How do scam teams recruit and organize?

Teams like MercuryTeam and WasabiSquad recruit through Russian-language forums (lolz.live), using Telegram bots for onboarding and Google Spreadsheets for tracking victims and revenue. The mentor model ensures new recruits are trained before operating independently.

Can scam operations actually be disrupted?

Yes. 717Team's archived status in PhishDestroy's ScamIntelLogs is direct proof that intelligence gathering, evidence preservation, and coordinated reporting can shut down operations.

What is the connection between different scam teams?

Investigation revealed MercuryTeam and WasabiSquad share the same Google Spreadsheet — indicating either the same operators or a close alliance. 717Team's admin was linked to RublevkaTeam. These aren't isolated actors.

Вернуться к новостям

~12 минут чтения | расследование

Сравнение мошеннических группировок: деятельность MercuryTeam, WasabiSquad и 717Team

На каждый громкий случай мошенничества на миллиард долларов приходится сотни подобных группировок. Три примера из практики, посвященные «среднему классу» мошенничества: как мошеннические группировки среднего уровня набирают участников, ведут свою деятельность и как их ликвидируют. MercuryTeam занимается мошенничеством с использованием двойных ботов на биржах и в онлайн-казино. WasabiSquad применяет «тройную угрозу». Группировка 717Team была ликвидирована — доказательство того, что методы пресечения с помощью OSINT работают.

Время чтения: 11 минут· Обновлено Март 2026 года· PhishDestroy Intelligence

Проведено расследование в отношении 3 команд Общая таблица Google 1 Команда распалась

Проведенные расследования в отношении команд

717 отслеживаемых членов команды

Выявленные кошельки

2 946 долларов

Подтверждено: исчерпано (717Team)

Средний класс мошенников

Когда расследования криптовалютных мошенничеств попадают в заголовки новостей, цифры бывают ошеломляющими — «империи» наставничества стоимостью в 10 миллионов долларов, «раг-пулы» на миллиарды долларов, сети отмывания денег, поддерживаемые государством. Но за этими громкими операциями скрывается обширная экосистема мошеннические группы среднего уровня которые в совокупности наносят огромный ущерб, оставаясь при этом незамеченными.

Это не одиночки. Они действуют организованно, набирают новых членов через форумы, используют ботов в Telegram для автоматизации процессов и отслеживают своих жертв в таблицах Google, как любая легальная команда продаж отслеживает потенциальных клиентов. Они представляют собой оперативный средний звено киберпреступности — достаточно совершенная, чтобы масштабироваться, и достаточно компактная, чтобы оставаться незамеченной.

В данном исследовании рассматриваются три таких команды, описанные в PhishDestroy's Журналы ScamIntel репозиторий:

MercuryTeam

Статус: Активен. Операция с использованием двух каналов, в рамках которой одновременно осуществляются мошенничество с биржевыми операциями и аферы в сфере азартных игр через два бота в Telegram. Русскоязычная структура, построенная по принципу наставничества.

Отряд «Васаби»

Статус: Активен. Мошенническая схема, действующая по трем направлениям: поддельные биржи, игорные платформы и инвестиционные боты. Использует инфраструктуру, совместную с MercuryTeam.

Команда 717

Статус: АРХИВИРОВАНО. Благодаря сбору оперативной информации и скоординированному обмену данными удалось ликвидировать преступную группировку, насчитывавшую 125 человек. Это доказательство того, что пресечение преступной деятельности дает результаты.

Основные выводы

У MercuryTeam и WasabiSquad один и тот же URL-адрес таблицы Google — свидетельство либо о наличии одинаковых операторов, либо о тесном сотрудничестве.

Почему команды среднего уровня имеют значение

На каждый заголовок о миллиардных сделках приходится сотни таких команд работают ежедневно. Они активно вербуют новых участников, быстро внедряют изменения и в совокупности выманивают миллионы у жертв по всему миру. Понимание их структуры имеет решающее значение для их масштабного пресечения.

MercuryTeam: Операции с двумя векторами

MercuryTeam управляет модель мошенничества с использованием двух векторов — одновременное проведение мошеннических операций, связанных с биржами и казино, с помощью двух специальных ботов в Telegram. Такой подход позволяет охватить максимальное количество жертв: пользователей, которые не попались бы на подделку биржи, может привлечь предложение казино, и наоборот.

Инфраструктура ботов Telegram

Бот	Telegram: Купить	Идентификатор бота	Вектор
Основной бот	@MercuryTeam_bot	6631580796	Мошенничество на бирже
Казино-бот	@MercuryCasi_bot	6431207710	Мошенничество в казино

Архитектура с двумя ботами не является случайной. Разделив операции биржи и казино между отдельными ботами, MercuryTeam добивается операционная сегментация — если один бот попадает под жалобу или блокировку, другой продолжает работать. Жертвы взаимодействуют с тем ботом, который соответствует их профилю уязвимости.

Организационная структура

В компании MercuryTeam используется модель наставника с ветвями. Опытные операторы обучают новичков, которые затем открывают полуавтономные филиалы. Такая структура, напоминающая франчайзинг, позволяет команде быстро расширяться, сохраняя при этом операционную безопасность. Перед тем как начать работать самостоятельно, новички изучают у назначенных им наставников методы взаимодействия с жертвами, работу со сценариями и процедуры выхода из операции.

Присутствие на форуме

MercuryTeam осуществляет набор персонала и размещает объявления через lolz.live, один из крупнейших русскоязычных форумов, посвященных мошенничеству. Их тема по набору участников: lolz.live/threads/6129774/

Отслеживание жертв

Данные о доходах и жертвах отслеживаются с помощью общая таблица Google — эта деталь приобретает решающее значение при анализе деятельности WasabiSquad.

Аналитическая оценка

MercuryTeam представляет собой эволюция мошенничества в среднем сегменте: использование двух векторных подходов удваивает площадь атаки, в то время как модель-наставник обеспечивает стабильное качество во всех филиалах. Операция ведется на русском языке, вся координация осуществляется через Telegram. Полная документация хранится в ScamIntelLogs.

WasabiSquad: Тройная угроза

Если MercuryTeam использует два вектора, то WasabiSquad увеличивает их количество до три — объединение поддельных бирж, игорных платформ и инвестиционных ботов в единую операцию. Этот многовекторный подход нацелен на совершенно разные психологические особенности жертв: криптовалютного трейдера, азартного игрока и пассивного инвестора.

Боты и веб-инфраструктура

Актив	Войти	Тип
Основной бот	@WasabiSquad_Bot	Бот в Telegram (ID: 7380099926)
Веб-сайт	wasabihub.one	Веб-платформа
Тема на форуме	lolz.live/threads/7933252/	Подбор персонала и реклама

Три вектора атаки

Мошенничество на бирже

Поддельные криптовалютные биржи, созданные с целью кражи вкладов. Жертвы полагают, что торгуют на легальной платформе, и вкладывают средства, которые впоследствии невозможно вывести.

Мошенничество в сфере азартных игр

Мошеннические игорные платформы, которые обещают выигрыши, но перед выводом средств требуют внесения «депозита для верификации» — средств, которые сразу же исчезают.

Мошенничество с инвестиционными ботами

Автоматизированные инвестиционные боты, обещающие гарантированную прибыль. Жертвы вкладывают криптовалюту в надежде на прибыль от алгоритмической торговли, но ничего не получают.

Ссылка на таблицу

WasabiSquad использует ТУ ЖЕ таблицу Google, что и MercuryTeam для отслеживания жертв и доходов. Это самый важный вывод данного расследования.

«Та же таблица. Те же столбцы для отслеживания. Те же формулы расчета доходов. Либо это одни и те же люди, скрывающиеся под разными масками, либо они доверяют друг другу настолько, что готовы делиться всей своей базой данных жертв».

— Аналитическая оценка PhishDestroy

Пересечение критически важных объектов инфраструктуры

Общая таблица Google Spreadsheet, используемая командами MercuryTeam и WasabiSquad, — это не какая-то незначительная техническая деталь, а признаки оперативного единства. Две команды с разными брендами, разными ботами в Telegram и отдельными ветками на форумах используют один и тот же бэкэнд-документ для отслеживания жертв и доходов. Это указывает либо на оба бренда управляются одними и теми же операторами или формальный союз с общей финансовой инфраструктурой.

717Team: Доказательство эффективности стратегии «Disruption»

Из трёх команд, рассмотренных в рамках данного исследования, команда 717Team выделяется следующим образом: он был заархивирован. В терминологии ScamIntelLogs термин «архивированный» означает, что деятельность была пресечена и группа больше не занимается активным мошенничеством. Это не просто теоретический успех — это документальное подтверждение того, что сбор оперативной информации, сохранение доказательств и скоординированное информирование могут положить конец организованному мошенничеству.

717Team в цифрах

Отслеживаемые участники

Выявленные кошельки

2 946 долларов

Подтверждено: истощено

АРХИВ

Состояние операций

Ссылки для администраторов и сетевых специалистов

Роль	Войти	Подробнее
Администратор	@imdebank	Идентификатор в Telegram: 7149807602
Сетевое соединение	RublevkaTeam	Администратор @imdebank привязан к этой отдельной операции
Бот	@team717_bot	Основной бот в Telegram (в настоящее время неактивен)
Форум	lolz.live	Центр по подбору персонала и координации

Инфраструктура доменов (12 и более доменов)

Домен	Цель
checkscore.cc	Основная мошенническая платформа
cryptomus-payment.com	Поддельный платежный шлюз
check-score.ru	Версия, ориентированная на российский рынок
+ 9 дополнительных доменов, зафиксированных в ScamIntelLogs

Почему архивы важны

Статус архива 717Team — это наиболее важный показатель в ходе всего этого расследования. Это свидетельствует о том, что мошеннические группировки среднего уровня может была пресечена благодаря систематическому сбору разведывательной информации. Процесс, который оказался эффективным: (1) выявление инфраструктуры, (2) отслеживание кошельков и участников, (3) сохранение доказательств, (4) координация обмена информацией между платформами. Подтвержденная сумма похищенных средств в размере 2 946,25 долларов США представляет собой задокументированные убытки — реальная цифра, вероятно, была выше, но операция была пресечена до того, как она успела разрастись.

Связь с RublevkaTeam

Администратор @imdebank (ID: 7149807602) был связан с RublevkaTeam, отдельная мошенническая схема, описанная в нашем Российское мошенничество с TON расследование. Такая межгрупповая взаимосвязь подтверждает один из основных выводов: эти операции не являются изолированными. Операторы перемещаются между группами, совместно используют инфраструктуру и поддерживают сети, которые сохраняют работоспособность даже после ликвидации отдельных групп.

Общая инфраструктура

Если рассмотреть эти три команды в совокупности, то становится очевидным нечто гораздо более важное, чем отдельные операции — становится очевидным сеть. Общие инструменты, общие платформы, общие документы и, по крайней мере в одном случае, прямая кадровая связь между командами.

Сравнительный анализ

Атрибут	MercuryTeam	Отряд «Васаби»	Команда 717
Векторы атак	Биржа + Казино	Биржа + Азартные игры + Инвестиции	Обмен + поддельные платежи
Форум	lolz.live	lolz.live	lolz.live
Боты в Telegram	2 бота	1 кость + веб-сайт	одна бутылка
Отслеживание	Таблица Google	Таблица SAME	Внутренний мониторинг
Язык	русский	русский	русский
Статус	Активный	Активный	В архиве

Общие элементы инфраструктуры

Общая таблица Google — MercuryTeam и WasabiSquad используют один и тот же документ для отслеживания жертв и доходов
lolz.live в качестве центральной платформы — Все три команды занимаются набором участников, рекламой и координацией действий через один и тот же русскоязычный форум
Telegram как операционный уровень — Каждая команда использует ботов в Telegram для привлечения жертв и общения с операторами
Сотрудники, работающие в нескольких командах — Администратор 717Team @imdebank присоединился к RublevkaTeam, продемонстрировав возможность перехода оператора из одной команды в другую
Деятельность на русском языке — Все команды работают на русском языке, что свидетельствует об их общем географическом и культурном происхождении

«Они обмениваются таблицами. Они обмениваются сообщениями на форумах. Они обмениваются методами. Единственное, чем они не делятся, — это своим брендом, и даже это различие может оказаться искусственным».

— Краткое изложение результатов анализа PhishDestroy

Не изолированные участники

Факты говорят сами за себя: MercuryTeam, WasabiSquad и 717Team — это не независимые группы, которые просто случайно используют схожие методы. общая таблица Google между Меркурием и Васаби, общий форум во всех трех, и дублирование кадров Все взаимосвязи между 717Team и RublevkaTeam свидетельствуют о наличии единой экосистемы. Попытка дестабилизировать одну из команд без понимания структуры сети грозит тем, что операторы просто перейдут к другому бренду.

Доказательства и документация

Вся разведывательная информация, упомянутая в рамках данного расследования, сохранена в репозитории ScamIntelLogs проекта PhishDestroy. У каждой команды имеется отдельный каталог доказательств, содержащий идентификаторы ботов, адреса кошельков, скриншоты форумов, списки доменов и результаты структурного анализа.

Доказательства MercuryTeam

Идентификаторы двух ботов, тема на форуме, документация по структуре наставничества, справочная таблица

Доказательства WasabiSquad

Анализ «тройной угрозы», документация wasabihub.one, доказательство на основе общей таблицы

717Team Evidence (Архив)

125 участников, 85 кошельков, похищено 2 946,25 долларов, более 12 доменов, администратор @imdebank связан с RublevkaTeam

Полный репозиторий ScamIntelLogs

Полный архив аналитических данных об угрозах — все группы, все доказательства, с контролем версий

Команду «717» остановили. Остальных тоже можно остановить.

Сбор оперативной информации — это работает. Сохранение доказательств — это работает. Скоординированная отчетность — это работает. Статус «архивирован» у 717Team — тому яркое подтверждение.
Помогите нам оказать такое же давление на MercuryTeam, WasabiSquad и все остальные мошеннические проекты среднего уровня, которые до сих пор продолжают свою деятельность.

Репозиторий ScamIntelLogs Команда по борьбе с мошенничеством Анализатор доменов

#ScamTeams #MercuryTeam #WasabiSquad #717Team #Investigation

Связанные исследования

Проект: «Империя наставничества» — мошенническая схема на 10 миллионов долларов

Как одна операция привела к созданию империи наставничества стоимостью 10 миллионов долларов, обучающей других мошенничеству в промышленных масштабах.

Эпидемия поддельных казино: разоблачение 5 мошеннических сайтов

За кулисами мошеннических панелей под видом казино — разоблачение OFEDREX, LuxardGambling, Olympus Panel и BitXLucky.

RublevkaTeam: Разоблачение российского мошенничества с TON

Подробный анализ мошеннической схемы RublevkaTeam, связанной с блокчейном TON, — причастность администратора 717Team @imdebank.