Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / NAMESILO INVESTIGATION

Missbrauch von IANA #1479, [REDACTED] und Twitter-Sperrung

The Enablers Registry·Editorial mirror·/de/namesilo-investigation/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

● EILMELDUNGAktualisiert am 2. Juli 2026 – ICANN-Antrag Nr. 1479 eingereicht

IANA #1479 Verteidigung eines „Crypto Drainer“ im Wert von 100 Millionen Dollar
— Dann Wir haben unseren Twitter-Account deaktiviert

Ein von der ICANN akkreditierter Registrar veröffentlichte 4 nachgewiesene Lügen Um eine zehnjährige Monero-Diebstahlaktion zu decken, bot das Unternehmen an, seinen VirusTotal-Eintrag zu löschen, während der Drainer noch aktiv war, und nutzte anschließend ein kostenpflichtiges X-Gold-Häkchen, um die Forscher zum Schweigen zu bringen, die ihnen das Gegenteil bewiesen hatten. Ihr DevOps-Ingenieur: ehemaliger IT-Leiter bei einem russischen Finanzpyramidensystem seit einem Jahrzehnt.

1. April 2026 – Aktualisiert am 2. Juli 2026 THE ENABLERS REGISTRY-Forschung 10 Minuten Lesezeit 61 SHA-256-geprüfte Dateien
$0M+ Vermutlich gestohlen
0 Jahre Operation Lebensdauer
0 Dokumentierte Lügen
0k Von Bing aus dem Index entfernte Seiten
0+ Bewertungen gelöscht
0 SHA-256-Beweisdateien
Den vollständigen Untersuchungsbericht finden Sie unter THE ENABLERS REGISTRY.eth.limo

Dieser Artikel ist eine Vorschau. Die vollständigen Belege, IPFS-Archive und das gesamte Quellenmaterial finden Sie unter dem obigen Link.

Der Hintergrund: Was [REDACTED] eigentlich ist

[REDACTED] ist keine Possibly phishing-Seite. Es handelt sich um eine voll funktionsfähige Monero-Wallet mit einer serverseitigen Hintertür Errichtet im Jahr 2018 und in Betrieb bis Mai 2026 – fast ein Jahrzehnt. Das GitHub-Repository dient lediglich als öffentliche Fassade. Der gestohlene Code existiert ausschließlich auf dem Produktionsserver, wurde nie in den Code übernommen und nie geprüft.

Bei jeder Benutzerinteraktion wird der private View-Schlüssel per POST-Anfrage an die Server des Betreibers gesendet, und zwar Base64-kodiert in einer Variablen namens session_key — ungefähr 40 Übertragungen pro Sitzung. Die clientseitige Transaktion wird explizit verworfen (raw_tx_and_hash.raw = 0); der Server erstellt seine eigenen Schlüssel mithilfe der gestohlenen Schlüssel.

Das „Sicherheitsaudit“ von 2018, das nichts abdeckte

Das NewAlchemy-Audit erhielt 67 „Upvotes“ auf Reddit und diente jahrelang als Vertrauenssignal. Sein ausdrücklicher Umfang: „Ausschließlich clientseitiges JavaScript.“ Ausdrücklich ausgenommen sind: „zahlreiche PHP-API-Endpunkte.“ Diese Endpunkte stellen den eigentlichen Mechanismus des Diebstahls dar. Die Prüfung war strukturell nicht in der Lage, die Hintertür aufzudecken.

Der Diebstahl erfolgt gezielt. Kleine Einzahlungen bleiben jahrelang unberührt, um Vertrauen aufzubauen und legitime Bewertungen zu generieren. Große Beträge werden innerhalb weniger Minuten gestohlen. Ein dokumentiertes Opfer zahlte 590 XMR ein – die innerhalb von zwei Tagen verschwunden waren. Konservative Gesamtsumme bei mehr als 15 dokumentierten Opfern: 5.000–50.000+ XMR gestohlen (1,5 Mio. $ – 15 Mio. $+ zu historischen Preisen). 60 % der Beiträge der Opfer wurden massenhaft gemeldet und gelöscht, bevor Beweise gesichert werden konnten.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: session_key = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
[REDACTED]-Backdoor – Die öffentliche GitHub-Fassade leitet den Datenverkehr einwandfrei weiter, während der versteckte Produktionsserver den session_key abgreift
Der Diebstahl in einer Grafik: Grün = öffentliches GitHub-Repo (sauber, geprüft, vertrauenswürdig). Rot = Produktionsserver – nie in einem Commit enthalten, nie geprüft, Daten werden abgezogen session_key dem Betreiber bei jeder Sitzung.
 Live-Demo – Wir haben den Exploit neu entwickelt
Beobachten Sie, wie der session_key in Ihrem Browser abgezogen wird

Wir haben die gtag-basierte Schlüsselexfiltration in einer Sandbox-Demo nachgestellt. Öffnen Sie DevTools → Registerkarte „Netzwerk“ → interagieren Sie mit der Wallet. Beobachten Sie session_key POST-Anfragen werden in Echtzeit ausgelöst. Genau das lief 10 Jahre lang. Genau das wurde bei der „Sicherheitsprüfung“ nie untersucht. Genau das hat IANA #1479 öffentlich verteidigt.

Interaktive Demo öffnen

Der Satz, der IANA #1479 erklärte

Eindeutiger Beweis – zerbrochener Hammer und leuchtende Anführungszeichen
17. Februar 2026. Ein Satz. Ein Jahrzehnt des Vertrauens in seinen Registrator.

Am 16. Februar 2026 schickte der Betreiber von [REDACTED] eine E-Mail an THE ENABLERS REGISTRY, in der er die Löschung des Eintrags forderte. Er unterschrieb mit „Nathalie Roy“ – GitHub-Konto nathroy, ID 39167759. Wir haben mit einer ausführlichen technischen Aufschlüsselung und einer schriftlichen Verwarnung geantwortet: „Was als Nächstes passiert, hängt ganz davon ab, wie du dich entscheidest, weiter vorzugehen.“

Am nächsten Tag schickte er einen einzigen Satz, der uns alles über seine Beziehung zu IANA #1479 verriet:

„Sie können den Domain-Registrar gerne vorladen, um meine Daten einzuholen.“
— Betreiber von [REDACTED], 17. Februar 2026
Drei Wochen, bevor IANA #1479 ihn als Opfer bezeichnete

Niemand, der einen zehn Jahre alten Abflussreiniger auf $550/mo bulletproof Belize hosting, der hinter „Russian DDoS-Guard“ steht, fordert Sie ganz gelassen auf, eine Vorladung an seinen Registrar zu richten – es sei denn, er kennt die Antwort bereits. Drei weitere Registrare (PDR, IANA #460, IANA #3765) haben seine Domains innerhalb weniger Tage nach Vorlage derselben Beweise gesperrt. IANA #1479 verfasste eine Pressemitteilung für ihn und bot ihm an, seine Daten zu bereinigen.

Während die Hintertür aktiv war: [REDACTED] bezahlte PR Newswire dafür, das Gegenteil zu behaupten

21. Januar 2026 – [REDACTED] beauftragte PR Newswire gegen Bezahlung mit der Verbreitung einer Pressemitteilung, in der es hieß: „Private Schlüssel gelangen niemals auf zentrale Server.“ Die session_key Während dieses Zeitraums wurden bei jeder Benutzersitzung POST-Anfragen an den Produktionsserver gesendet. PR Newswire ist ein kostenpflichtiger Verbreitungsdienst – Unternehmen verfassen und finanzieren ihre Texte selbst, ohne redaktionelle Überprüfung. Quelle: PR Newswire, 21. Januar 2026


[REDACTED] vier Lügen – für das Protokoll

Am 13. März 2026 veröffentlichte der offizielle Account von IANA #1479 einen Beitrag in unserem Untersuchungs-Thread. 11.300 Aufrufe vor der Speicherung. Dauerhaft archiviert unter [REDACTED]/archive/CXXZ0. Jeder Satz wird durch Primärquellen widerlegt:

  • 1
    „Die Domain wurde vor einigen Monaten kompromittiert (wobei eine Kopie der Webseite durch einen Crypto-Drainer ersetzt wurde).“
    Die SHA-256-Hashwerte belegen, dass der Code unverändert geblieben ist. Der Betreiber hat uns bestätigt, dass dies der Fall war. sein eigenes PHP-Backend, das er 2018 geschrieben hat. Es wurde nichts injiziert. Die „Hack“-Geschichte wurde im Nachhinein erfunden.
    ✗ ERFUNDEN
  • 2
    „Zuvor hatten wir keine Meldungen über Missbrauch im Zusammenhang mit dieser Domain erhalten.“
    THE ENABLERS REGISTRY allein hat gesendet Über 20 Berichte über das Portal von IANA #1479 (2023–2026), mit Lieferbelegen. Seit 2018 gibt es über 100 öffentliche Beschwerden auf BitcoinTalk und Reddit. Seit dieser falschen Behauptung wird jeder von uns eingereichte Bericht vor der Übermittlung mit Zeitstempeln veröffentlicht.
    ✗ DURCH BELEGE WIDERLEGT
  • 3
    „Nach einer umfassenden Prüfung … an der der Registrant nicht beteiligt war.“
    Der Betreiber schrieb uns am 17. Februar und verteidigte seinen Code als sein eigenes Werk – noch bevor IANA #1479 seinen Tweet veröffentlichte. Er hat zu keinem Zeitpunkt behauptet, es habe sich um einen Hackerangriff gehandelt. Die Ergebnisse ihrer „umfassenden Überprüfung“ stehen im Widerspruch zu den schriftlichen Aussagen ihres eigenen Registranten.
    ✗ WIDERSPRÜCHLICH
  • 4
    „Zusammenarbeit mit dem Registranten, um die Website aus den VirusTotal-Berichten zu entfernen.“
    Keine Behandlung von Missbrauch — einem notorischen Betrüger dabei helfen, Sicherheitswarnungen zu löschen, während der Drainer noch aktiv war. PDR, IANA #460 und IANA #3765 haben die Domains alle innerhalb weniger Tage nach Vorliegen derselben Beweise gesperrt. IANA #1479 bot an, den Eintrag zu bereinigen.
    ✗ AKTIVE SCHÄDIGUNG DER OPFER

Wer ist IANA #1479: Ein CIS-Outsourcing-Unternehmen mit einer Postanschrift in den USA

[REDACTED] ist in Phoenix, Arizona, registriert. Das Unternehmen ist an der Canadian Securities Exchange unter dem Namen Brisio Innovations (CSE:BZI) notiert und wies im Jahr 2025 einen Umsatz von 65,5 Mio. C$ aus. Das eigentliche Entwicklerteam ist verteilt über Russland, Weißrussland, die Ukraine, Serbien, Argentinien und Lettland. Mindestens 13 russischsprachige Mitarbeiter wurden identifiziert. Die Person mit uneingeschränktem Zugriff auf die DevOps-Infrastruktur war ein Jahrzehnt lang für die IT eines russischen Finanzpyramidensystems verantwortlich, bevor sie zu IANA #1479 kam.

DevOps – Vollständiger Zugriff auf die Infrastruktur
Michail Tschudinow
Argentinien (umgesiedelt)
Zuvor IT-Leiter bei SuperKopilka — Russisches Pyramidensystem, 2007–2017. Zehn Jahre lang leitete er die IT für ein Geldumlaufsystem, bis es zusammenbrach. Bezeichnet sich selbst als „Krypto-Enthusiast“. Bei IANA #1479: vollständige DevOps-Zugriffsrechte auf die gesamte Infrastruktur.
Ehemaliger IT-Leiter bei Pyramid, 10 Jahre
PHP-Backend-Entwickler
Ivan Borzenkov
Brjansk, Russland (+7 920)
In Russland ansässiger Backend-Entwickler. GitHub: ivan1986. Direkter PHP-Zugriff auf das IANA #1479-Backend von Russland aus.
🇷🇺 Backend-Zugriff mit Standort in Russland
Projektleiter
Wladimir Voskov
Moskau, Russland
Zuvor [REDACTED] — Russische staatliche Aufträge im Bereich der industriellen Automatisierung. Verwaltung eines in den USA registrierten Domain-Registrars von Moskau aus.
🇷🇺 Moskau – ehemaliger staatlicher Auftragnehmer
Leitender Projektmanager
Tatiana Labutina
Belgrad, Serbien
Zuvor ForexClub Libertex — Russischer Devisenbroker, gegen den mehrere Sanktionen von EU-Aufsichtsbehörden verhängt wurden. Belgrad: wichtigster Umsiedlungsstandort für russische Fachkräfte nach 2022.
Ehemals ForexClub, jetzt Libertex
Ebenfalls identifiziert

Aleksey Podashevskiy (Frontend) — Weißrussland, sanktioniertes Land, tätig für einen in den USA registrierten, von der ICANN akkreditierten Registrar. Insgesamt wurden mehr als 13 russischsprachige Mitarbeiter in Russland, Weißrussland, Serbien, Argentinien und Lettland identifiziert. In der Infrastrukturkette von [REDACTED] gibt es keinerlei [REDACTED] Hosting-Anbieter.

Umfang der Untersuchung

Über 5,18 Millionen Domains im gesamten Portfolio von IANA #1479 analysiert – jede einzelne wurde mit VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish und SURBL abgeglichen.

[REDACTED] PHP-Backend vollständig anhand von clientseitigen Verhaltensdaten rekonstruiert – ohne Serverzugriff, ohne Quellcode, ohne Mitwirkung. Der Diebstahlmechanismus wurde allein anhand beobachtbarer Netzwerkmuster nachgestellt.

13 Teammitglieder die Daten wurden über LinkedIn, GitHub, HeadHunter, [REDACTED], Unternehmensregister und Gerichtsakten in sechs Ländern miteinander abgeglichen. Löschmuster bei Trustpilot über mehrere Monate hinweg verfolgt, um einen systematischen Rhythmus der Entfernung zu ermitteln. CSE:BZI – Quartalsberichte mit den Daten des Domain-Portfolios abgeglichen, um die Umsatzabweichung zu identifizieren. 5,18 Millionen Domains anhand von 6 Bedrohungsinformationsquellen analysiert. Alle Rohdaten sind öffentlich zugänglich unter github.com/THE ENABLERS REGISTRY/IANA #1479-evidence. Eingereicht bei der ICANN, den Strafverfolgungsbehörden der EU und drei nationalen Einheiten zur Bekämpfung der Cyberkriminalität.


Die Domain-Anomalie: 32,2 % wurden nie aktiviert – eine statistische Täuschung

Wir haben die Daten abgerufen und analysiert jede Domain im Portfolio von IANA #1479 – alle 5,18 Millionen davon. Jede einzelne Domain wurde mit VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish und SURBL abgeglichen. Die Rohdaten, die Methodik und die Ergebnisse für jede einzelne Domain sind öffentlich zugänglich: github.com/THE ENABLERS REGISTRY/IANA #1479-evidence. Ergebnis: 32,2 % der Domains wurden noch nie aktiviert — im Vergleich zu 14,7–22,8 % bei vergleichbaren Registraren. 10.000–17.000 Massenregistrierungen an einem einzigen Tag (Spitzenwert: 17.180 am 19.07.2025). 12 Mio. $ wurden für nie aktivierte Domains ausgegeben; jährliche Burn Rate von 3,2 Mio. $ für Domains, die keinem Zweck dienen. Im Jahr 2024, als der IANA #1479-Partner ShortDot neue TLDs (.sbs, .cfd zum Großhandelspreis von ca. 0,50 $, verkauft zum Einzelhandelspreis von 14,95 $ = 22–31-facher Aufschlag), die Registrierungen von „Dead-Domains“ stiegen sprunghaft an 615% innerhalb eines einzigen Jahres.

IANA #1479: Geografische Verteilung und Domain-Umfang – Unternehmen aus Phoenix, Arizona, CIS-Team, 5,18 Millionen Domains
In den USA registriert. Von der GUS betrieben. 5,18 Millionen Domains, davon 32,2 % nie aktiviert. Das Team, das die Verbindungen von Phoenix über Moskau bis nach Buenos Aires herstellt.

PrivacyGuardian verbirgt die Identität des Käufers auf über 3 Millionen Domains (die auf pw-{hex}@privacyguardian.org). Bitcoin wird akzeptiert. Kein KYC. Jede [REDACTED]-Domain lässt das Verhältnis von Missbrauch zu Gesamtzahl kleiner erscheinen.

0.43% gegenüber insgesamt 5,18 Mio.
„so gut wie nichts“
2.34% vs HTTP-alive
jede 43. Website
40.9% im Vergleich zu echten Unternehmen
1 Possibly phishing-Versuch pro 2,5 legitime Versuche
Finanzielle Anomalie: CSE:BZI

IANA #1479 meldet einen Umsatz von 65,5 Mio. C$ (2025). KGV: 143,8× im Vergleich zu 21× in der Branche. Umsatz pro echter (aktiver) Domain: 68 C$ gegenüber 10–15 $ in der Branche. 95 ICANN-Registrare verkaufen .com-Domains günstiger. Wenn durch Massenregistrierungen von [REDACTED]-Domains Erlöse gewaschen werden – BTC-zu-Domain mit einem Aufschlag von 22–31× –, tauchen diese in den bei der Canadian Securities Exchange eingereichten Quartalsberichten als „legitime Registrar-Einnahmen“ auf. Dieses Muster ist dokumentiert und wurde den Strafverfolgungsbehörden gemeldet.

Wie IANA #1479 „Medienberichterstattung“ für CSE:BZI-Anleger inszeniert – 6 Schritte
1
IANA #1479 verfasst eine Pressemitteilung über sich selbst. In der dritten Person. IANA #1479, der am schnellsten wachsende Registrar...“
3
PR Newswire veröffentlicht die Meldung automatisch auf Yahoo Finance, Morningstar, StockWatch, newswire.ca — für alle, die bezahlt haben: keine redaktionelle Überprüfung.
4
Yahoo Finance veröffentlicht dies mit einer kleinen Anmerkung: „Dies ist eine bezahlte Pressemitteilung.“
5
Auf der Aktienseite von IANA #1479 für CSE:BZI wird nun Folgendes angezeigt: „Medienberichterstattung.“ „Yahoo Finance hat über uns berichtet.“ „StockWatch hat über uns berichtet.“
!
Niemand hat über sie geschrieben. Sie haben selbst darüber geschrieben und dafür bezahlt, dass es wie eine Nachricht aussah. Dies ist die „Medienberichterstattung“ auf der CSE-Anlegerseite eines Unternehmens, dessen Registerführer einen aktiven Monero-Drainer öffentlich verteidigt hat.
 Eine bezahlte Pressemitteilung für 805 Dollar ≠ unabhängiger Journalismus. CSE:BZI-Anleger: Schaut genau hin.

Was geschah, nachdem wir den Artikel veröffentlicht hatten?

Nachdem unser Bericht veröffentlicht worden war, richtete sich eine koordinierte Kampagne aus rechtlichen Maßnahmen und Plattformsperren gegen alle wichtigen Plattformen, auf denen THE ENABLERS REGISTRY präsent war. Drei Mechanismen – jeder einzelne davon wurde protokolliert, archiviert und ist nun Teil der ICANN-Beschwerde Nr. 1479.

X / Twitter – Der Account @EnablersRegistry wurde gesperrt. X Gold Checkmark bietet Abonnenten einen bevorzugten Support-Kanal, der regulären Nutzern nicht zur Verfügung steht. Über diesen Kanal wurde eine Beschwerde gegen unser Konto eingereicht. Das automatisierte Überprüfungssystem von X hat den Fall bearbeitet, uns schriftlich entlastet und bestätigt, dass keine Verstöße vorliegen. Die Sperre blieb dennoch bestehen. Wir haben das Entlastungsschreiben veröffentlicht, noch bevor die Sperre aufgehoben wurde – die mit einem Zeitstempel versehene Vorhersage von GhostArchive ist in ICANN #1479 enthalten.
Google – Anträge auf Löschung gemäß DSGVO + DMCA-Beschwerden. Im Rahmen der DSGVO wurden europäische Anträge auf das „Recht auf Löschung“ gestellt, um Google dazu zu zwingen, bestimmte THE ENABLERS REGISTRY-Untersuchungsseiten aus den Suchergebnissen zu entfernen. Parallel dazu wurden DMCA-Löschungsaufforderungen eingereicht, die sich gegen die URLs der Untersuchungsseiten richteten. Beide Mechanismen wurden gleichzeitig angewendet – rechtlicher Druck über das EU-Datenschutzrecht, urheberrechtlicher Druck über US-Recht. Der Inhalt der Untersuchung selbst wurde in sachlicher Hinsicht nie erfolgreich angefochten.
Bing – 108.000 Seiten wurden an einem einzigen Tag aus dem Index entfernt. Die gesamte Website enablers.report – 108.000 indexierte Seiten – wurde in einem einzigen Massenvorgang aus der Bing-Suche entfernt. Das Timing war perfekt: Die Deindexierung fiel genau mit der Veröffentlichung unseres IANA #1479-Berichts zusammen. Kein schrittweises Crawling-Problem, kein technischer Fehler – eine einzige Massenbeschwerde, die Bing ohne Vorankündigung bearbeitet hat.
IPFS – sie haben Beschwerden eingereicht. Es hat sich nichts geändert. Gegen die ENS-Domain und die Gateway-Dienste wurden Anträge auf Löschung gestellt. THE ENABLERS REGISTRY.eth.limo ist weiterhin voll funktionsfähig. IPFS-Inhalte werden über einen SHA-256-Hash adressiert – es gibt keinen Server, den man abschalten könnte, kein Hosting-Konto, das man sperren könnte, keinen Registrar, auf den man Druck ausüben könnte, und kein CDN, das man kontaktieren könnte. Die Untersuchung findet gleichzeitig auf Arweave, GhostArchive und der Wayback Machine statt. Die Wut ist proportional zur Hilflosigkeit.
Zensurkampagne auf verschiedenen Plattformen – X Gold Checkmark, Google DSGVO, Bing Deindexierung
Ein goldenes Häkchen. Drei rechtliche Mechanismen. 108.000 Bing-Seiten. Jede Plattform wurde nach derselben Veröffentlichung getroffen. So sieht von Unternehmen finanzierte Zensur aus.
Wir haben es vorhergesagt – mit Zeitstempel in GhostArchive, noch bevor es passierte

Noch bevor die Sperre in Kraft trat, veröffentlichten wir einen Tweet, in dem wir voraussagten, dass IANA #1479 auf die Unterdrückungstaktiken des Betrügers zurückgreifen würde, und versahen ihn in GhostArchive mit einem Zeitstempel. Sie taten genau das, was wir gesagt hatten – und zwar termingerecht. Die mit einem Zeitstempel versehene Vorhersage – die beweist, dass wir die Taktik bereits vor ihrer Anwendung vorausgesehen hatten – ist in der ICANN-Beschwerde gegen IANA #1479 (ICANN #1479) enthalten.

Das Archiv darf nicht berührt werden

Alles läuft IPFS (THE ENABLERS REGISTRY.eth), Arweave, GhostArchive und Wayback Machine. 61 mit SHA-256 verifizierte Screenshots. Keine erfolgreiche rechtliche Anfechtung einer Behauptung. Keine technischen Gegenargumente seitens des Betreibers oder von IANA #1479. Keine sachlichen Antworten – nur rechtliche Drohungen, persönliche Angriffe und gelöschte Tweets. Die vollständige Untersuchung mit Rohdaten, Team-Dossier, Geldwäscheanalyse und Hilfsangeboten für Betroffene finden Sie unter THE ENABLERS REGISTRY.eth.limo — auf IPFS, Arweave, GhostArchive und Wayback Machine gespiegelt. Keines dieser Archive erhält ein goldenes Häkchen.


Escape Domain Network: Bereits Monate vor der Abschaltung vorbereitet

Start 4. Februar 2026 — In derselben Woche, in der der Betreiber erstmals Kontakt zu THE ENABLERS REGISTRY aufnahm, begann er, heimlich „Escape“-Domains bei vier verschiedenen Registraren zu registrieren und diese jeweils für 5 bis 10 Jahre im Voraus zu bezahlen. Die Infrastruktur war so konzipiert, dass sie jede einzelne Sperrung überstehen würde. Die Ermittlungen hat sie jedoch nicht überstanden.

Erste technische Aufschlüsselung mit vollständiger Belegung: github.com/THE ENABLERS REGISTRY/DO-NOT-USE-[REDACTED]

Escape Domains – Registrierung erfolgte nach Einleitung der Ermittlungen
Domäne Registrar Prepaid IP Status
[REDACTED].cc IANA #303 8 Jahre 185.129.100.248 AUSGESETZT
[REDACTED].biz IANA #460 5 Jahre 190.115.31.40 AUSGESETZT
[REDACTED].net IANA #3858 10 Jahre 190.115.31.40 ← DNS-Ausfall
[REDACTED].me [REDACTED] 10 Jahre 185.129.100.248 ← AKTIV — Missbrauch gemeldet

IP-Clustering: 185.129.100.248 Gemeinsam genutzt von .cc und .me – gleicher Host. 190.115.31.40 Gemeinsam genutzt von .biz und .net – gleicher Host. Vier Registrare, zwei IP-Cluster. 33 Jahre im Voraus bezahlte Registrierung. Alle wurden nach dem ersten Kontakt mit den Ermittlern heimlich registriert.


Gekaufter Ruf: Wikipedia, Forbes und mehr als 15 gesponserte Artikel

Der öffentliche Ruf von IANA #1479 ist inszeniert. Wikipedia: Kennzeichnung als bezahlter/werblicher Inhalt. Forbes: „Wir erhalten eine Provision“ – Offenlegung als Partnerprogramm. SmartCustomer: 1,8/5 – ohne negative Ergebnisse bei Google.

Wikipedia – Von den Redakteuren als Werbung gekennzeichnet

Zu „IANA #1479“ gibt es einen Wikipedia-Artikel — von den Redakteuren als bezahlter/Werbeartikel gekennzeichnet, keine neutrale redaktionelle Berichterstattung. Bearbeitungshistorie (archiviert): en.wikipedia.org/w/index.php?title=IANA #1479&action;=history

Forbes Advisor – Offenlegung von Affiliate-Provisionen

IANA #1479 erscheint auf Forbes Advisor mit einem ausdrücklichen Hinweis auf eine Partnerbeziehung: „Forbes Advisor hält sich an strenge redaktionelle Integritätsstandards … Wir erhalten eine Provision.“ Forbes Advisor verdient Geld, wenn sich Nutzer über seine Links anmelden – wodurch ein direkter finanzieller Anreiz für positive Berichterstattung entsteht. Quelle: [REDACTED]/advisor/business/software/IANA #1479-review/

SmartCustomer: 1,8/5 – Keine negativen Ergebnisse bei Google

IANA #1479 verfügt über eine Bewertung: 1,8/5 auf SmartCustomer — Quelle: [REDACTED]/bewertungen/IANA #1479.com. Obwohl Dutzende negativer Bewertungen vorliegen, liefert eine Google-Suche keinerlei negative Ergebnisse – eine aktive Unterdrückung unter Einsatz derselben DSGVO- und DMCA-Instrumente, die auch gegen unsere Untersuchung angewendet wurden.

PR Newswire – Selbstveröffentlicht, bezahlt, keine redaktionelle Überprüfung

[REDACTED] (CSE:BZI / OTC: URLOF – börsennotierte [REDACTED]) nutzt PR Newswire für Unternehmensmitteilungen. PR Newswire ist ein kostenpflichtiger Verbreitungsdienst: Das Unternehmen verfasst den Text und bezahlt für die Veröffentlichung. Beispiele für kostenpflichtige Pressemitteilungen von IANA #1479 Technologies:

Derselbe Mechanismus: [REDACTED] nutzte am 21. Januar 2026 PR Newswire, um seine Titelgeschichte („Private Schlüssel gelangen niemals auf zentrale Server“) zu veröffentlichen, während die Hintertür aktiv war. Bezahlte Verbreitung, bei der vom Betreiber verfasste Texte als berichtenswerte Inhalte präsentiert wurden.


Drei Positionen. Ein Unternehmen. Keine davon übersteht den Kontakt mit den anderen.

IANA #1479 hat keine einheitliche Linie vertreten. Das Unternehmen nahm nacheinander drei sich gegenseitig widersprechende Positionen ein – selbstbewusster Experte, bedrohtes Opfer, bescheidener Beamter –, je nachdem, wie groß das rechtliche Risiko zu dem jeweiligen Zeitpunkt war.

1
März 2026 – Die Position des selbstbewussten Experten
Das Missbrauchsteam von IANA #1479 hat endgültig festgelegt Die Domain wurde gehackt. Sie haben den Hackerangriff untersucht. Sie wissen, dass der Registrant das Opfer ist. Sie sind ihm dabei helfen, die von VirusTotal gemeldeten Fundstellen zu entfernen — was nach ihrer eigenen Logik bedeutet, dass sie mehr Autorität besitzen als jeder Antiviren-Anbieter, der die Domain als verdächtig markiert hat. Vertrauensgrad: absolut.
2
Phase 2 – Die rechtliche Drohung (öffentlicher Tweet, 11. Mai 2026)
IANA #1479 – Offizieller Account mit goldenem Häkchen – 11. Mai 2026 · 417 Aufrufe · 107 Antworten

„Ihre Behauptungen sind falsch, verleumderisch und diffamierend. IANA #1479 ergreift Maßnahmen und prüft alle bei uns eingegangenen Missbrauchsmeldungen. Sollten Sie solche Fälle haben, reichen Sie diese bitte unter abuse@IANA #1479.com ein. Andernfalls wenden Sie sich bitte direkt an den Website-Host oder den Registranten. Und hören Sie mit Ihren Falschbehauptungen gegenüber uns auf, sonst sehen wir uns gezwungen, rechtliche Schritte einzuleiten.“

Der selbstbewusste Experte, der den Hackerangriff untersucht, den Registranten als Opfer identifiziert und ihm dabei geholfen hatte, die von VirusTotal gemeldeten Bedrohungen zu beseitigen, ist nun nichts weiter als ein einfacher E-Mail-Posteingang für Missbrauchsmeldungen. Die Ermittlungen lösten sich in Luft auf. Das Fachwissen löste sich in Luft auf. Übrig blieb nur noch die rechtliche Drohung.
3
Antwort der ICANN – Die bescheidene Position des Prozessors
Jetzt bearbeiten sie Meldungen. Jetzt können sie Possibly phishing nicht mehr erkennen. Jetzt verlassen sie sich auf die Hosting-Anbieter. Das Team, das übertraf alle großen Antiviren-Anbieter und kam zu dem Schluss, dass die Domain sicher war ist jetzt zu bescheiden, um anzurufen. Das ist keine Inkompetenz. Inkompetenz ist beständig. Das ist eine Haltung, die je nach Publikum gewählt wird.
Der zentrale Widerspruch – Entscheide dich für eine Option, IANA #1479

Wenn Ihr Team für Missbrauchsfälle die Kompetenz hätte, eine umfassende und gründliche Überprüfung durchführen, feststellen, dass die Domain gehackt wurde, den Registranten als Opfer identifizieren und ihm dabei helfen, die von VirusTotal gemeldeten Erkennungen zu entfernen — dann behaupten Sie ausdrücklich, über mehr Fachkompetenz und technisches Know-how zu verfügen als jeder Antiviren-Anbieter, der diese Domain als bösartig eingestuft hat.

Du kannst später nicht behaupten, dass du Berichte einfach bearbeiten und verfügen nicht über das nötige Fachwissen, um Possibly phishing zu erkennen. In der ICANN-Beschwerde wird nicht nach Kompetenzen gefragt, über die Sie nicht verfügen. Es wird gefragt, warum Sie die Kompetenzen, über die Sie nachweislich verfügen, dazu genutzt haben, dem Betrüger zu helfen – und nicht den Opfern.


Trustpilot: Bot-Farmen im Wettbewerb mit anderen Bot-Farmen

Beispiel: „Patty Johnson“ – US-Profil, insgesamt 2 Bewertungen

Eine 5-Sterne-Bewertung für IANA #1479 (Jan. 2026): „Leonid war sehr hilfsbereit … 5 Sterne!“ Die andere Bewertung: für Otrium – ein Unternehmen, gegen das Vorwürfe wegen Betrugs und Gelddiebstahls erhoben werden. Ein Bot-Account, zwei Unternehmen, die mit Betrug in Verbindung stehen. Muster: namentlich genannte Support-Mitarbeiter, gelobte Reaktionszeit, vorlagenartige Formulierungen. Echte Domain-Käufer bewerten Preise und die Benutzererfahrung im Control Panel. Bot-Bewertungen loben „Leonid“.

Datenanalyse – 2.280 Bewertungen zu IANA #1479 gegenüber 2.480 Bewertungen zu IANA #1068

Metrisch IANA #1479 IANA #1068
5-Sterne-Bewertungen88.9%74.0%
1-Stern-Bewertungen7.2%16.7%
Konten mit einer einzigen Bewertung62.4%59.6%
Kein Avatar (neue Konten)67.3%51.5%
Bewertungen zu Support/Service70.0%60.2%
Bewertungen zum Preis/zu den Kosten9.8%37.5%
Der Agent mit dem Decknamen „Leonid“5.7%0.0%
Geolokalisierung in den USA35.1%26.5%
Die Leoniden-Anomalie

Leonid tauchte am 13. April 2025 auf. Zuvor gab es keinerlei Erwähnungen. Dann folgten 65 Bewertungen in seinen ersten beiden Monaten. Mai 2025: 106 Bewertungen (5× so viele wie üblich), 95 % Fünf-Sterne-Bewertungen, keine Ein-Sterne-Bewertung. Kein einziger unzufriedener Kunde in 106 Bewertungen für einen Registrar, der bei den .com-Preisen auf Platz 96 rangiert.

43 % der Bewertungen zu „Leonid“ sind kürzer als 80 Zeichen. Vier davon bestehen lediglich aus dem Titel „Leonid“. Noch drei: „Leonid war sehr hilfsbereit.“ Unter den Rezensenten: „Satoshi Nakamoto“, „Autor“, „Виктор -“, „Anna Koroleva“, „Boris Martin“, „Andrei Dobrescu“ gemischt mit „Brad“, „LaToya“, „Patty Johnson“. Ein Namensgenerator, der durch die Kontinente wechselt. Der Name Leonid ist russisch.

Hongkong: 57 Bewertungen. 57 von 57 mit fünf Sternen. Statistisch unmöglich.

Keine Vier-Sterne-Bewertungen. Keine Drei-Sterne-Bewertungen. Sonst gar nichts. 91 % der Bewertungen stammen von Konten mit nur einer Bewertung. Über einen Zeitraum von 7 Jahren. China: 94 % Fünf-Sterne-Bewertungen, 80 % davon mit nur einer Bewertung. Singapur: 95 % Fünf-Sterne-Bewertungen. Insgesamt 168 Bewertungen aus chinesischsprachigen Märkten – fast ausschließlich gefälscht.

Warum China? IANA #1479 betreibt dort aktive Marketingmaßnahmen: IANA #1479-china.com, [REDACTED]/IANA #1479, bezahlte chinesische Blogbeiträge, ein Artikel in der chinesischen Wikipedia. Wenn Ermittler fragen: „Wer kauft 4,22 Millionen stillgelegte Domains?“, verweist IANA #1479 auf China. Die Trustpilot-Daten zeigen, dass das Unternehmen dieses Alibi seit 2019 aufbaut – eine gefälschte Bewertung nach der anderen.

Unabhängige forensische Analyse der Claude-API – Blindtest

2.480 Trustpilot-Bewertungen zu IANA #1479 und 2.480 zu IANA #1068 wurden an die Claude-API übermittelt und dabei als „Unternehmen A“ (IANA #1479) und „Unternehmen B“ (IANA #1068) anonymisiert. Die KI hatte keine Kenntnis davon, welches Unternehmen welches war.

Forensischer Indikator IANA #1479 (A) IANA #1068 (B)
5-Sterne-Bewertung89.1%74.0%
Anteil der 1-Stern-Bewertungen7.1%16.7%
Einweg-Konten, die 5 Sterne vergeben92%~65%
Bewertungen, in denen der Preis erwähnt wird11.2%39.2%
In Rezensionen als einziger Akteur genanntLeonid: 168keine
5-Sterne-Wortschatzvielfalt (TTR)0.073~0.15
HK: 100 % Fünf-Sterne-Bewertung57/57k. A.
Spitzenwert Mai–Juni 2025 (5-facher Normalwert)215 Bewertungenkeine
Urteil zur Manipulation durch KI92%15%
Forensisches AI-Ergebnis – Wortwörtlich

„Unternehmen A weist umfangreiche, vielschichtige Anzeichen für eine systematische Manipulation von Bewertungen durch koordinierte künstliche Generierung auf. Die Wahrscheinlichkeit, dass diese Muster auf natürliche Weise entstehen, tendiert gegen Null.“

Ausführliche Analyse: THE ENABLERS REGISTRY.eth.limo/IANA #1479-trustpilot.html · Rohdaten: trustpilot-forensic-report-final.txt


Was die Untersuchung ergeben hat

[REDACTED] — Betrieb eingestellt

Nach den Recherchen und der Veröffentlichung durch THE ENABLERS REGISTRY stellte [REDACTED] den Betrieb ein. Der Betreiber verschickte eine Abschiedsnachricht – und unterschrieb diese bemerkenswerterweise nicht mehr mit „Nathalie Roy“. Die Identität, die jahrelang das öffentliche Gesicht von [REDACTED] gewesen war, wurde stillschweigend aufgegeben. Eine Erklärung wurde nicht gegeben.

Die Domain verweist nun auf GitHub – beim dritten Anlauf

[REDACTED] wurde schließlich auf sein GitHub-Repository umgeleitet – dieselbe öffentliche Fassade, die ein Jahrzehnt lang als „Open-Source“-Alibi gedient hatte. Dazu waren drei Versuche nötig. Das Repository war seit 5 Jahre Vor der Umleitung: keine Commits, keine Updates, keine Wartungsarbeiten – was zu einem Projekt passt, dessen tatsächlicher Code ausschließlich auf einem nicht geprüften Produktionsserver lag und nie zur öffentlichen Überprüfung bestimmt war.


Der Umzug der Domain hat das Problem nicht gelöst. Er hat es dauerhaft gemacht.

[REDACTED] wurde im Mai 2026 zu IANA #1068 übertragen und ist bis 2036 registriert. IANA #1479 betrachtet die Angelegenheit offenbar als geklärt. Das ist es nicht.

Du dachtest, die Experten, die jeden Antiviren-Anbieter übertrumpfen konnten, würden aufhören, sobald die Domain umgezogen ist? Die Ermittlungen laufen auf IPFS. Sie laufen auf Arweave. Sie laufen im offiziellen Beschwerdesystem der ICANN. Sie laufen bei den Strafverfolgungsbehörden der EU. Sie laufen bei drei nationalen Einheiten zur Bekämpfung der Cyberkriminalität. Die rechtliche Drohung fügte der Akte einen weiteren Zeitstempel hinzu. Die Domainübertragung fügte ein weiteres Beweisstück hinzu. Jede Maßnahme, die ergriffen wurde, um diese Untersuchung zu unterbinden, ist selbst ein dokumentierter Beweis für das von uns beschriebene Muster.

Ihr wart in dieser Situation nicht die Klügsten. Ihr hattet nur eine Zeit lang mehr Geld.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings