Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / TRUSTWALLET PANEL EXPOSED

Phishing de [REDACTED]: 239 000 dólares robados y 6 operadores

The Enablers Registry·Editorial mirror·/es/trustwallet-panel-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED] · Estafa de chat en directo · IDOR · 14 meses de actividad · marzo de 2026

Se ha revelado el panel de [REDACTED]
1,900
Sesiones de chat para víctimas
$239K+
Robo confirmado (USDT/ETH/BTC)
21
Identificadas las carteras de los estafadores
6
Operadores con nombre

 Resumen ejecutivo

Esta investigación documenta [REDACTED] — una sofisticada operación de possibly phishing que se hacía pasar por [REDACTED] a través del dominio de backend [REDACTED]. Se presenta como candidato a 14 meses (Enero de 2025 – febrero de 2026), la operación se dirigió a usuarios de criptomonedas a través de un chat de asistencia falso, sustrayéndoles frases de semilla y exigiéndoles depósitos bajo el pretexto falso del «cumplimiento de la normativa de la OFAC» y la «sustitución de activos». Las 1 900 conversaciones de las víctimas se obtuvieron a través de una vulnerabilidad crítica de tipo IDOR. Se ha revelado la identidad del operador principal.

 Cómo funciona la estafa: flujo del ataque

La operación sigue un proceso de cinco fases cuidadosamente diseñado para sacar el máximo provecho de cada víctima:

Fase 1
Descubrimiento — Las víctimas encuentran el dominio de possibly phishing a través de grupos de [REDACTED], estafas románticas (personaje «Sofía») o resultados de motores de búsqueda
Fase 2
Cartera falsa — Una página web de possibly phishing imita la interfaz de [REDACTED] y captura la frase mnemotécnica y la contraseña durante el proceso de «creación de monedero»
Etapa 3
Desencadenante del chat en vivo — Los intentos de retirada fracasan deliberadamente; el operador del chat aparece como «Soporte técnico de [REDACTED]»
Etapa 4
Ingeniería social — Los operadores alegan que se han congelado sus activos debido a infracciones de las normas de la OFAC y contra el blanqueo de capitales, y exigen depósitos en criptomonedas a modo de «reemplazo» o «verificación».
Etapa 5
Extracción repetida — Exigencias continuas de pagos adicionales, con tácticas para crear urgencia y presión por los plazos

 Pérdidas económicas: principales pérdidas confirmadas

ID del chatImporteActivoContexto
#1795197 000 USDTTRON (TRC-20)Tomado prestado de mi exmujer
#481~45,77 ETHEthereumDepósitos múltiples
#965~16 000 USDTUSDTIngresos sucesivos
#7208 000 USDTTRC-20Traslado de un solo día
#10905.839 USDTUSDTMadre soltera, pérdida confirmada
#1430~3.686 USDTUSDTDos depósitos distintos
#923.340,23 USDTUSDTImporte exacto confirmado
#10890,3201 BTCBitcoinDesde el monedero físico [REDACTED]

 Es probable que los daños reales sean mucho mayores

Se trata de datos facilitados por los propios interesados, extraídos de registros de chat, que no han sido verificados. Muchas víctimas nunca comunicaron las cantidades. La rotación de monederos hace que sea imposible calcular los totales en la cadena de bloques sin un seguimiento completo de la misma.

 Identificación del operador

 Operador principal: Vasiliy Navrotsky

ParámetroValor
Nombre completoVasiliy Navrotsky (Василий Навроцкий)
ID de [REDACTED]6005741623
Nombre de usuario actual@Addmeks
Historial de nombres de usuario @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Período de vigenciaJulio de 2023 – mayo de 2025
Mensajes seguidos249 repartidos en 61 grupos de [REDACTED]
Grupos claveLEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6)

Miembros del equipo identificados en los registros de chat

👤
Lyokha / Alexey
Operador principal de chat
👤
Dima
Operador (Chat n.º 92)
👤
Maksim
Operador (Chat n.º 446, 201 mensajes)
👤
Andrey
Operador (Chat n.º 579)
👤
Aleksander
Responsable de selección de personal en [REDACTED]
👤
Sofía
Perfil de seducción en las estafas románticas

 Tácticas de ingeniería social

TácticaMensajesDescripción
Suplantación de identidad de [REDACTED]1,905Haciéndose pasar por el servicio de asistencia oficial de [REDACTED]
Reclamaciones por bloqueo o congelación de monederos360 Afirman que la cartera ha sido bloqueada debido a «actividad sospechosa»
Ofertas de sustitución de activos305 Prometiendo «reembolsar» los activos congelados tras el ingreso
Amenazas de sanciones de la OFAC210Afirmaciones falsas sobre sanciones del Tesoro de EE. UU. contra una cartera digital
Exigencias de depósito para el desbloqueo185 Exigir un depósito en criptomonedas para «desbloquear» el monedero
Ofertas falsas de staking161Grupos de staking con APY personalizados en el panel de administración
Acusaciones relacionadas con la lucha contra el blanqueo de capitales y la financiación del terrorismo66Acusar a las víctimas de blanqueo de capitales

 La ironía

Estafadores de habla rusa que se dirigen a víctimas de habla rusa (el 51 % de los chats son en ruso) con amenazas de Sanciones de la OFAC del Tesoro de EE. UU. — un mecanismo regulador que no tiene en cuenta la ubicación geográfica de sus víctimas. Ingeniería social basada en plantillas, en lugar de una comprensión contextual.

 Embudos de participación de las víctimas

Sesiones iniciales
1,900
100%
Respondió al chat
679
35.7%
Interacción profunda (más de 10 mensajes)
175
9.2%
Transferencias de fondos confirmadas
~20
1%

Idiomas: Ruso 51 % (3.013 mensajes) · Inglés 40 % (2.995 mensajes) · Otros 9 % (365 mensajes)

Pico de actividad: Noviembre de 2025 (959 mensajes). Horario laboral: de 10:00 a 13:00 UTC; los fines de semana, un 40 % menos.

 Análisis de infraestructuras

 Arquitectura del dominio principal: [REDACTED]

IDORSIN AUTORIZACIÓNMAPAS DE ORIGEN AL DESCUBIERTOCONFIGURACIÓN INCORRECTA DE CORS
ComponenteDetalles
API de víctimas[REDACTED]
Panel de administración [REDACTED] / [REDACTED]
CDN estática[REDACTED]
Pila de backendJava Spring Boot + Spring Security, JWT RS256
Base de datosPostgreSQL (JPA/Hibernate)
Interfaz de usuarioReact CRA + Material UI (339 archivos fuente recuperados)
Servidor webnginx/1.18.0 (Ubuntu)

 Infraestructura de alojamiento

IPUbicaciónProveedorFunción
45.144.30.6Moscú, RusiaUFO Hosting (AS33993)Orientado principalmente a las víctimas
2.56.178.117Moscú, RusiaUFO Hosting (AS33993)Fase inicial (enero-febrero de 2025)
185.170.198.121Vilna, LTIANA #1636 (AS47583)Interfaz de possibly phishing
69.10.62.71Nueva York, EE. UU.Interserver (AS19318)Orientado a las víctimas
69.49.231.166Atlanta, GeorgiaSoluciones de redDominio principal actual: todos los *.[REDACTED]
94.131.121.154Moscú, RusiaUFO Hosting (AS33993)Possibly phishing
146.185.239.62Madrid, EspañaGTHost (AS63023)Secundario (casino + Next.js)

 Dominios de possibly phishing (en rotación)

ALIVE (IANA #1910)
[REDACTED]
PARKED ([REDACTED])
[REDACTED]
DESACTIVADO
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
RED DE ESTAFAS ROMÁNTICAS
[REDACTED]

 Vulnerabilidades críticas de seguridad

La infraestructura del panel de estafas estaba plagada de vulnerabilidades que facilitaban enormemente la extracción completa de datos:

 11 Puntos finales de API sin autenticación

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Transcripción completa del chat, sin autorización# Returns latest victim session data POST /session/get → Se ha filtrado la frase mnemotécnica y la contraseña# Inject messages into any victim chat POST /message/save → No se requiere autenticación# Create fake victim sessions POST /session/init → Guarda las frases de semilla# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /red/get → Datos completos de la red POST /token/info/get/all → Precios en tiempo real de CoinMarketCap POST /stake/get/all → Configuraciones de los grupos de staking# Admin login - no rate limiting POST /admin/sign-in → Fuerza bruta ilimitada
IDOR en /chat/get
Se pueden consultar las 1.900 conversaciones sin necesidad de autenticarse
Mapas de origen al descubierto
Se han recuperado 339 archivos fuente (3,4 MB)
Configuración incorrecta de CORS
Refleja cualquier origen con credenciales
Sin limitación de frecuencia
Intentos ilimitados de ataque por fuerza bruta en el inicio de sesión de administrador

 Funcionalidades del panel de administración (análisis del código fuente)

Se recuperaron 339 archivos fuente a partir de los mapas fuente de producción expuestos (main.3924229a.js.map). El panel cuenta con:

Gestor de carteras
Ver/editar todos los monederos de las víctimas con frases mnemotécnicas
Chat en directo (encuesta de 1 s)
Chat en tiempo real con las víctimas bajo el nombre de «Soporte técnico de [REDACTED]»
Control de transacciones
Modificar el estado, introducir transacciones falsas
Grupos de staking
Tipos de interés anual (APY) personalizados, períodos de bloqueo y rendimientos falsos

 Se ha detectado actividad de investigación de terceros

 Se ha encontrado una carga útil de shell inverso en el chat n.º 1

Se ha detectado una carga útil de shell inverso codificada en Base64 inyectada a través del servicio sin autenticación /message/save punto final en 6 de mayo de 2025 — aproximadamente 10 meses antes de esta investigación. Esto indica que las vulnerabilidades pudieron ser explotadas públicamente durante un largo periodo de tiempo y que otro investigador las descubrió mucho antes que nosotros.

 Cronología de la operación

Enero de 2025
Aparecen las primeras sesiones de las víctimas (845 mensajes). Infraestructura en direcciones IP de Moscú.
Mayo de 2025
Un investigador externo descubre una vulnerabilidad IDOR e inyecta una carga útil de shell inverso
Noviembre de 2025
Pico de actividad: 959 mensajes en un solo mes. Se han renovado los certificados SSL.
Febrero de 2026
Se ha emitido el último certificado. La operación sigue activa y se siguen creando nuevas sesiones.
1 de marzo de 2026
Se ha publicado la investigación sobre THE ENABLERS REGISTRY. Se han extraído y analizado las 1.900 conversaciones.

 Recomendaciones para los usuarios

  • Nunca compartas frases de semilla a través del chat, el correo electrónico o cualquier otro canal de atención al cliente: [REDACTED] nunca te pedirá esos datos
  • Comprobar los datos de contacto del servicio de asistencia exclusivamente a través de los canales oficiales de [REDACTED]
  • Reconocer las amenazas relacionadas con la OFAC y la lucha contra el blanqueo de capitales como pretextos habituales de estafa: los servicios legítimos no bloquean las carteras a través del chat
  • Denunciar dominios de possibly phishing al equipo de seguridad de [REDACTED] y THE ENABLERS REGISTRY
  • Utiliza carteras de hardware para la firma de las operaciones de retirada, con el fin de evitar transferencias no autorizadas
  • Comprobar el estado del monedero a través del historial de transacciones de la cadena de bloques, y no a través de ninguna interfaz de «asistencia»

 Informe técnico completo con los registros de chat

Datos completos de la investigación, incluyendo todas las transcripciones de los chats, las direcciones de los monederos, el análisis de los operadores y las visualizaciones interactivas

Ver el informe completo en GitHub →

Ver las 1.900 transcripciones de chat →

Comparte esta investigación

X / Twitter [REDACTED] Reddit LinkedIn

Investigaciones relacionadas

INVESTIGACIÓN EN PROFUNDIDAD
Kit de herramientas «Crypto Drainer»: se desenmascara a los distribuidores de «Angel Drainer»
[REDACTED] al descubierto: 55 dominios y un «drainer» de aprobaciones de TRON
INVESTIGACIÓN
[REDACTED] al descubierto: 55 dominios y un «drainer» de aprobaciones de TRON
INVESTIGACIÓN EN PROFUNDIDAD
Análisis del possibly phishing de criptomonedas: 8 programas reales para robar frases de semillas, analizados mediante ingeniería inversa

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings