが、ロシア語を話す被害者を標的にし(チャットの51%がロシア語)、次のような脅しをかけている。 米国財務省OFACによる制裁 — 被害者層の地理的状況とは無関係な規制メカニズム。文脈の理解ではなく、テンプレートに基づいたソーシャルエンジニアリング。

 被害者エンゲージメント・ファネル

初回セッション
1,900
100%
チャットに返信しました
679
35.7%
深い関与(10件以上のメッセージ)
175
9.2%
確認済みの資金振替
~20
1%

言語: ロシア語 51% (3,013 件) · 英語 40% (2,995 件) · その他 9% (365 件)

ピーク時の活動: 2025年11月(投稿数959件)。稼働時間はUTC 10:00~13:00、週末は稼働率が40%低下します。

 インフラ分析

 コアドメインアーキテクチャ:tttadmin.com

IDOR認証なし「ソースマップ」の実態が明らかにCORSの設定に誤りがあります
コンポーネント詳細
Victim APIappp.tttadmin.com
管理画面 core.tttadmin.com / app.tttadmin.com
静的CDNstatic.tttadmin.com
バックエンド・スタックJava Spring Boot + Spring Security、JWT RS256
データベースPostgreSQL (JPA/Hibernate)
フロントエンドReact CRA + Material UI(339個のソースファイルを復元)
Webサーバーnginx/1.18.0 (Ubuntu)

 ホスティングインフラ

IP場所プロバイダー役割
45.144.30.6モスクワ、ロシアUFO Hosting (AS33993)主に被害者を対象とした
2.56.178.117モスクワ、ロシアUFO Hosting (AS33993)初期段階(2025年1月~2月)
185.170.198.121ヴィリニュス、リトアニアHostinger (AS47583)フィッシングのフロントエンド
69.10.62.71米国・ニューヨークInterserver (AS19318)被害者向け
69.49.231.166ジョージア州アトランタネットワーク・ソリューションズ現在のプライマリ — すべての *.tttadmin.com
94.131.121.154モスクワ、ロシアUFO Hosting (AS33993)フィッシング
146.185.239.62マドリード、スペインGTHost (AS63023)セカンダリ(カジノ+Next.js)

 フィッシングドメイン(ローテーション済み)

ALIVE(Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
無効化されました
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
ロマンス詐欺の仲介業者
rynova-qw.shop

 重大なセキュリティ上の脆弱性

この詐欺パネルのインフラには脆弱性が散見され、データの完全な抽出は極めて容易であった:

 11 認証不要のAPIエンドポイント

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → チャットの完全な記録(認証なし)# Returns latest victim session data POST /session/get → ニーモニックとパスワードが流出した# Inject messages into any victim chat POST /message/save → 認証は不要です# Create fake victim sessions POST /session/init → シードフレーズを取得します# Full system config POST /system/get → swap_percent、status_support# All token/network config (174KB) POST /network/get → ネットワークデータの全容 POST /token/info/get/all → CoinMarketCapのリアルタイム価格 POST /stake/get/all → ステーキングプールの設定# Admin login - no rate limiting POST /admin/sign-in → 無制限の総当たり攻撃
/chat/get での IDOR
認証なしで1,900件のチャットすべてを列挙可能
ソースマップが公開された
339個のソースファイル(3.4MB)が復元されました
CORSの設定に誤りがあります
認証情報を伴う任意のOriginを反映します
レート制限なし
管理者ログインに対する無制限のブルートフォース攻撃

 管理パネルの機能(ソースコード分析)

公開されていた本番環境のソースマップから、339個のソースファイルが復元された(main.3924229a.js.map). パネルの内容は以下の通りです:

ウォレットマネージャー
ニーモニックを持つすべての被害者ウォレットを表示・編集する
ライブチャット(1秒アンケート)
「Trust Wallet Support」を名乗る被害者へのリアルタイムチャット
トランザクション制御
ステータスの編集、偽のトランザクションの挿入
ステーキングプール
カスタマイズされたAPY、ロック期間、偽の利回り

 サードパーティによる調査活動が検出されました

 チャット#1でリバースシェルペイロードが検出されました

認証不要の経由で、Base64エンコードされたリバースシェルペイロードが注入されていることが判明した /message/save エンドポイントの 2025年5月6日 — 本調査の約10ヶ月前。これは、これらの脆弱性が長期間にわたり公に悪用可能であったことを示しており、別の研究者が私たちよりはるかに前にこれらを発見していたことを意味する。

 作戦のタイムライン

2025年1月
最初の被害者セッションが確認された(845件のメッセージ)。モスクワのIPアドレスを拠点とするインフラ。
2025年5月
第三者の研究者がIDORを発見し、リバースシェルのペイロードを注入
2025年11月
活動のピーク: 1か月で959件のメッセージ。SSL証明書を更新しました。
2026年2月
最新の証明書が発行されました。運用は引き続き有効で、新しいセッションが作成されています。
2026年3月1日
「PhishDestroy」に関する調査結果が公表された。 1,900件のチャットをすべて抽出して分析した。

 ユーザーへの推奨事項

 チャットログを含む完全な技術報告書

すべてのチャット記録、ウォレットアドレス、オペレーター分析、インタラクティブな可視化データを含む、調査データの全容

GitHubでレポート全文を見る →

1,900件のチャット記録をすべて閲覧する →

この調査を共有する

X / Twitter Telegram Reddit LinkedIn

関連する調査

「Crypto Drainer」ツールキット:Angel Drainerの販売業者が暴露される
徹底調査
「Crypto Drainer」ツールキット:Angel Drainerの販売業者が暴露される
BUYTRXの全貌:55のドメインとTRONの承認権限を悪用する攻撃
調査
BUYTRXの全貌:55のドメインとTRONの承認権限を悪用する攻撃
暗号資産フィッシングの解剖:8つの実在するシードフレーズ窃取ツールのリバースエンジニアリング
徹底調査
暗号資産フィッシングの解剖:8つの実在するシードフレーズ窃取ツールのリバースエンジニアリング