Як США, Китай і ОАЕ б’ють по скем‑центрах pig butchering

Міжнародна операція за участю США, Китаю та ОАЕ призвела до арешту щонайменше 276 людей, закриття дев’яти центрів криптовалютного шахрайства та замороження понад 700 млн доларів у криптоактивах, одночасно виявивши тісний зв’язок схем pig butchering з торгівлею людьми, політично захищеними «скем‑компаундами» у Південно‑Східній Азії та поширенням нового банківського трояна для Android; для бізнесу та приватних інвесторів це сигнал терміново переглянути захист крипто‑транзакцій, мобільних пристроїв і процесів перевірки контрагентів.

Технічні деталі та масштаби операцій

Розгром офлайн‑інфраструктури скем‑центрів

Координацію дій правоохоронців очолила поліція Дубая за участю Міністерства внутрішніх справ ОАЕ, ФБР і Міністерства громадської безпеки Китаю. За даними обвинувачення у США, фігуранти керували та працювали у структурах Ko Thet Company, Sanduo Group і Giant Company, які використовували кілька скем‑центрів для шахрайських криптоінвестицій.

• Затримано щонайменше 276 підозрюваних, серед них громадяни М’янми та Індонезії.
• Закрито дев’ять центрів, що працювали на закордонних жертв, насамперед із США.
• Фігурантам у США висунуто обвинувачення у шахрайстві та відмиванні грошей.

В основу схем покладено формат pig butchering (також romance baiting): тривале вибудовування довірливих — нерідко романтичних — стосунків, після чого жертву плавно підводять до «вигідних» інвестицій у криптовалюту. Зловмисники допомагають відкрити криптогаманці та переказати кошти на підроблені інвестиційні майданчики; щойно кошти потрапляють на платформи, їх негайно відмивають через інші криптогаманці, зокрема ті, що належать самим шахраям.

Критичний елемент — примусова праця. Людей з інших країн вербують обіцянками високих зарплат, а потім утримують у «компаундах» в умовах, близьких до рабства, з погрозами насильства та катувань у разі відмови брати участь у схемах. Подібні випадки раніше детально описувалися в заявах Мін’юсту США у справах про міжнародне онлайн‑шахрайство (офіційний сайт Міністерства юстиції США).

Operation Level Up: проактивна робота з жертвами

Із січня 2024 року ФБР реалізує ініціативу Operation Level Up, спрямовану на проактивний пошук жертв криптоінвестиційних шахрайств і їх сповіщення. Станом на квітень 2026 року:

• ідентифіковано та повідомлено близько 9 000 жертв;
• запобігли збиткам, які оцінюються приблизно в 562 млн доларів.

З погляду оборони це важливий зсув: правоохоронці не чекають заяв від потерпілих, а використовують аналітичні можливості щодо блокчейна та транзакцій, щоб самостійно виявляти жертв і захищати їх.

Shunda, Tai Chang і вербування через Telegram

Окреме обвинувачення висунуто проти двох громадян Китаю, пов’язаних із великим скем‑компаундом Shunda у М’янмі та планами відкриття другого центру в Камбоджі. Один із них був менеджером високого рівня, який особисто брав участь у фізичному покаранні працівників, що стали жертвами торгівлі людьми, інший — тімлідом команди, яка цілеспрямовано атакувала громадян США.

У рамках тієї ж хвилі дій:

• конфісковано Telegram‑канал @pogojobhiring2023 (понад 6 500 підписників), який використовувався для вербування жертв торгівлі людьми до камбоджійського скем‑компаунда під виглядом легального працевлаштування;
• виявлено та заблоковано кластер із 503 підроблених інвестиційних сайтів, орієнтованих на громадян США;
• обмежено понад 701 млн доларів у криптовалютах, пов’язаних із відмиванням коштів від крипто‑шахрайств.

Масштабування approval phishing: Operation Atlantic

Паралельно проводиться Operation Atlantic, спрямована на схеми approval phishing — обманне схиляння жертви підписати блокчейн‑транзакцію, яка дає зловмиснику повний контроль над гаманцем Web3. Після такої підпису атакувальник може спорожнити всі активи, не зламувавши сам гаманець.

• заморожено близько 12 млн доларів, пов’язаних із цією схемою;
• виявлено понад 20 000 жертв у 30 країнах (включно зі США, Канадою, Великою Британією);
• конфісковано понад 120 доменів, які використовувалися для фішингу;
• додатково ідентифіковано близько 33 млн доларів, імовірно пов’язаних із глобальними інвестиційними шахрайствами.

За даними аналітиків TRM Labs і заявами Секретної служби США (U.S. Secret Service), approval phishing часто «упаковують» усередині інвестиційних і романтичних схем pig butchering як фінальний крок для викачування максимальних сум.

Новий Android‑банківський троян як сервіс

На тлі розгрому фізичних скем‑центрів дослідники Infoblox і в’єтнамської некомерційної організації Chong Lua Dao виявили новий троян для Android, що функціонує за моделлю «програмне забезпечення як послуга» (MaaS) і, ймовірно, пов’язаний із компаундом K99 Triumph City, який належить камбоджійській групі K99 Group.

Ключові характеристики трояна:

• спостереження за діями користувача на пристрої в режимі реального часу;
• викрадення облікових даних і даних із застосунків;
• виведення фінансових коштів за викраденими даними;
• використовується щонайменше з 2023 року.

Інфраструктура кампанії:

• реєстрація приблизно 35 нових доменів на місяць (як за алгоритмом генерації доменів, так і у вигляді імітацій легітимних);
• близько 400 цільових доменів‑приманок, зареєстрованих лише у 2025 році;
• маскування під банки, пенсійні та соціальні фонди, комунальні служби, органи з питань доходів, міграції, телеком‑операторів і правоохоронні структури;
• розширення приманок на авіакомпанії та торгові майданчики, а також вихід за межі Південно‑Східної Азії до Африки та Латинської Америки.

Дослідники відзначають збіги інфраструктури та поведінки з активністю угруповань, які відстежуються як Vigorish Viper і Vault Viper, що вказує на формування повноцінної комерційної екосистеми шахрайських інструментів. Додатковий методологічний контекст щодо технік соціальної інженерії та шкідливого програмного забезпечення можна зіставити з таксономією MITRE ATT&CK.

Контекст загроз: кібершахрайство, торгівля людьми та політичне прикриття

Особливість поточної кампанії правоохоронців у тому, що вони цілеспрямовано б’ють по зв’язці «кіберзлочин + торгівля людьми + корумповані еліти».

• Міністерство фінансів США через OFAC запровадило санкції проти камбоджійського сенатора Kok An, підприємця Rithy Raksmei та їхнього бізнесу (включно з K99 Group), вказуючи на мережу скем‑центрів, що діють із казино та офісних комплексів і порушують права людини. Див. загальну інформацію щодо санкцій і фінансових заходів на сайті казначейства США (U.S. Department of the Treasury).
• Це другий камбоджійський сенатор під санкціями США за причетність до примусової праці в онлайн‑скем‑центрах — раніше був зазначений Ly Yong Phat.
• У відповідь на «промислові» масштаби шахрайства парламент Камбоджі ухвалив перший спеціальний закон проти скем‑центрів: 5–10 років позбавлення волі та штрафи до 250 000 доларів.

Таким чином, протидія pig butchering перестає бути суто кібероперацією й зміщується в площину фінансових санкцій, кримінального права та боротьби з торгівлею людьми. Для компаній це означає, що взаємодія — навіть опосередкована — з такими бізнес‑структурами може мати санкційні та правові наслідки, а не лише репутаційні ризики.

Оцінка впливу для різних категорій

Найвищий ризик для:

• Криптовалютних платформ і брокерів — вони опиняються ключовим «вузьким місцем» для введення/виведення коштів із схем pig butchering і approval phishing.
• Банків і фінтех‑компаній — Android‑троян орієнтований на викрадення банківських і фінансових даних клієнтів, включно з мобільним банкінгом.
• Телеком‑операторів, комунальних служб, держорганів — їхній бренд масово підробляється в доменах‑приманках, що підриває довіру до каналів взаємодії з клієнтами.
• Організацій із персоналом у Південно‑Східній Азії (особливо Камбоджа, М’янма, Таїланд) — зростає ризик ненавмисних зв’язків з об’єктами санкцій і залучення співробітників до схем примусової праці.
• Приватних інвесторів і користувачів сервісів знайомств — через поєднання романтичного шахрайства, інвестиційних схем і експлуатації функціональності Web3.

У разі бездіяльності наслідки включають:

• прямі фінансові втрати клієнтів і компаній (заморожування рахунків, крадіжка активів із гаманців Web3 і мобільного банкінгу);
• правові наслідки через потенційні порушення санкційних режимів OFAC і вимог щодо протидії відмиванню грошей;
• падіння довіри до цифрових каналів (особливо якщо бренд організації був підроблений у доменах чи застосунках трояна);
• посилення регуляторного тиску щодо due diligence по партнерах і ланцюгах постачання.

Практичні рекомендації

Для криптоплатформ, брокерів і фінтех‑компаній

• Посилити аналітику транзакцій у блокчейні з урахуванням патернів pig butchering і approval phishing: ланцюжки переказів на щойно створені гаманці, масові перекази на адреси, що фігурують у розслідуваннях, аномальні суми після тривалого «пасивного» поведінки клієнтів.
• Інтегрувати дані правоохоронних органів (операції Level Up і Atlantic) та аналітиків, таких як TRM Labs, у системи моніторингу транзакцій і санкційні скринінги.
• Запровадити жорсткий контроль над smart contract approvals: попереджати користувача, якщо він надає «необмежений дозвіл на списання» невідомому контракту, і по можливості обмежувати такі операції додатковою верифікацією.
• Окремо відстежувати клієнтів із груп ризику (активність у dating‑сервісах, різкі зміни профілю інвестування, масове залучення кредитів під криптоінвестиції) та впроваджувати soft‑intervention: сповіщення, дзвінки служби безпеки.

Для корпоративних підрозділів з ІБ та SOC

• Фільтрація доменів‑приманок: блокувати нові та маловідомі домени, що імітують банки, держоргани, соцфонди, авіакомпанії та великі маркетплейси, особливо для співробітників із доступом до фінансових систем.
• Мобільна безпека: заборонити встановлення застосунків поза офіційними магазинами, впровадити контроль цілісності пристроїв і моніторинг підозрілих дозволів застосунків (доступ до SMS, сповіщень, сервісів доступності).
• Оновити сценарії навчання персоналу, включивши:
  • ознаки pig butchering (тривале спілкування, перехід у месенджери, «ексклюзивні» інвестиційні пропозиції);
  • ризики будь‑якого підпису транзакцій Web3 і механізм approval phishing;
  • небезпеку встановлення «застосунків від банку/держорганів» за посиланнями з повідомлень.
• Використовувати зовнішні рекомендації від регуляторів (наприклад, рекомендації CISA та описи тактик на MITRE ATT&CK) під час налаштування правил кореляції й детектування.

Для приватних інвесторів і користувачів

• Ніколи не переказувати великі суми в криптовалюті за порадою онлайн‑знайомих або «консультантів», з якими ви не зустрічалися особисто й не перевіряли їх незалежними способами.
• Сприймати кожен підпис транзакції в Web3 як безвідкличну довіреність: читати зміст дозволу, використовувати апаратні гаманці та розділяти гаманці для інвестицій і щоденних операцій.
• Не встановлювати застосунки для фінансових операцій за посиланнями з месенджерів або SMS, навіть якщо вони виглядають як повідомлення від банку чи держоргану; завжди шукати застосунок самостійно в офіційному магазині.
• За будь‑яких підозр на шахрайство якнайшвидше звертатися до банку/біржі та правоохоронних органів: що раніше розпочнеться розслідування, то вищий шанс заморозити активи до їх відмивання (див. загальні контакти й роз’яснення на сайті Мін’юсту США і національних правоохоронних порталах).

Поточна хвиля операцій — від Level Up і Atlantic до санкцій OFAC і нових законів Камбоджі — демонструє, що держави почали бити не по окремих «романтичних шахраях», а по всій інфраструктурі pig butchering: компаундах, мережах обналу, політиках‑покровителях і розробниках шкідливих сервісів; щоб не стати наступною ланкою в цьому ланцюгу, організаціям уже зараз потрібно інтегрувати сигнали правоохоронців, посилити контроль над Web3‑транзакціями та мобільними пристроями, а також оновити навчання співробітників з урахуванням нових технік соціального тиску та approval phishing.