Anatomia comparativa de quatro operações de “Panel-as-a-Service” relacionadas a cassinos, descobertas por meio do arquivo ScamIntelLogs do PhishDestroy. De 383 vítimas confirmadas em mais de 30 países até um meta-golpe que rouba até mesmo seus próprios golpistas — cada painel, cada credencial, cada mentira exposta.
8 minutos de leitura· Atualizado Março de 2026· PhishDestroy Intelligence
383 vítimas confirmadasMais de 40 domínios de phishing4 Operações Reveladas
0
Vítimas confirmadas
30+
Países-alvo
0
Domínios de phishing
4
Operações à mostra
O manual do golpe nos cassinos: como funcionam os quatro grupos
Todas as operações nesta investigação seguem o mesmo esquema básico: criar um cassino falso ou uma plataforma de apostas esportivas, recrutar “colaboradores” (afiliados) pelo Telegram, atrair as vítimas com promessas de bônus gratuitos e, em seguida, prendê-las com um “depósito de verificação” obrigatório que nunca pode ser retirado. O dinheiro da vítima é dividido entre o colaborador e o operador do painel.
O que torna esta investigação única é o fato de todas as quatro operações terem sido preservadas no arquivo ScamIntelLogs do PhishDestroy — incluindo conversas internas do Telegram, cópias de painéis de administração, arquivos de configuração, bancos de dados das vítimas e código-fonte. Cada afirmação a seguir é respaldada por evidências primárias.
DNA em comum
Todos os quatro painéis têm em comum: proteção da Cloudflare, operadores que falam russo, recrutamento por meio do Telegram, o modelo de golpe do “depósito de verificação” e variáveis de modelo como %sum_verif% para valores de depósito e domínios sobrepostos (inclusivebets.fun aparece tanto no OFEDREX quanto no Olympus).
Operação OFEDREX: 383 vítimas em mais de 30 países
A OFEDREX, também conhecida como WinSystems e TheProject Casino, é a operação mais bem documentada nesta investigação. Um dump completo do banco de dados administrativo revelou 383 vítimas individuais em mais de 30 países, com a Índia liderando com 20,1%.
383
Vítimas confirmadas
22
Domínios de phishing
20.1%
Da Índia
30+
Países afetados
A operação utilizou códigos promocionais para acompanhar o desempenho dos afiliados. Código "SONHO" sozinho já registrou 115 vítimas. Código "LRX774" resultou em 61 vítimas.
Credenciais vazadas encontradas em arquivos de configuração: E-mail: lancerbuy777@project.com Senha: holabol1337 Palavra-chave da superconta: ximerawork
— Dump de configuração administrativa do OFEDREX
Modo de depuração ainda está ativado
Todo o backend em PHP do Laravel estava em execução com APP_DEBUG=true em produção, expondo rastreamentos completos de pilha, consultas ao banco de dados e caminhos internos a qualquer pessoa que tenha gerado um erro. Trata-se de uma segurança de amador que revela tudo sobre o nível de habilidade dos operadores.
Indicadores de comprometimento
Domínio
Status
winsystems-lp.site
Retirado do ar
inclusivebets.fun
Ativo
luckypeak.pro
Retirado do ar
betmax-official.com
Retirado do ar
LuxardGambling: Deepfakes de celebridades e vítimas “gigantescas”
A LuxardGambling opera como um Painel como Serviço (PaaS), oferecendo 70% de comissão aos colaboradores. O que a diferencia é o uso em escala industrial de deepfakes de celebridades e seu manual de estratégias, publicado abertamente no GitBook.
A operação utiliza deepfakes de pelo menos 12 celebridades, incluindo Elon Musk, MrBeast, Jake Paul, Neymar e outros, para criar vídeos falsos de endosso. Os resultados esportivos são inflacionados em +35% para criar a ilusão de “vitórias garantidas” — uma casa de apostas fictícia chamada “Crazy Odds”, com odds impossíveis.
"A vítima (mamute) vê coeficientes inflacionados e acredita que eles podem prever resultados. Depois de depositar o valor de verificação, ela nunca mais consegue sacar. O dinheiro vai para cima."
— Documentação do LuxardGambling no GitBook
Fábrica de Deepfakes
Mais de 12 deepfakes de celebridades, incluindo Elon Musk, MrBeast, Jake Paul, Neymar e Travis Scott. As vítimas assistem a vídeos falsos de endosso antes de serem direcionadas para a plataforma.
Caça ao mamute
Os trabalhadores chamam as vítimas de “mamutes” (мамонт). Todo o Pipeline de tráfico: anúncio falso → vídeo deepfake → cadastro → depósito de verificação → bloqueio de saques.
Fluxograma do esquema fraudulento de cassinos: desde o desvio de fundos e o endosso de celebridades até o processamento de pagamentos e a vítima
Painel da Olympus: A armadilha dos chatbots com IA
O Olympus Panel (Syndicate Casino) foi implantado em 16 domínios a partir de um painel de administração central em olympus-panel.cc. Sua característica marcante: “Alice”, um chatbot baseado em IA implantado em todas as instâncias do cassino para interagir com as vítimas em conversas em tempo real e orientá-las a efetuar o depósito mínimo de verificação de US$ 50.
Os colaboradores recebem 70% de comissão. Os dumps de HTML do painel de administração mostram o rastreamento completo das vítimas, com os valores dos depósitos preenchidos automaticamente por meio de variáveis de modelo %sum_verif%.
Detectada sobreposição de domínios
O domínio inclusivebets.fun aparece tanto no banco de dados da OFEDREX quanto no da Olympus, o que sugere ou uma infraestrutura compartilhada, ou os mesmos operadores administrando vários painéis, ou ainda afiliadas realizando vendas cruzadas entre as plataformas.
Indicadores de comprometimento
Domínio
Status
olympus-panel.cc
Painel de Administração
syndicate-casino.com
Retirado do ar
inclusivebets.fun
Compartilhado com a OFEDREX
BitXLucky: O golpe que engana os golpistas
O BitXLucky é a operação mais cínica do nosso arquivo. Desenvolvido com Next.js/NestJS, ele se apresenta como uma plataforma PaaS de cassino que recruta colaboradores — mas os cadastros das vítimas nunca aparecem no painel dos colaboradores. Colaboradores: 0. Todos os cadastros das vítimas são redirecionados discretamente para o operador, excluindo totalmente os afiliados.
Isso é um meta-golpe: uma ferramenta fraudulenta que rouba seus próprios golpistas.
A prova está nos erros de digitação
O painel de administração está repleto de erros ortográficos: “saport” (support), “Warkers” (Workers), “Logi” (Login), “Postsuk” (Postback). Não se trata apenas de erros de digitação — são indícios de uma ferramenta fraudulenta criada às pressas por pessoas cujo português não é a língua materna.
Painel do trabalhador: “Trabalhadores: 0 | Total de depósitos: 0 | Login: saport@bitxlucky”
— Captura de tela do painel de administração do BitXLucky
Infraestrutura exposta
IPs de servidores identificados na configuração: 77.110.103.90176.46.152.13:300077.221.151.196. Ao contrário dos outros painéis, o BitXLucky nem se deu ao trabalho de se esconder atrás do Cloudflare de forma consistente — os endereços IP brutos dos servidores ficavam expostos nas respostas da API.
Painel de phishing de cassino falso — interface de administração exposta
Nenhum cassino legítimo pede um “depósito de verificação”. Nenhuma plataforma de verdade precisa de endossos de celebridades criados com deepfake. Se você se deparar com alguma dessas plataformas, denuncie imediatamente.
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência na íntegra →