Перейти к основному содержанию
Вернуться к новостям

~12 мин чтения | расследование

Сравнение мошеннических группировок: деятельность MercuryTeam, WasabiSquad и 717Team

На каждый случай, о котором пишут в заголовках как о миллиардном мошенничестве, приходится сотни подобных групп. Три примера из практики, посвященные «среднему классу» мошенничества — как мошеннические группы среднего уровня вербуют участников, ведут свою деятельность и как их деятельность пресекается. MercuryTeam занимается мошенничеством с использованием двойных ботов на биржах и в казино. WasabiSquad применяет «тройную угрозу». 717Team была ликвидирована — доказательство того, что пресечение деятельности с помощью OSINT работает.

Проведено расследование в отношении 3 командОбщая таблица Google Spreadsheet1. Команда распалась
Деятельность мошеннических группировок
3
Команды, в отношении которых проводилось расследование
0
Отслеживается 717 членов команды
0
Выявленные кошельки
$2,946
Подтверждено: «Дренировано» (717Team)

Средний класс мошенников

Когда расследования криптовалютных мошенничеств попадают в заголовки новостей, цифры просто ошеломляют — «империи» менторства стоимостью 10 миллионов долларов, «rug pulls» на миллиарды долларов, сети отмывания денег, поддерживаемые государством. Но за этими громкими операциями скрывается обширная экосистема мошеннические группы среднего уровня которые в совокупности наносят огромный ущерб, оставаясь при этом незамеченными.

Это не одиночки. Они организованы, вербуют новых участников через форумы, используют ботов в Telegram для автоматизации процессов и отслеживают своих жертв в таблицах Google, точно так же, как любая легальная команда продаж отслеживает потенциальных клиентов. Они представляют собой оперативный средний эшелон киберпреступности — достаточно сложная, чтобы масштабироваться, и достаточно небольшая, чтобы оставаться незамеченной.

В данном исследовании рассматриваются три таких команды, описанные в PhishDestroy's ScamIntelLogs репозиторий:

MercuryTeam

Статус: Активен. Операция с использованием двух векторов, в рамках которой одновременно осуществляются мошенничество с биржевыми операциями и аферы, связанные с азартными играми, через двух ботов в Telegram. Русскоязычная структура, построенная по принципу наставничества.

WasabiSquad

Статус: Активен. Мошенническая схема, использующая три канала: поддельные биржи, игорные платформы и инвестиционные боты. Использует инфраструктуру, совместную с MercuryTeam.

717Team

Статус: АРХИВИРОВАНО. Благодаря сбору разведывательной информации и скоординированному информированию удалось ликвидировать преступную группировку, насчитывавшую 125 членов. Это доказательство того, что пресечение преступной деятельности приносит результаты.

Основной вывод

У MercuryTeam и WasabiSquad один и тот же URL-адрес таблицы Google Spreadsheet — свидетельство либо о наличии идентичных операторов, либо о тесном сотрудничестве.

Почему команды среднего уровня имеют значение

На каждый заголовок о миллиарде долларов приходится сотни таких команд работают ежедневно. Они активно вербуют новых участников, быстро внедряют изменения и совместными усилиями выманивают миллионы у жертв по всему миру. Понимание их структуры имеет решающее значение для того, чтобы нанести им серьезный ущерб в широком масштабе.

MercuryTeam: Операции с двумя векторами

MercuryTeam управляет модель мошенничества с использованием двух векторов — одновременное проведение мошеннических операций, связанных с биржами и казино, с помощью двух специальных ботов в Telegram. Такой подход позволяет охватить максимальное количество жертв: пользователей, которые не попались бы на подделку биржи, может привлечь предложение казино, и наоборот.

Инфраструктура ботов Telegram

БотИмя пользователя в TelegramИдентификатор ботаВектор
Основной бот@MercuryTeam_bot6631580796Мошенничество на бирже
Казино-бот@MercuryCasi_bot6431207710Мошенничество в казино

Архитектура с двумя ботами не является случайной. Разделив операции биржи и казино между отдельными ботами, MercuryTeam добивается операционная сегментация — если один бот попадает под жалобу или блокируется, другой продолжает работать. Жертвы взаимодействуют с тем ботом, который соответствует их профилю уязвимости.

Организационная структура

В компании MercuryTeam используется модель наставника с ветвями. Опытные операторы обучают новичков, которые затем открывают полунезависимые филиалы. Такая структура, напоминающая франшизу, позволяет команде быстро расширяться, сохраняя при этом оперативную безопасность. Перед тем как начать работать самостоятельно, новички изучают у назначенных им наставников методы взаимодействия с жертвами, работу со сценариями и процедуры выхода из операции.

Присутствие на форуме

MercuryTeam занимается подбором персонала и размещает объявления через lolz.live, один из крупнейших русскоязычных форумов, посвящённых мошенничеству. Их тема по набору участников: lolz.live/threads/6129774/

Отслеживание жертв

Данные о доходах и жертвах отслеживаются с помощью общая таблица Google Spreadsheet — эта деталь приобретает решающее значение при анализе деятельности WasabiSquad.

Аналитическая оценка

MercuryTeam представляет собой эволюция мошенничества в среднем сегменте: использование двух векторов удваивает их уязвимость, в то время как модель «наставника» обеспечивает стабильное качество во всех филиалах. Операция ведется на русском языке, вся координация осуществляется через Telegram. Полный массив доказательств сохранен в ScamIntelLogs.

WasabiSquad: Тройная угроза

В то время как MercuryTeam использует два вектора, WasabiSquad увеличивает это значение до три — объединение поддельных бирж, игорных платформ и инвестиционных ботов в рамках одной операции. Этот многовекторный подход нацелен на совершенно разные психологические особенности жертв: криптовалютного трейдера, азартного игрока и пассивного инвестора.

Боты и веб-инфраструктура

АктивИдентификаторТип
Основной бот@WasabiSquad_BotБот в Telegram (ID: 7380099926)
Веб-сайтwasabihub.oneВеб-платформа
Тема на форумеlolz.live/threads/7933252/Подбор персонала и реклама

Три вектора атаки

Мошенничество на бирже

Поддельные криптовалютные биржи, созданные с целью кражи вкладов. Жертвы полагают, что торгуют на легальной платформе, и вносят средства, которые впоследствии невозможно вывести.

Мошенничество в сфере азартных игр

Мошеннические игорные платформы, которые обещают выигрыши, но перед выводом средств требуют внесения «депозита для верификации» — средств, которые сразу же исчезают.

Мошенничество с инвестиционными ботами

Автоматизированные инвестиционные боты, обещающие гарантированную прибыль. Жертвы вкладывают криптовалюту в надежде получить прибыль от алгоритмической торговли, но ничего не получают.

Ссылка на электронную таблицу

WasabiSquad использует ТУ ЖЕ таблицу Google, что и MercuryTeam для отслеживания жертв и доходов. Это самый важный вывод данного расследования.

«Та же таблица. Те же столбцы для отслеживания. Те же формулы расчета доходов. Либо это одни и те же люди, скрывающиеся под разными масками, либо они доверяют друг другу настолько, что делятся всей своей базой данных о жертвах».

— Аналитическая оценка PhishDestroy

Пересечение объектов критически важной инфраструктуры

Общая таблица Google Spreadsheet, которой пользуются MercuryTeam и WasabiSquad, — это не какая-то незначительная техническая деталь — это признаки оперативного единства. Две команды с разными брендами, разными ботами в Telegram и отдельными ветками на форумах используют один и тот же бэкенд-документ для отслеживания жертв и доходов. Это указывает либо на оба бренда управляются одними и теми же операторами или а формальный союз с общей финансовой инфраструктурой.

717Team: Доказательство того, что «Disruption» работает

Из трёх команд, рассмотренных в рамках данного исследования, команда «717Team» выделяется одной уникальной особенностью: он был заархивирован. В терминологии ScamIntelLogs термин «архивировано» означает, что деятельность была пресечена и группа больше не занимается активным мошенничеством. Это не теоретический успех — это документальное подтверждение того, что сбор оперативной информации, сохранение доказательств и скоординированное информирование могут положить конец организованному мошенничеству.

«717Team» в цифрах

0
Отслеживаемые участники
0
Выявленные кошельки
$2,946
Подтверждено: слив выполнен
АРХИВ
Статус операций

Ссылки для администраторов и сетевые ссылки

РольИдентификаторПодробности
Администратор@imdebankИдентификатор в Telegram: 7149807602
Сетевое соединениеRublevkaTeamАдминистратор @imdebank связан с этой отдельной операцией
Бот@team717_botОсновной бот в Telegram (в настоящее время неактивен)
Форумlolz.liveЦентр по подбору персонала и координации

Инфраструктура доменов (12 и более доменов)

ДоменЦель
checkscore.ccОсновная мошенническая платформа
cryptomus-payment.comПоддельный платежный шлюз
check-score.ruВариант, ориентированный на российский рынок
+ 9 дополнительных доменов, зафиксированных в ScamIntelLogs

Почему архивирование имеет значение

Статус архива команды 717Team — это наиболее важный показатель в ходе всего этого расследования. Это свидетельствует о том, что мошеннические группировки среднего уровня может была пресечена благодаря систематическому сбору разведывательной информации. Процесс, который оказался эффективным: (1) выявление инфраструктуры, (2) отслеживание кошельков и участников, (3) сохранение доказательств, (4) координация отчетности между платформами. Подтверждённая сумма потери в размере 2 946,25 долларов представляет собой задокументированные убытки — реальная цифра, вероятно, была выше, но операция была пресечена до того, как она смогла разрастись ещё больше.

Связь с RublevkaTeam

Администратор @imdebank (ID: 7149807602) был связан с RublevkaTeam, отдельная мошенническая схема, описанная в нашем Российская афера с TON расследование. Эта межкомандная взаимосвязь подтверждает один из ключевых выводов: эти операции не являются изолированными. Операторы перемещаются между командами, совместно используют инфраструктуру и поддерживают сети, которые сохраняют работоспособность даже после ликвидации отдельных команд.

Общая инфраструктура

Если сравнить эти три команды, становится очевидным нечто гораздо более важное, чем отдельные операции — это показывает, что сеть. Общие инструменты, общие платформы, общие документы и, по крайней мере в одном случае, прямая кадровая связь между командами.

Сравнительный анализ

АтрибутMercuryTeamWasabiSquad717Team
Векторы атакБиржа + КазиноБиржа + Азартные игры + ИнвестицииОбмен + поддельные платежи
Форумlolz.livelolz.livelolz.live
Боты в Telegram2 бота1 бот + сайт1 бот
ОтслеживаниеТаблица GoogleТаблица SAMEВнутреннее отслеживание
ЯзыкРусскийРусскийРусский
СтатусАктивныйАктивныйАрхив

Общие элементы инфраструктуры

  • Общая таблица Google Spreadsheet — MercuryTeam и WasabiSquad используют один и тот же документ для отслеживания жертв и доходов
  • lolz.live в качестве центральной платформы — Все три команды занимаются набором участников, размещают объявления и координируют свою деятельность через один и тот же русскоязычный форум
  • Telegram как операционный уровень — Каждая команда использует ботов в Telegram для привлечения жертв и общения с операторами
  • Сотрудники, работающие в нескольких командах — Администратор 717Team @imdebank присоединился к RublevkaTeam, продемонстрировав возможность перехода оператора из одной команды в другую
  • Деятельность на русском языке — Все команды работают на русском языке, что свидетельствует об их общем географическом и культурном происхождении
«Они обмениваются таблицами. Они обмениваются сообщениями на форумах. Они обмениваются методами. Единственное, чем они не делятся, — это название бренда, и даже это различие, возможно, является искусственным».

— Краткий отчет по результатам анализа PhishDestroy

Не изолированные участники

Факты говорят сами за себя: MercuryTeam, WasabiSquad и 717Team — это не независимые группы, которые просто случайно используют схожие методы. Эти общая таблица Google Spreadsheet между «Меркури» и «Васаби», общий форум во всех трёх, и дублирование персонала Все связи между 717Team и RublevkaTeam свидетельствуют о наличии взаимосвязанной экосистемы. Попытка дестабилизировать одну из команд без понимания структуры сети рискует просто перенаправить операторов к другому бренду.

Доказательства и документация

Вся разведывательная информация, упомянутая в рамках данного расследования, сохранена в репозитории ScamIntelLogs проекта PhishDestroy. У каждой команды есть собственный каталог доказательств, содержащий идентификаторы ботов, адреса кошельков, скриншоты форумов, списки доменов и результаты структурного анализа.

Команду «717Team» остановили. Остальных тоже можно остановить.

Сбор разведывательной информации дает результаты. Сохранение доказательств дает результаты. Скоординированная отчетность дает результаты. Статус «архивный» команды 717Team — живое тому доказательство.
Помогите нам оказать такое же давление на MercuryTeam, WasabiSquad и все мошеннические проекты среднего уровня, которые до сих пор продолжают свою деятельность.

#ScamTeams#MercuryTeam#WasabiSquad#717Team#Investigation

Связанные исследования

Проект: «Империя наставничества» — мошенническая схема на 10 млн долларов
Как одна операция привела к созданию «империи наставничества» стоимостью 10 млн долларов, обучающей других мошенничеству в промышленных масштабах.
Эпидемия поддельных казино: разоблачение 5 мошеннических сайтов
За кулисами мошеннических панелей под видом казино — разоблачение OFEDREX, LuxardGambling, Olympus Panel и BitXLucky.
RublevkaTeam: Разоблачена российская афера с TON
Подробный анализ мошеннической схемы RublevkaTeam, связанной с блокчейном TON, — причастность администратора 717Team @imdebank.
Уведомление о прозрачности. PhishDestroy — это некоммерческий независимый проект. Наши исследования могут отражать некоторую предвзятость в отношении инфраструктуры мошенничества и сервисов, способствующих её функционированию. Мы призываем читателей критически и независимо оценивать все материалы. Ознакомьтесь с полным текстом нашего заявления о прозрачности →