
[REDACTED] · Arnaque au chat en direct · IDOR · 14 mois d'activité · mars 2026
Résumé analytique
Cette enquête rend compte [REDACTED] — une opération de hameçonnage sophistiquée se faisant passer pour [REDACTED] via le domaine backend [REDACTED]. Candidat à la 14 mois (janvier 2025 – février 2026), l’opération visait les utilisateurs de cryptomonnaies par le biais d’un faux service d’assistance par chat, leur soutirant leurs phrases de récupération et leur réclamant des dépôts sous de faux prétextes tels que la « conformité à l’OFAC » et le « remplacement d’actifs ». Les 1 900 conversations des victimes ont toutes été extraites grâce à une vulnérabilité IDOR critique. L’identité du principal opérateur a été révélée.
Comment fonctionne l'arnaque : déroulement de l'attaque
Cette opération suit un processus en cinq étapes soigneusement élaboré afin de tirer le maximum de profit de chaque victime :
Préjudice financier : principales pertes confirmées
| Identifiant de discussion | Montant | Actif | Contexte |
|---|---|---|---|
| #1795 | 197 000 USDT | TRON (TRC-20) | Emprunté à mon ex-femme |
| #481 | ~45,77 ETH | Ethereum | Dépôts multiples |
| #965 | environ 16 000 USDT | USDT | Dépôts successifs |
| #720 | 8 000 USDT | TRC-20 | Transfert d'une journée |
| #1090 | 5 839 USDT | USDT | Mère célibataire, décès confirmé |
| #1430 | environ 3 686 USDT | USDT | Deux dépôts distincts |
| #92 | 3 340,23 USDT | USDT | Montant exact confirmé |
| #1089 | 0,3201 BTC | Bitcoin | Depuis le portefeuille matériel [REDACTED] |
Les dégâts réels sont probablement bien plus importants
Il s'agit de déclarations non vérifiées issues de historiques de discussion. De nombreuses victimes n'ont jamais communiqué les montants concernés. La rotation des portefeuilles rend impossible le calcul des totaux sur la chaîne sans un suivi complet de la blockchain.
Identification de l'opérateur
Opérateur principal : Vasiliy Navrotsky
| Paramètre | Valeur |
|---|---|
| Nom complet | Vasiliy Navrotsky (Василий Навроцкий) |
| Identifiant [REDACTED] | 6005741623 |
| Identifiant actuel | @Addmeks |
| Historique des noms d'utilisateur | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Période de validité | Juillet 2023 – mai 2025 |
| Messages suivis | 249 répartis dans 61 groupes [REDACTED] |
| Groupes clés | LEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6) |
Membres de l'équipe identifiés dans les historiques de discussion
Techniques d'ingénierie sociale
| Tactique | Messages | Description |
|---|---|---|
| Usurpation d'identité de [REDACTED] | 1,905 | Se faisant passer pour le service d'assistance officiel de [REDACTED] |
| Réclamations relatives au gel ou au blocage d'un portefeuille | 360 | Prétend que son portefeuille a été bloqué en raison d’une « activité suspecte » |
| Offres de remplacement d'actifs | 305 | Promesse de « remplacer » les avoirs gelés après leur dépôt |
| Menaces de sanctions de l'OFAC | 210 | Fausses allégations concernant des sanctions du Trésor américain visant un portefeuille numérique |
| Demandes de dépôt en vue du déblocage | 185 | Exiger un dépôt en cryptomonnaie pour « débloquer » le portefeuille |
| Fausses offres de staking | 161 | Pools de staking avec taux APY personnalisés dans le panneau d'administration |
| Accusations relatives à la lutte contre le blanchiment d'argent et au financement du terrorisme | 66 | Accuser les victimes de blanchiment d'argent |
L'ironie
Des escrocs russophones ciblant des victimes russophones (51 % des conversations se déroulent en russe) en les menaçant de Sanctions de l'OFAC (Bureau du contrôle des avoirs étrangers) du Trésor américain — un mécanisme réglementaire sans rapport géographique avec leur base de victimes. Une ingénierie sociale basée sur des modèles, et non sur une compréhension du contexte.
Entonnoir d'engagement des victimes
Langues : Russe 51 % (3 013 messages) · Anglais 40 % (2 995 messages) · Autres 9 % (365 messages)
Période de pointe : Novembre 2025 (959 messages). Horaires de travail : de 10 h 00 à 13 h 00 UTC ; activité réduite de 40 % le week-end.
Analyse des infrastructures
Architecture du domaine principal : [REDACTED]
| Composant | Détails |
|---|---|
| API « Victim » | [REDACTED] |
| Interface d'administration | [REDACTED] / [REDACTED] |
| CDN statique | [REDACTED] |
| Pile technique backend | Java Spring Boot + Spring Security, JWT RS256 |
| Base de données | PostgreSQL (JPA/Hibernate) |
| Interface utilisateur | React CRA + Material UI (339 fichiers source récupérés) |
| Serveur Web | nginx/1.18.0 (Ubuntu) |
Infrastructure d'hébergement
| IP | Lieu | Fournisseur | Fonction |
|---|---|---|---|
45.144.30.6 | Moscou, Russie | UFO Hosting (AS33993) | Principalement en contact avec les victimes |
2.56.178.117 | Moscou, Russie | UFO Hosting (AS33993) | Phase initiale (janvier-février 2025) |
185.170.198.121 | Vilnius, Lituanie | IANA #1636 (AS47583) | Interface de possibly phishing |
69.10.62.71 | New York, États-Unis | Interserver (AS19318) | Orienté vers les victimes |
69.49.231.166 | Atlanta, Géorgie | Solutions réseau | Primaire actuel — tous les *.[REDACTED] |
94.131.121.154 | Moscou, Russie | UFO Hosting (AS33993) | Hameçonnage |
146.185.239.62 | Madrid, Espagne | GTHost (AS63023) | Secondaire (casino + Next.js) |
Domaines de hameçonnage (en rotation)
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
Vulnérabilités critiques en matière de sécurité
L'infrastructure du panneau de contrôle de l'arnaque était truffée de failles qui rendaient l'extraction complète des données d'une simplicité enfantine :
11 Points de terminaison API sans authentification
Fonctionnalités du panneau d'administration (analyse du code source)
339 fichiers source ont été récupérés à partir de cartes de source de production exposées (main.3924229a.js.map). Au programme de cette table ronde :
Détection d'une activité de recherche menée par un tiers
Une charge utile de shell inversé détectée dans la conversation n° 1
Une charge utile de shell inversé encodée en Base64 a été détectée, injectée via le canal non authentifié /message/save point de terminaison sur 6 mai 2025 — environ 10 mois avant le début de cette enquête. Cela signifie que ces vulnérabilités pouvaient être exploitées publiquement depuis longtemps et qu'un autre chercheur les avait découvertes bien avant nous.
Calendrier de l'opération
Recommandations à l'intention des utilisateurs
- Ne communiquez jamais vos phrases de récupération par chat, par e-mail ou via tout autre canal d'assistance — [REDACTED] ne vous demandera jamais ces informations
- Vérifier les coordonnées du service d'assistance uniquement via les canaux officiels de [REDACTED]
- Identifier les menaces liées à l'OFAC et à la lutte contre le blanchiment d'argent (AML) comme prétextes courants utilisés par les escrocs — les services légitimes ne bloquent pas les portefeuilles via le chat
- Signaler des domaines de hameçonnage à l'équipe de sécurité de [REDACTED] et THE ENABLERS REGISTRY
- Utilisez des portefeuilles matériels pour la signature des retraits, afin d'empêcher les virements non autorisés
- Vérifier l'état du portefeuille via l'historique des transactions de la blockchain, et non via une interface « d'assistance » quelconque
Rapport technique complet avec les historiques de discussion
Données complètes issues de l'enquête, comprenant l'intégralité des transcriptions des conversations, les adresses de portefeuilles, l'analyse des opérateurs et les visualisations interactives
Consulter le rapport complet sur GitHub →Parcourir les 1 900 transcriptions de discussions →