Средний класс мошенников
Когда расследования криптовалютных мошенничеств попадают в заголовки новостей, цифры просто ошеломляют — «империи» менторства стоимостью 10 миллионов долларов, «rug pulls» на миллиарды долларов, сети отмывания денег, поддерживаемые государством. Но за этими громкими операциями скрывается обширная экосистема мошеннические группы среднего уровня которые в совокупности наносят огромный ущерб, оставаясь при этом незамеченными.
Это не одиночки. Они организованы, вербуют новых участников через форумы, используют ботов в Telegram для автоматизации процессов и отслеживают своих жертв в таблицах Google, точно так же, как любая легальная команда продаж отслеживает потенциальных клиентов. Они представляют собой оперативный средний эшелон киберпреступности — достаточно сложная, чтобы масштабироваться, и достаточно небольшая, чтобы оставаться незамеченной.
В данном исследовании рассматриваются три таких команды, описанные в PhishDestroy's ScamIntelLogs репозиторий:
MercuryTeam
Статус: Активен. Операция с использованием двух векторов, в рамках которой одновременно осуществляются мошенничество с биржевыми операциями и аферы, связанные с азартными играми, через двух ботов в Telegram. Русскоязычная структура, построенная по принципу наставничества.
WasabiSquad
Статус: Активен. Мошенническая схема, использующая три канала: поддельные биржи, игорные платформы и инвестиционные боты. Использует инфраструктуру, совместную с MercuryTeam.
717Team
Статус: АРХИВИРОВАНО. Благодаря сбору разведывательной информации и скоординированному информированию удалось ликвидировать преступную группировку, насчитывавшую 125 членов. Это доказательство того, что пресечение преступной деятельности приносит результаты.
Основной вывод
У MercuryTeam и WasabiSquad один и тот же URL-адрес таблицы Google Spreadsheet — свидетельство либо о наличии идентичных операторов, либо о тесном сотрудничестве.
Почему команды среднего уровня имеют значение
На каждый заголовок о миллиарде долларов приходится сотни таких команд работают ежедневно. Они активно вербуют новых участников, быстро внедряют изменения и совместными усилиями выманивают миллионы у жертв по всему миру. Понимание их структуры имеет решающее значение для того, чтобы нанести им серьезный ущерб в широком масштабе.
MercuryTeam: Операции с двумя векторами
MercuryTeam управляет модель мошенничества с использованием двух векторов — одновременное проведение мошеннических операций, связанных с биржами и казино, с помощью двух специальных ботов в Telegram. Такой подход позволяет охватить максимальное количество жертв: пользователей, которые не попались бы на подделку биржи, может привлечь предложение казино, и наоборот.
Инфраструктура ботов Telegram
| Бот | Имя пользователя в Telegram | Идентификатор бота | Вектор |
|---|
| Основной бот | @MercuryTeam_bot | 6631580796 | Мошенничество на бирже |
| Казино-бот | @MercuryCasi_bot | 6431207710 | Мошенничество в казино |
Архитектура с двумя ботами не является случайной. Разделив операции биржи и казино между отдельными ботами, MercuryTeam добивается операционная сегментация — если один бот попадает под жалобу или блокируется, другой продолжает работать. Жертвы взаимодействуют с тем ботом, который соответствует их профилю уязвимости.
Организационная структура
В компании MercuryTeam используется модель наставника с ветвями. Опытные операторы обучают новичков, которые затем открывают полунезависимые филиалы. Такая структура, напоминающая франшизу, позволяет команде быстро расширяться, сохраняя при этом оперативную безопасность. Перед тем как начать работать самостоятельно, новички изучают у назначенных им наставников методы взаимодействия с жертвами, работу со сценариями и процедуры выхода из операции.
Присутствие на форуме
MercuryTeam занимается подбором персонала и размещает объявления через lolz.live, один из крупнейших русскоязычных форумов, посвящённых мошенничеству. Их тема по набору участников: lolz.live/threads/6129774/
Отслеживание жертв
Данные о доходах и жертвах отслеживаются с помощью общая таблица Google Spreadsheet — эта деталь приобретает решающее значение при анализе деятельности WasabiSquad.
Аналитическая оценка
MercuryTeam представляет собой эволюция мошенничества в среднем сегменте: использование двух векторов удваивает их уязвимость, в то время как модель «наставника» обеспечивает стабильное качество во всех филиалах. Операция ведется на русском языке, вся координация осуществляется через Telegram. Полный массив доказательств сохранен в ScamIntelLogs.
WasabiSquad: Тройная угроза
В то время как MercuryTeam использует два вектора, WasabiSquad увеличивает это значение до три — объединение поддельных бирж, игорных платформ и инвестиционных ботов в рамках одной операции. Этот многовекторный подход нацелен на совершенно разные психологические особенности жертв: криптовалютного трейдера, азартного игрока и пассивного инвестора.
Боты и веб-инфраструктура
| Актив | Идентификатор | Тип |
|---|
| Основной бот | @WasabiSquad_Bot | Бот в Telegram (ID: 7380099926) |
| Веб-сайт | wasabihub.one | Веб-платформа |
| Тема на форуме | lolz.live/threads/7933252/ | Подбор персонала и реклама |
Три вектора атаки
Мошенничество на бирже
Поддельные криптовалютные биржи, созданные с целью кражи вкладов. Жертвы полагают, что торгуют на легальной платформе, и вносят средства, которые впоследствии невозможно вывести.
Мошенничество в сфере азартных игр
Мошеннические игорные платформы, которые обещают выигрыши, но перед выводом средств требуют внесения «депозита для верификации» — средств, которые сразу же исчезают.
Мошенничество с инвестиционными ботами
Автоматизированные инвестиционные боты, обещающие гарантированную прибыль. Жертвы вкладывают криптовалюту в надежде получить прибыль от алгоритмической торговли, но ничего не получают.
Ссылка на электронную таблицу
WasabiSquad использует ТУ ЖЕ таблицу Google, что и MercuryTeam для отслеживания жертв и доходов. Это самый важный вывод данного расследования.
«Та же таблица. Те же столбцы для отслеживания. Те же формулы расчета доходов. Либо это одни и те же люди, скрывающиеся под разными масками, либо они доверяют друг другу настолько, что делятся всей своей базой данных о жертвах».
— Аналитическая оценка PhishDestroy
Пересечение объектов критически важной инфраструктуры
Общая таблица Google Spreadsheet, которой пользуются MercuryTeam и WasabiSquad, — это не какая-то незначительная техническая деталь — это признаки оперативного единства. Две команды с разными брендами, разными ботами в Telegram и отдельными ветками на форумах используют один и тот же бэкенд-документ для отслеживания жертв и доходов. Это указывает либо на оба бренда управляются одними и теми же операторами или а формальный союз с общей финансовой инфраструктурой.
717Team: Доказательство того, что «Disruption» работает
Из трёх команд, рассмотренных в рамках данного исследования, команда «717Team» выделяется одной уникальной особенностью: он был заархивирован. В терминологии ScamIntelLogs термин «архивировано» означает, что деятельность была пресечена и группа больше не занимается активным мошенничеством. Это не теоретический успех — это документальное подтверждение того, что сбор оперативной информации, сохранение доказательств и скоординированное информирование могут положить конец организованному мошенничеству.
«717Team» в цифрах
$2,946
Подтверждено: слив выполнен
Ссылки для администраторов и сетевые ссылки
| Роль | Идентификатор | Подробности |
|---|
| Администратор | @imdebank | Идентификатор в Telegram: 7149807602 |
| Сетевое соединение | RublevkaTeam | Администратор @imdebank связан с этой отдельной операцией |
| Бот | @team717_bot | Основной бот в Telegram (в настоящее время неактивен) |
| Форум | lolz.live | Центр по подбору персонала и координации |
Инфраструктура доменов (12 и более доменов)
| Домен | Цель |
|---|
| checkscore.cc | Основная мошенническая платформа |
| cryptomus-payment.com | Поддельный платежный шлюз |
| check-score.ru | Вариант, ориентированный на российский рынок |
| + 9 дополнительных доменов, зафиксированных в ScamIntelLogs |
Почему архивирование имеет значение
Статус архива команды 717Team — это наиболее важный показатель в ходе всего этого расследования. Это свидетельствует о том, что мошеннические группировки среднего уровня может была пресечена благодаря систематическому сбору разведывательной информации. Процесс, который оказался эффективным: (1) выявление инфраструктуры, (2) отслеживание кошельков и участников, (3) сохранение доказательств, (4) координация отчетности между платформами. Подтверждённая сумма потери в размере 2 946,25 долларов представляет собой задокументированные убытки — реальная цифра, вероятно, была выше, но операция была пресечена до того, как она смогла разрастись ещё больше.
Связь с RublevkaTeam
Администратор @imdebank (ID: 7149807602) был связан с RublevkaTeam, отдельная мошенническая схема, описанная в нашем Российская афера с TON расследование. Эта межкомандная взаимосвязь подтверждает один из ключевых выводов: эти операции не являются изолированными. Операторы перемещаются между командами, совместно используют инфраструктуру и поддерживают сети, которые сохраняют работоспособность даже после ликвидации отдельных команд.
Общая инфраструктура
Если сравнить эти три команды, становится очевидным нечто гораздо более важное, чем отдельные операции — это показывает, что сеть. Общие инструменты, общие платформы, общие документы и, по крайней мере в одном случае, прямая кадровая связь между командами.
Сравнительный анализ
| Атрибут | MercuryTeam | WasabiSquad | 717Team |
|---|
| Векторы атак | Биржа + Казино | Биржа + Азартные игры + Инвестиции | Обмен + поддельные платежи |
| Форум | lolz.live | lolz.live | lolz.live |
| Боты в Telegram | 2 бота | 1 бот + сайт | 1 бот |
| Отслеживание | Таблица Google | Таблица SAME | Внутреннее отслеживание |
| Язык | Русский | Русский | Русский |
| Статус | Активный | Активный | Архив |
Общие элементы инфраструктуры
- Общая таблица Google Spreadsheet — MercuryTeam и WasabiSquad используют один и тот же документ для отслеживания жертв и доходов
- lolz.live в качестве центральной платформы — Все три команды занимаются набором участников, размещают объявления и координируют свою деятельность через один и тот же русскоязычный форум
- Telegram как операционный уровень — Каждая команда использует ботов в Telegram для привлечения жертв и общения с операторами
- Сотрудники, работающие в нескольких командах — Администратор 717Team @imdebank присоединился к RublevkaTeam, продемонстрировав возможность перехода оператора из одной команды в другую
- Деятельность на русском языке — Все команды работают на русском языке, что свидетельствует об их общем географическом и культурном происхождении
«Они обмениваются таблицами. Они обмениваются сообщениями на форумах. Они обмениваются методами. Единственное, чем они не делятся, — это название бренда, и даже это различие, возможно, является искусственным».
— Краткий отчет по результатам анализа PhishDestroy
Не изолированные участники
Факты говорят сами за себя: MercuryTeam, WasabiSquad и 717Team — это не независимые группы, которые просто случайно используют схожие методы. Эти общая таблица Google Spreadsheet между «Меркури» и «Васаби», общий форум во всех трёх, и дублирование персонала Все связи между 717Team и RublevkaTeam свидетельствуют о наличии взаимосвязанной экосистемы. Попытка дестабилизировать одну из команд без понимания структуры сети рискует просто перенаправить операторов к другому бренду.
Доказательства и документация
Вся разведывательная информация, упомянутая в рамках данного расследования, сохранена в репозитории ScamIntelLogs проекта PhishDestroy. У каждой команды есть собственный каталог доказательств, содержащий идентификаторы ботов, адреса кошельков, скриншоты форумов, списки доменов и результаты структурного анализа.
Доказательства MercuryTeam
Идентификаторы двух ботов, тема на форуме, документация по структуре наставничества, справочная таблица
Доказательства WasabiSquad
Анализ «тройной угрозы», документация на сайте wasabihub.one, доказательство в виде общей таблицы
717Team Evidence (Архив)
125 участников, 85 кошельков, похищено 2 946,25 долларов, более 12 доменов, администратор @imdebank связан с RublevkaTeam
Полный репозиторий ScamIntelLogs
Полный архив аналитических данных об угрозах — все группы, все доказательства, с управлением версиями
Команду «717Team» остановили. Остальных тоже можно остановить.
Сбор разведывательной информации дает результаты. Сохранение доказательств дает результаты. Скоординированная отчетность дает результаты. Статус «архивный» команды 717Team — живое тому доказательство.
Помогите нам оказать такое же давление на MercuryTeam, WasabiSquad и все мошеннические проекты среднего уровня, которые до сих пор продолжают свою деятельность.
#ScamTeams#MercuryTeam#WasabiSquad#717Team#Investigation