Internationale Offensive gegen Pig-Butchering-Scams und Android-Trojaner

Eine internationale Operation unter Beteiligung der USA, Chinas und der VAE führte zur Festnahme von mindestens 276 Personen, zur Schließung von neun Krypto-Betrugszentren und zur Einfrierung von mehr als 700 Mio. US‑Dollar in Krypto-Assets; gleichzeitig wurde die enge Verbindung von Pig-Butchering-Schemata mit Menschenhandel, politisch geschützten „Scam-Compounds“ in Südostasien und der Verbreitung eines neuen Banking-Trojaners für Android offengelegt. Für Unternehmen und private Investoren ist dies ein Signal, dringend den Schutz von Krypto-Transaktionen, mobilen Endgeräten und Prozessen zur Überprüfung von Geschäftspartnern zu überarbeiten.

Technische Details und Umfang der Operationen

Zerschlagung der Offline-Infrastruktur der Scam-Zentren

Die Koordination der Maßnahmen der Strafverfolgungsbehörden lag bei der Polizei von Dubai unter Beteiligung des Innenministeriums der VAE, des FBI und des chinesischen Ministeriums für öffentliche Sicherheit. Nach Angaben der Anklage in den USA betrieben und arbeiteten die Beschuldigten in Strukturen der Ko Thet Company, der Sanduo Group und der Giant Company, die mehrere Scam-Zentren für betrügerische Krypto-Investitionen nutzten.

• Mindestens 276 Verdächtige wurden festgenommen, darunter Staatsangehörige von Myanmar und Indonesien.
• Neun Zentren, die auf ausländische Opfer – in erster Linie aus den USA – ausgerichtet waren, wurden geschlossen.
• Gegen die Beschuldigten in den USA wurden Anklagen wegen Betrugs und Geldwäsche erhoben.

Der Kern der Maschen basiert auf dem Format pig butchering (auch romance baiting genannt): Über einen längeren Zeitraum wird ein Vertrauensverhältnis – häufig romantischer Art – aufgebaut, danach wird das Opfer behutsam zu „lukrativen“ Investitionen in Kryptowährungen geführt. Die Angreifer helfen beim Einrichten von Krypto-Wallets und beim Überweisen von Geldern auf gefälschte Investmentplattformen; sobald die Gelder die Plattformen erreichen, werden sie umgehend über andere Krypto-Wallets gewaschen, einschließlich solcher, die den Betrügern selbst gehören.

Ein kritisches Element ist Zwangsarbeit. Menschen aus anderen Ländern werden mit Versprechen hoher Löhne angeworben und anschließend in „Compounds“ unter Bedingungen festgehalten, die moderner Sklaverei nahekommen, wobei ihnen bei Weigerung, an den Maschen teilzunehmen, Gewalt und Folter angedroht werden. Ähnliche Fälle wurden zuvor in Stellungnahmen des US-Justizministeriums zu internationalen Online-Betrugssachen ausführlich beschrieben (offizielle Website des US-Justizministeriums).

Operation Level Up: proaktive Arbeit mit Opfern

Seit Januar 2024 setzt das FBI die Initiative Operation Level Up um, die auf das proaktive Auffinden von Opfern von Krypto-Investitionsbetrug und deren Benachrichtigung abzielt. Stand April 2026:

• wurden etwa 9.000 Opfer identifiziert und benachrichtigt;
• wird der verhinderte Schaden auf rund 562 Mio. US‑Dollar geschätzt.

Aus Verteidigungssicht ist dies ein wichtiger Paradigmenwechsel: Strafverfolger warten nicht auf Anzeigen der Geschädigten, sondern nutzen ihre analytischen Möglichkeiten zu Blockchain und Transaktionen, um Opfer eigenständig zu identifizieren und zu schützen.

Shunda, Tai Chang und Telegram-Rekrutierung

Eine gesonderte Anklage wurde gegen zwei chinesische Staatsbürger erhoben, die mit einem großen Scam-Compound Shunda in Myanmar und mit Plänen zur Eröffnung eines zweiten Zentrums in Kambodscha in Verbindung stehen. Einer von ihnen fungierte als hochrangiger Manager, der persönlich an der körperlichen Bestrafung eingeschleuster Arbeitskräfte beteiligt war, der andere als Teamleiter einer Gruppe, die gezielt US‑Bürger attackierte.

Im Rahmen derselben Maßnahmenwelle wurden:

• der Telegram-Kanal @pogojobhiring2023 (mehr als 6.500 Abonnenten), der zur Anwerbung von Opfern für Menschenhandel in einen kambodschanischen Scam-Compound unter dem Deckmantel legaler Beschäftigung genutzt wurde, beschlagnahmt;
• ein Cluster aus 503 gefälschten Investment-Websites, die auf US‑Bürger zielten, entdeckt und blockiert;
• mehr als 701 Mio. US‑Dollar in Kryptowährungen, die mit der Geldwäsche aus Krypto-Betrug im Zusammenhang stehen, eingeschränkt.

Skalierung von Approval Phishing: Operation Atlantic

Parallel dazu läuft die Operation Atlantic, die auf approval phishing-Schemata abzielt – also auf die betrügerische Verleitung des Opfers, eine Blockchain-Transaktion zu signieren, die dem Angreifer die vollständige Kontrolle über ein Web3-Wallet einräumt. Nach einer solchen Signatur kann der Angreifer sämtliche Assets leerräumen, ohne das Wallet selbst kompromittieren zu müssen.

• etwa 12 Mio. US‑Dollar, die mit diesem Schema in Verbindung stehen, wurden eingefroren;
• mehr als 20.000 Opfer in 30 Ländern (darunter den USA, Kanada, Großbritannien) wurden identifiziert;
• mehr als 120 Domains, die für Phishing genutzt wurden, wurden beschlagnahmt;
• zusätzlich wurden etwa 33 Mio. US‑Dollar identifiziert, die mutmaßlich mit globalen Investment-Betrugsmaschen in Verbindung stehen.

Laut Analysten von TRM Labs und Aussagen des US-Secret Service (U.S. Secret Service) wird approval phishing häufig als letzter Schritt in Investment- und romantischen Pig-Butchering-Schemata „verpackt“, um maximale Geldbeträge abzuschöpfen.

Neuer Android-Banking-Trojaner als Service

Vor dem Hintergrund der Zerschlagung physischer Scam-Zentren entdeckten Forscher von Infoblox und der vietnamesischen Nichtregierungsorganisation Chong Lua Dao einen neuen Trojaner für Android, der nach dem Modell „Software as a Service“ (MaaS) funktioniert und wahrscheinlich mit dem Compound K99 Triumph City der kambodschanischen Gruppe K99 Group in Verbindung steht.

Zentrale Eigenschaften des Trojaners:

• Echtzeitüberwachung der Aktivitäten des Nutzers auf dem Gerät;
• Diebstahl von Zugangsdaten und Daten aus Anwendungen;
• Abfluss finanzieller Mittel auf Basis der gestohlenen Daten;
• Einsatz mindestens seit 2023.

Infrastruktur der Kampagne:

• Registrierung von rund 35 neuen Domains pro Monat (sowohl nach einem Domain-Generierungs-Algorithmus als auch als Imitation legitimer Domains);
• etwa 400 zielgerichtete Köder-Domains, die allein im Jahr 2025 registriert wurden;
• Tarnung als Banken, Renten- und Sozialkassen, Versorgungsunternehmen, Steuer-, Migrations- und Telekommunikationsbehörden sowie Strafverfolgungsstellen;
• Ausweitung der Köder auf Fluggesellschaften und Handelsplattformen sowie eine Ausdehnung über Südostasien hinaus nach Afrika und Lateinamerika.

Die Forscher verweisen auf Übereinstimmungen bei Infrastruktur und Verhalten mit Aktivitäten von Gruppen, die unter den Bezeichnungen Vigorish Viper und Vault Viper verfolgt werden, was auf die Herausbildung eines vollwertigen kommerziellen Ökosystems betrügerischer Werkzeuge hinweist. Zusätzlicher methodischer Kontext zu Techniken sozialer Ingenieurskunst und Malware lässt sich mit der Taxonomie von MITRE ATT&CK abgleichen.

Bedrohungskontext: Cyberbetrug, Menschenhandel und politischer Schutz

Das Besondere an der aktuellen Kampagne der Strafverfolgungsbehörden ist, dass sie gezielt die Verbindung „Cyberkriminalität + Menschenhandel + korrupte Eliten“ ins Visier nimmt.

• Das US-Finanzministerium hat über das OFAC Sanktionen gegen den kambodschanischen Senator Kok An, den Unternehmer Rithy Raksmei und deren Unternehmen (einschließlich der K99 Group) verhängt und verweist auf ein Netzwerk von Scam-Zentren, die aus Casinos und Bürokomplexen heraus agieren und Menschenrechte verletzen. Siehe allgemeine Informationen zu Sanktionen und Finanzmaßnahmen auf der Website des US-Finanzministeriums (U.S. Department of the Treasury).
• Es ist der zweite kambodschanische Senator, der von den USA wegen Beteiligung an Zwangsarbeit in Online-Scam-Zentren sanktioniert wurde – zuvor war Ly Yong Phat genannt worden.
• Als Reaktion auf den „industriellen“ Umfang des Betrugs verabschiedete das Parlament Kambodschas das erste spezielle Gesetz gegen Scam-Zentren: 5–10 Jahre Freiheitsstrafe und Geldstrafen von bis zu 250.000 US‑Dollar.

Damit hört die Bekämpfung von Pig Butchering auf, eine reine Cyberoperation zu sein, und verlagert sich in die Bereiche Finanzsanktionen, Strafrecht und Kampf gegen Menschenhandel. Für Unternehmen bedeutet dies, dass selbst eine indirekte Zusammenarbeit mit solchen Geschäftsstrukturen Sanktions- und Rechtsfolgen haben kann und nicht nur Reputationsrisiken.

Auswirkungsbewertung für verschiedene Kategorien

Am stärksten gefährdet sind:

• Kryptowährungsplattformen und Broker – sie werden zum zentralen „Flaschenhals“ für Ein- und Auszahlungen von Geldern aus Pig-Butchering- und Approval-Phishing-Schemata.
• Banken und Fintech-Unternehmen – der Android-Trojaner zielt auf den Diebstahl von Bank- und Finanzdaten von Kunden ab, einschließlich Mobile Banking.
• Telekommunikationsanbieter, Versorger, Behörden – ihre Marke wird in Köder-Domains massenhaft gefälscht, was das Vertrauen in Kommunikationskanäle mit Kunden untergräbt.
• Organisationen mit Personal in Südostasien (insbesondere Kambodscha, Myanmar, Thailand) – das Risiko ungewollter Beziehungen zu sanktionierten Objekten und der Einbindung von Mitarbeitern in Zwangsarbeitsschemata steigt.
• Privatanleger und Nutzer von Dating-Services – aufgrund der Kombination aus romantischem Betrug, Investment-Schemata und der Ausnutzung von Web3-Funktionalitäten.

Bei Untätigkeit umfassen die Folgen:

• direkte finanzielle Verluste für Kunden und Unternehmen (Kontosperrungen, Diebstahl von Assets aus Web3-Wallets und Mobile Banking);
• rechtliche Konsequenzen aufgrund möglicher Verstöße gegen OFAC-Sanktionsregime und Anforderungen zur Bekämpfung von Geldwäsche;
• Vertrauensverlust in digitale Kanäle (insbesondere wenn die Marke der Organisation in Domains oder Trojaner-Apps gefälscht wurde);
• verstärkten regulatorischen Druck in Bezug auf Due Diligence bei Partnern und Lieferketten.

Praktische Empfehlungen

Für Krypto-Plattformen, Broker und Fintech-Unternehmen

• Transaktionsanalysen im Blockchain-Bereich verstärken unter Berücksichtigung von Mustern von Pig Butchering und Approval Phishing: Transferketten auf frisch erstellte Wallets, Massentransfers an Adressen, die in Ermittlungen auftauchen, ungewöhnlich hohe Summen nach längerer „passiver“ Kundenaktivität.
• Daten der Strafverfolgungsbehörden integrieren (Operationen Level Up und Atlantic) sowie von Analysten wie TRM Labs in Transaktionsmonitoring und Sanktions-Screenings.
• Strenge Kontrolle über Smart-Contract-Approvals umsetzen: Nutzer warnen, wenn sie einem unbekannten Contract eine „unbegrenzte Abbuchungserlaubnis“ erteilen, und solche Vorgänge nach Möglichkeit mit zusätzlicher Verifizierung absichern.
• Kunden aus Risikogruppen gesondert beobachten (Aktivität in Dating-Services, abrupte Änderungen im Investitionsprofil, massenhafte Kreditaufnahme für Krypto-Investitionen) und Soft-Interventions einführen: Benachrichtigungen, Anrufe durch die Sicherheitsabteilung.

Für Unternehmens-IT-Sicherheitsteams und SOC

• Filterung von Köder-Domains: neue und wenig bekannte Domains blockieren, die Banken, Behörden, Sozialkassen, Fluggesellschaften und große Marktplätze imitieren, insbesondere für Mitarbeitende mit Zugriff auf Finanzsysteme.
• Mobile Sicherheit: Installation von Apps außerhalb offizieller Stores verbieten, Integritätskontrollen für Geräte einführen und verdächtige App-Berechtigungen (Zugriff auf SMS, Benachrichtigungen, Accessibility-Services) überwachen.
• Schulungsszenarien für Mitarbeitende aktualisieren, einschließlich:
  • Erkennungsmerkmalen von Pig Butchering (lange Kontaktanbahnung, Wechsel in Messenger, „exklusive“ Investmentangebote);
  • Risiken jeder Transaktionssignatur in Web3 und Funktionsweise von Approval Phishing;
  • Gefahren bei der Installation von „Apps der Bank/Behörden“ über Links aus Nachrichten.
• Externe Empfehlungen nutzen von Regulierern (z. B. Empfehlungen der CISA und Beschreibungen von Taktiken auf MITRE ATT&CK) bei der Einrichtung von Korrelationsregeln und Detektionen.

Für Privatanleger und Nutzer

• Niemals große Summen in Kryptowährung überweisen auf Rat von Online-Bekanntschaften oder „Beratern“, die Sie nicht persönlich getroffen und nicht auf unabhängigem Wege überprüft haben.
• Jede Transaktionssignatur in Web3 wie eine unwiderrufliche Vollmacht behandeln: den Inhalt der Berechtigung lesen, Hardware-Wallets nutzen und Wallets für Investments und Alltagsgeschäfte trennen.
• Keine Apps für Finanzgeschäfte installieren über Links aus Messengern oder SMS, selbst wenn diese wie Nachrichten der Bank oder von Behörden aussehen; die App immer selbstständig im offiziellen Store suchen.
• Bei jedem Verdacht auf Betrug so schnell wie möglich Bank/Börse und Strafverfolgungsbehörden kontaktieren: Je früher die Ermittlungen beginnen, desto höher die Chance, Assets vor ihrer Geldwäsche einfrieren zu lassen (siehe allgemeine Kontaktangaben und Erläuterungen auf der Website des US-Justizministeriums und den nationalen Portalen der Strafverfolgungsbehörden).

Die aktuelle Welle von Operationen – von Level Up und Atlantic über OFAC-Sanktionen bis hin zu neuen Gesetzen in Kambodscha – zeigt, dass Staaten nicht mehr gegen einzelne „romantische Betrüger“ vorgehen, sondern gegen die gesamte Infrastruktur von Pig Butchering: Compounds, Cashout-Netzwerke, politische Schutzpatrone und Entwickler bösartiger Services. Damit Organisationen nicht zum nächsten Glied in dieser Kette werden, müssen sie jetzt Signale der Strafverfolgungsbehörden integrieren, die Kontrolle über Web3-Transaktionen und mobile Endgeräte verschärfen und die Mitarbeiterschulungen an neue Techniken sozialen Drucks und von Approval Phishing anpassen.