Am 10. Juni 2026 haben europäische Strafverfolgungsbehörden unter Koordination von Europol AudiA6 zerschlagen – einen Krypto-Geldwäschedienst im industriellen Maßstab, über den seit 2021 mehr als €336 Mio. (~$389 Mio.) illegaler Gelder geschleust wurden. Der Service wurde von Ransomware-Gruppen und anderen Cybercrime-Netzwerken genutzt, um gestohlene digitale Vermögenswerte in „saubere“ Mittel zu konvertieren. In Georgien wurden zwei mutmaßliche Administratoren festgenommen, Server, Domains und Vermögenswerte sichergestellt. Das US-Justizministerium hat gegen beide Festgenommenen Anklage erhoben – ihnen drohen bis zu 20 Jahre Freiheitsstrafe.
Chronologie und Umfang der Operation
Wie Europol mitteilte, war die Zerschlagung von AudiA6 das Ergebnis einer früheren Operation der polnischen Polizei: Im September 2025 wurde in Polen ein ukrainischer Staatsbürger festgenommen, der im Verdacht steht, an der Geldwäsche über AudiA6 beteiligt gewesen zu sein. Die forensische Auswertung der bei ihm sichergestellten elektronischen Geräte ermöglichte es, weitere Mitglieder des Netzwerks zu identifizieren und eine koordinierte Operation vorzubereiten.
Im Rahmen der Maßnahmen am 10. Juni 2026 wurden folgende Schritte durchgeführt:
- Festnahme von zwei mutmaßlichen Administratoren – Staatsbürgern der Ukraine und Russlands – auf dem Gebiet Georgiens
- Drei Durchsuchungen in Objekten mit Bezug zur Operation
- Abschaltung von 25 Domains und Sicherstellung von mehr als 30 Servern
- Beschlagnahme von mehr als 80 Fahrzeugen und mehreren Immobilien in Georgien
- Einfrieren von Krypto-Assets im Wert von €692 000 ($798 000) und Sicherstellung von €86 000 ($99 400) in Kryptowährung
- Sperrung der von dem Netzwerk genutzten Telegram-Accounts
- Ersetzung der Websites von AudiA6 und Dark2Web (sowohl im offenen Internet als auch im Darknet) durch ein Beschlagnahme-Banner
Anklagen und strafrechtliche Verfolgung
Das US-Justizministerium hat gegen die beiden Festgenommenen Anklage erhoben: Ruslan Igorevich Tkachuk (37 Jahre) und Alexander Vladimirovich Ledenev (25 Jahre). Jedem von ihnen wird ein Fall der Verschwörung zur Geldwäsche und ein Fall von provozierter Geldwäsche (sting money laundering) zur Last gelegt. Das maximale Strafmaß beträgt 20 Jahre Freiheitsstrafe.
Nach Angaben des US-Justizministeriums stammen von den rund 10 333 Bitcoins, die über AudiA6 eingezahlt wurden, etwa 393,39 BTC (zum Zeitpunkt der Transaktionen mit rund $19,2 Mio. bewertet) direkt von bekannten Darknet-Marktplätzen, Ransomware-Gruppen, Cybercrime-Diensten und anderen illegalen Quellen. Weitere Mittel flossen indirekt – über Zwischenstationen – in die AudiA6-Wallets.
Funktionsweise von AudiA6
AudiA6 positionierte sich als Krypto-Mixing-Service, der Anonymität und Geschwindigkeit garantieren sollte. Kunden überwiesen unrechtmäßig erlangte Gelder an Wallets, die von der Gruppe kontrolliert wurden, und erhielten innerhalb einer Stunde „gereinigte“ Mittel über eine komplexe Transaktionskette zurück, die darauf ausgelegt war, die Herkunft des Geldes zu verschleiern. Die Kommunikation erfolgte über private Messenger, die Gebühr lag zwischen 3 % und 10 %.
Ein Schlüsselelement der Infrastruktur bestand aus Tausenden betrügerischen Accounts auf Kryptobörsen, die unter Verwendung gestohlener oder gekaufter personenbezogener Daten eröffnet wurden. Im Zuge der Ermittlungen wurden mehr als 6 000 KYC-Einträge (Know Your Customer) identifiziert, die mit Accounts von Strohleuten in Verbindung standen. Nach Angaben von Europol waren viele dieser Accounts mit russischsprachigen Mittelsmännern verknüpft, die gezielt angeworben wurden, um deliktische Gelder über Kryptobörsen zu verschieben.
Für die Registrierung der Strohkonten nutzten die Betreiber sowohl kommerzielle E-Mail-Provider als auch E-Mail-Adressen auf Domains, die ihrer Kontrolle unterlagen.
Domains der Mail-Infrastruktur von AudiA6
- designli.pictures, pheontx.eu, smplfy.in, sumato-soft.org, technobrains.dev
- lett.email, trayo.app, deliverly.top, inboxly.top, postfast.eu
- postino.click, inboxally.agency, mailora.eu, postify.email, quix.express
- flowcomm.click, qube.black, deliverlett.com, lettermail.eu
Verbindung zu Dark2Web und Umfang der Ermittlungen
Nach Angaben von Europol sollen die Betreiber von AudiA6 mutmaßlich auch das Darknet-Forum Dark2Web administriert haben, auf dem Cyberkriminelle illegale Dienste bewarben und Kontakte zu anderen Akteuren der Bedrohungslandschaft weltweit knüpften. Diese Verbindung ist bislang von unabhängigen Quellen nicht bestätigt und wird von den Strafverfolgern als Verdacht dargestellt.
Der Service taucht in mehr als 15 Ermittlungen weltweit auf, die mit Ransomware-Angriffen und großangelegten Kryptowährungsdiebstählen in Zusammenhang stehen. An den Ermittlungen waren der United States Secret Service, die US-Steuerbehörde (IRS Criminal Investigation), die polnische Polizei sowie Strafverfolgungsbehörden aus Australien, Kanada, Frankreich, Georgien, Deutschland, Island, Japan, der Schweiz und dem Vereinigten Königreich beteiligt.
Einschätzung der Auswirkungen und Trends
Die Zerschlagung von AudiA6 ist eine der größten Operationen der vergangenen Jahre gegen Infrastrukturen zur Geldwäsche mit Kryptowährungen. Der Service bediente nicht nur eine einzelne Gruppierung, sondern ein ganzes Ökosystem: Ransomware-Akteure, Betreiber von Darknet-Marktplätzen und Organisatoren von Kryptowährungsdiebstählen – sie alle nutzten ein- und dieselbe Pipeline, um gestohlene Mittel zu konvertieren.
Europol weist auf einen wachsenden Trend hin: Ransomware-Gruppen und Cybercrime-Netzwerke setzen zunehmend auf Cross-Chain-Transfers (chain-hopping), dezentrale Börsen und „mixing as a service“-Plattformen, um illegale Kryptowährungen innerhalb von Minuten über mehrere Blockchains zu verschieben.
Praktische Empfehlungen
- Kryptobörsen und Finanzplattformen: ihre Account-Datenbanken auf Registrierungen mit den oben genannten 19 Domains überprüfen. Accounts, die über diese Domains registriert wurden, sind mit hoher Wahrscheinlichkeit Strohkonten
- Compliance-Teams: die Prüfung von KYC-Dokumenten verschärfen und auf Anzeichen von Massenregistrierungen achten – einheitliche Dokumentenvorlagen, Registrierung über Domains, die nicht zu großen E-Mail-Providern gehören
- Blockchain-Analysten: die Wallet-Adressen von AudiA6 (sobald sie von Strafverfolgungsbehörden veröffentlicht werden) in Monitoring-Listen aufnehmen, um verbleibende Transaktionen nachzuverfolgen
- Incident-Response-Spezialisten: bei der Untersuchung von Ransomware-Angriffen AudiA6 als einen der Kanäle zur Abführung der Mittel berücksichtigen und Überschneidungen mit bekannten Adressen des Services prüfen
Die Zerschlagung von AudiA6 zeigt, dass Strafverfolgungsbehörden in der Lage sind, selbst komplexe, mehrstufige Krypto-Geldwäscheschemata nachzuvollziehen und zu zerschlagen. Zugleich weist die Tatsache, dass der Service fünf Jahre lang mit einem Volumen von Hunderten Millionen Euro operieren konnte, auf eine systemische Lücke zwischen der Geschwindigkeit beim Aufbau krimineller Infrastrukturen und dem Tempo ihrer Aufdeckung hin. Kryptobörsen sollten ihre Datenbestände umgehend auf Accounts prüfen, die mit den genannten Domains verknüpft sind, und ihre Verifizierungsprozesse verschärfen, um eine erneute Nutzung ähnlicher Modelle zu verhindern.
