Как государства ломают экосистему pig butchering и крипто‑мошенничества

Международная операция с участием США, Китая и ОАЭ привела к аресту как минимум 276 человек, закрытию девяти центров криптовалютного мошенничества и заморозке свыше 700 млн долларов в криптоактивах, одновременно вскрыв тесную связь схем pig butchering с торговлей людьми, политически защищёнными «скэм‑компаундами» в Юго‑Восточной Азии и распространением нового банковского трояна для Android; для бизнеса и частных инвесторов это сигнал срочно пересмотреть защиту крипто‑транзакций, мобильных устройств и процессов проверки контрагентов.

Технические детали и масштабы операций

Разгром офлайн‑инфраструктуры скэм‑центров

Координацию действий правоохранителей возглавила полиция Дубая при участии Министерства внутренних дел ОАЭ, ФБР и Министерства общественной безопасности Китая. По данным обвинения в США, фигуранты управляли и работали в структурах Ko Thet Company, Sanduo Group и Giant Company, использовавших несколько скэм‑центров для обманных криптоинвестиций.

• Не менее 276 подозреваемых задержаны, среди них граждане Мьянмы и Индонезии.
• Закрыто девять центров, работавших на зарубежных жертв, в первую очередь из США.
• Фигурантам в США предъявлены обвинения в мошенничестве и отмывании денег.

В основу схем положен формат pig butchering (он же romance baiting): длительное выстраивание доверительных — нередко романтических — отношений, после чего жертву плавно подводят к «выгодным» инвестициям в криптовалюту. Злоумышленники помогают открыть криптокошельки и перевести средства на поддельные инвестиционные площадки; как только средства попадают на платформы, они немедленно отмываются через другие криптокошельки, включая принадлежащие самим мошенникам.

Критический элемент — принудительный труд. Людей из других стран вербуют обещаниями высоких зарплат, а затем удерживают в «компаундах» в условиях, близких к рабству, с угрозами насилия и пыток при отказе участвовать в схемах. Аналогичные кейсы ранее подробно описывались в заявлениях Минюста США по делам о международном онлайн‑мошенничестве (официальный сайт Министерства юстиции США).

Operation Level Up: проактивная работа с жертвами

С января 2024 года ФБР реализует инициативу Operation Level Up, нацеленную на проактивный поиск жертв криптоинвестиционных мошенничеств и их уведомление. По состоянию на апрель 2026 года:

• идентифицировано и уведомлено около 9 000 жертв;
• предотвращённый ущерб оценивается примерно в 562 млн долларов.

С точки зрения обороны это важный сдвиг: правоохранители не ждут заявлений потерпевших, а используют аналитические возможности по блокчейну и транзакциям для самостоятельного выявления жертв и их защиты.

Shunda, Tai Chang и Telegram‑вербовка

Отдельное обвинение выдвинуто против двух граждан Китая, связанных с крупным скэм‑компаундом Shunda в Мьянме и планами открытия второго центра в Камбодже. Один из них выступал менеджером высокого уровня, лично участвовавшим в физическом наказании траффированных работников, другой — тимлидом команды, целенаправленно атакующей граждан США.

В рамках той же волны действий:

• конфискован Telegram‑канал @pogojobhiring2023 (более 6 500 подписчиков), использовавшийся для вербовки жертв торговли людьми в камбоджийский скэм‑компаунд под видом легального трудоустройства;
• обнаружен и заблокирован кластер из 503 поддельных инвестиционных сайтов, ориентированных на граждан США;
• ограничено более 701 млн долларов в криптовалютах, связанных с отмыванием средств от крипто‑мошенничеств.

Масштабирование approval phishing: Operation Atlantic

Параллельно проводится Operation Atlantic, нацеленная на схемы approval phishing — обманное склонение жертвы подписать блокчейн‑транзакцию, дающую злоумышленнику полный контроль над кошельком Web3. После такой подписи атакующий может опустошить все активы, не ломая сам кошелёк.

• заморожено около 12 млн долларов, связанных с этой схемой;
• выявлено более 20 000 жертв в 30 странах (включая США, Канаду, Великобританию);
• конфисковано более 120 доменов, использовавшихся для фишинга;
• дополнительно идентифицировано около 33 млн долларов, предположительно связанных с глобальными инвестиционными мошенничествами.

По данным аналитиков TRM Labs и заявлениям Секретной службы США (U.S. Secret Service), approval phishing часто «упаковывается» внутрь инвестиционных и романтических схем pig butchering как финальный шаг по выкачиванию максимальных сумм.

Новый Android‑банковский троян как сервис

На фоне разгрома физических скэм‑центров исследователи Infoblox и вьетнамской некоммерческой организации Chong Lua Dao обнаружили новый троян для Android, функционирующий по модели «программное обеспечение как услуга» (MaaS) и, вероятно, связанный с компаундом K99 Triumph City, принадлежащим камбоджийской группе K99 Group.

Ключевые характеристики трояна:

• реальное время наблюдения за действиями пользователя на устройстве;
• кража учётных данных и данных из приложений;
• вывод финансовых средств по украденным данным;
• использование с как минимум 2023 года.

Инфраструктура кампании:

• регистрация ~35 новых доменов в месяц (как по алгоритму генерации доменов, так и в виде имитаций легитимных);
• около 400 целевых доменов‑приманок, зарегистрированных только в 2025 году;
• маскировка под банки, пенсионные и социальные фонды, коммунальные службы, органы по доходам, миграции, телеком‑операторов и правоохранительные структуры;
• расширение приманок на авиакомпании и торговые площадки, а также выход за пределы Юго‑Восточной Азии в Африку и Латинскую Америку.

Исследователи отмечают совпадения инфраструктуры и поведения с активностью группировок, отслеживаемых как Vigorish Viper и Vault Viper, что указывает на становление полноценной коммерческой экосистемы мошеннических инструментов. Дополнительный методологический контекст по техникам социальной инженерии и вредоносного ПО можно сопоставить с таксономией MITRE ATT&CK.

Контекст угроз: кибермошенничество, торговля людьми и политическое прикрытие

Особенность текущей кампании правоохранителей в том, что они целенаправленно бьют по связке «киберпреступление + торговля людьми + коррумпированные элиты».

• Министерство финансов США через OFAC ввело санкции против камбоджийского сенатора Kok An, предпринимателя Rithy Raksmei и их бизнеса (включая K99 Group), указывая на сеть скэм‑центров, действующих из казино и офисных комплексов и нарушающих права человека. См. общую информацию по санкциям и финансовым мерам на сайте казначейства США (U.S. Department of the Treasury).
• Это второй камбоджийский сенатор под санкциями США за причастность к принудительному труду в онлайн‑скэм‑центрах — ранее был указан Ly Yong Phat.
• В ответ на «промышленный» масштаб мошенничества парламент Камбоджи принял первый специальный закон против скэм‑центров: 5–10 лет лишения свободы и штрафы до 250 000 долларов.

Таким образом, противодействие pig butchering перестаёт быть чисто кибероперацией и смещается в плоскость финансовых санкций, уголовного права и борьбы с торговлей людьми. Для компаний это означает, что взаимодействие — даже косвенное — с такими бизнес‑структурами может иметь санкционные и правовые последствия, а не только репутационные риски.

Оценка воздействия для разных категорий

Наибольший риск для:

• Криптовалютных платформ и брокеров — они оказываются ключевым «бутылочным горлышком» для ввода/вывода средств из схем pig butchering и approval phishing.
• Банков и финтех‑компаний — Android‑троян ориентирован на кражу банковских и финансовых данных у клиентов, включая мобильный банкинг.
• Телеком‑операторов, коммунальных служб, госорганов — их бренд массово подделывается в доменах‑приманках, что подрывает доверие к каналам взаимодействия с клиентами.
• Организаций с персоналом в Юго‑Восточной Азии (особенно Камбоджа, Мьянма, Таиланд) — возрастает риск непреднамеренных связей с объектами санкций и вовлечения сотрудников в схемы принудительного труда.
• Частных инвесторов и пользователей сервисов знакомств — из‑за сочетания романтического мошенничества, инвестиционных схем и эксплуатации функциональности Web3.

При бездействии последствия включают:

• прямые финансовые потери клиентов и компаний (заморозка счетов, кража активов из кошельков Web3 и мобильного банкинга);
• правовые последствия из‑за потенциальных нарушений санкционных режимов OFAC и требований по противодействию отмыванию денег;
• падение доверия к цифровым каналам (особенно если бренд организации оказался подделан в доменах или приложениях трояна);
• усиление регуляторного давления в части due diligence по партнёрам и цепочкам поставок.

Практические рекомендации

Для криптоплатформ, брокеров и финтех‑компаний

• Усилить аналитику транзакций в блокчейне с учётом паттернов pig butchering и approval phishing: цепочки переводов на свежесозданные кошельки, массовые переводы на адреса, фигурирующие в расследованиях, аномальные суммы после длительного «пассивного» поведения клиентов.
• Интегрировать данные правоохранительных органов (операции Level Up и Atlantic) и аналитиков, таких как TRM Labs, в системы мониторинга транзакций и санкционные скрининги.
• Реализовать жёсткий контроль над smart contract approvals: предупреждать пользователя, если он выдаёт «неограниченное разрешение на списание» неизвестному контракту, и по возможности ограничивать такие операции дополнительной верификацией.
• Отдельно отслеживать клиентов из групп риска (активность в dating‑сервисах, резкие изменения профиля инвестирования, массовое привлечение кредитов под криптоинвестиции) и внедрять soft‑intervention: уведомления, звонки службы безопасности.

Для корпоративных ИБ‑подразделений и SOC

• Фильтрация доменов‑приманок: блокировать новые и малоизвестные домены, имитирующие банки, госорганы, соцфонды, авиакомпании и крупные маркетплейсы, особенно для сотрудников с доступом к финансовым системам.
• Мобильная безопасность: запрещать установку приложений вне официальных магазинов, внедрить контроль целостности устройств и мониторинг подозрительных разрешений приложений (доступ к SMS, уведомлениям, сервисам доступности).
• Обновить сценарии обучения персонала, включив:
  • признаки pig butchering (длительное общение, перевод в мессенджеры, «эксклюзивные» инвестиционные предложения);
  • риски любой подписи транзакций Web3 и механизм approval phishing;
  • опасность установки «приложений от банка/госорганов» по ссылкам из сообщений.
• Использовать внешние рекомендации от регуляторов (например, рекомендации CISA и описания тактик на MITRE ATT&CK) при настройке правил корреляции и детектов.

Для частных инвесторов и пользователей

• Никогда не переводить крупные суммы в криптовалюте по совету онлайн‑знакомых или «консультантов», которых вы не встречали лично и не проверяли независимыми способами.
• Относиться к каждой подписи транзакции в Web3 как к необратимой доверенности: читать содержание разрешения, использовать аппаратные кошельки и разделять кошельки для инвестиций и повседневных операций.
• Не устанавливать приложения для финансовых операций по ссылкам из мессенджеров или SMS, даже если они выглядят как сообщения от банка или госоргана; всегда искать приложение самостоятельно в официальном магазине.
• При любых подозрениях на мошенничество как можно скорее обращаться в банк/биржу и правоохранительные органы: чем раньше начнётся расследование, тем выше шанс заморозить активы до их отмывания (см. общие контакты и разъяснения на сайте Минюста США и национальных правоохранительных порталах).

Текущая волна операций — от Level Up и Atlantic до санкций OFAC и новых законов Камбоджи — показывает, что государства начали бить не по отдельным «романтическим мошенникам», а по всей инфраструктуре pig butchering: компаундам, обналичивающим сетям, политикам‑покровителям и разработчикам вредоносных сервисов; чтобы не оказаться следующим звеном в этой цепочке, организациям нужно уже сейчас интегрировать сигналы правоохранителей, ужесточить контроль над Web3‑транзакциями и мобильными устройствами, а также обновить обучение сотрудников с учётом новых техник социального давления и approval phishing.