Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / IT / TRUSTWALLET PANEL EXPOSED

Panel sul phishing di [REDACTED]: 239.000 dollari rubati, 6 operatori

The Enablers Registry·Editorial mirror·/it/trustwallet-panel-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED] · Truffa tramite chat live · IDOR · 14 mesi di attività · marzo 2026

Il pannello di [REDACTED] è stato smascherato
1,900
Sessioni di chat con le vittime
$239K+
Furto confermato (USDT/ETH/BTC)
21
Identificati i portafogli dei truffatori
6
Operatori con nome

 Sintesi

La presente indagine documenta [REDACTED] — una sofisticata operazione di possibly phishing che si spaccia per [REDACTED] tramite il dominio di backend [REDACTED]. Candidato per 14 mesi (gennaio 2025 – febbraio 2026), l’operazione ha preso di mira gli utenti di criptovalute tramite una finta chat di assistenza, sottraendo loro le frasi seed e richiedendo depositi con il pretesto della “conformità all’OFAC” e della “sostituzione degli asset”. Tutte le 1.900 conversazioni delle vittime sono state estratte sfruttando una grave vulnerabilità IDOR. L’identità dell’operatore principale è stata resa nota.

 Come funziona la truffa: sequenza dell'attacco

L'operazione segue un percorso articolato in cinque fasi, attentamente pianificato, volto a ricavare il massimo profitto da ciascuna vittima:

Fase 1
Scoperta — Le vittime individuano il dominio di possibly phishing tramite gruppi di [REDACTED], truffe sentimentali (personaggio “Sofia”) o risultati dei motori di ricerca
Fase 2
Portafoglio contraffatto — Un sito di possibly phishing imita l’interfaccia di [REDACTED]; intercetta la frase mnemonica e la password durante la “creazione del portafoglio”
Fase 3
Attivazione della chat live — I tentativi di prelievo falliscono deliberatamente; l’operatore della chat appare come “[REDACTED] Support”
Fase 4
Ingegneria sociale — Gli operatori sostengono che i beni siano stati congelati a causa di violazioni delle norme OFAC e antiriciclaggio e richiedono depositi in criptovaluta a titolo di “sostituzione” o “verifica”
Fase 5
Estrazione ripetuta — Richieste continue di pagamenti aggiuntivi, accompagnate da tattiche volte a creare un senso di urgenza e da pressioni legate alle scadenze

 Danni finanziari: le principali perdite accertate

ID chatImportoAttivoContesto
#1795197.000 USDTTRON (TRC-20)Preso in prestito dall'ex moglie
#481~45,77 ETHEthereumDepositi multipli
#965circa 16.000 USDTUSDTDepositi sequenziali
#7208.000 USDTTRC-20Trasferimento di un giorno
#10905.839 USDTUSDTMadre single, perdita accertata
#1430circa 3.686 USDTUSDTDue depositi distinti
#923.340,23 USDTUSDTImporto esatto confermato
#10890,3201 BTCBitcoinDal portafoglio hardware [REDACTED]

 Il danno effettivo è probabilmente molto più elevato

Si tratta di dichiarazioni spontanee non verificate tratte dai log delle chat. Molte vittime non hanno mai segnalato gli importi. La rotazione dei wallet rende impossibile calcolare i totali on-chain senza un tracciamento completo della blockchain.

 Identificazione dell'operatore

 Operatore principale: Vasiliy Navrotsky

ParametroValore
Nome completoVasiliy Navrotsky (Василий Навроцкий)
ID [REDACTED]6005741623
Identificativo corrente@Addmeks
Cronologia dei nomi utente @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Periodo di validitàLuglio 2023 – maggio 2025
Messaggi monitorati249 distribuiti su 61 gruppi di [REDACTED]
Gruppi chiaveLEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6)

Membri del team identificati nei log delle chat

👤
Lyokha / Alexey
Operatore di chat principale
👤
Dima
Operatore (Chat n. 92)
👤
Maksim
Operatore (Chat n. 446, 201 messaggi)
👤
Andrey
Operatore (Chat n. 579)
👤
Aleksander
Responsabile delle assunzioni su [REDACTED]
👤
Sofia
Profilo utilizzato nelle truffe romantiche

 Tattiche di ingegneria sociale

TatticaMessaggiDescrizione
Falsificazione dell'identità di [REDACTED]1,905Fingendosi di essere il servizio di assistenza ufficiale di [REDACTED]
Richieste di blocco/sblocco del portafoglio360 Affermazione secondo cui il portafoglio sarebbe stato bloccato a causa di “attività sospette”
Offerte di sostituzione dei beni305 Con la promessa di “sostituire” i fondi congelati dopo il deposito
Minacce di sanzioni da parte dell'OFAC210Affermazioni infondate relative a sanzioni del Tesoro statunitense nei confronti di un portafoglio digitale
Richieste di deposito a titolo di garanzia per lo sblocco185 Richiesta di un deposito in criptovaluta per “sbloccare” il portafoglio
Offerte fasulle di staking161Pool di staking con APY personalizzato nel pannello di amministrazione
Accuse relative all'antiriciclaggio e alla lotta al terrorismo66Accusare le vittime di riciclaggio di denaro

 L'ironia

Truffatori di lingua russa che prendono di mira vittime di lingua russa (il 51% delle chat è in russo) con minacce di Sanzioni dell'OFAC del Dipartimento del Tesoro degli Stati Uniti — un meccanismo normativo che non tiene conto della distribuzione geografica delle proprie vittime. Ingegneria sociale basata su modelli prestabiliti, non sulla comprensione del contesto.

 Percorso di coinvolgimento delle vittime

Sessioni iniziali
1,900
100%
Ha risposto alla chat
679
35.7%
Coinvolgimento profondo (10+ messaggi)
175
9.2%
Trasferimenti di fondi confermati
~20
1%

Lingue: Russo 51% (3.013 messaggi) · Inglese 40% (2.995 messaggi) · Altro 9% (365 messaggi)

Picco di attività: Novembre 2025 (959 messaggi). Orario di lavoro: dalle 10:00 alle 13:00 UTC; nei fine settimana, attività ridotta del 40%.

 Analisi delle infrastrutture

 Architettura del dominio principale: [REDACTED]

IDORNESSUNA AUTORIZZAZIONEMappe delle fonti svelateCORS CONFIGURATO IN MODO ERRATO
ComponenteDettagli
API Victim[REDACTED]
Backend di amministrazione [REDACTED] / [REDACTED]
CDN statica[REDACTED]
Stack backendJava Spring Boot + Spring Security, JWT RS256
DatabasePostgreSQL (JPA/Hibernate)
FrontendReact CRA + Material UI (339 file sorgente recuperati)
Server webnginx/1.18.0 (Ubuntu)

 Infrastruttura di hosting

IPUbicazioneFornitoreRuolo
45.144.30.6Mosca, RUUFO Hosting (AS33993)A diretto contatto con le vittime
2.56.178.117Mosca, RUUFO Hosting (AS33993)Fase iniziale (gennaio-febbraio 2025)
185.170.198.121Vilnius, LTIANA #1636 (AS47583)Interfaccia di possibly phishing
69.10.62.71New York, Stati UnitiInterserver (AS19318)Rivolto alle vittime
69.49.231.166Atlanta, GeorgiaSoluzioni di reteAttuale primario — tutti i domini *.[REDACTED]
94.131.121.154Mosca, RUUFO Hosting (AS33993)Possibly phishing
146.185.239.62Madrid, SpagnaGTHost (AS63023)Secondario (casinò + Next.js)

 Domini di possibly phishing (a rotazione)

ALIVE (IANA #1910)
[REDACTED]
PARKED ([REDACTED])
[REDACTED]
DISATTIVATO
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
FACCIENDA PER TRUFFE ROMANTICHE
[REDACTED]

 Vulnerabilità critiche alla sicurezza

L'infrastruttura del pannello dedicato alle truffe era piena di vulnerabilità che rendevano semplicissima l'estrazione completa dei dati:

 11 Endpoint API senza autenticazione

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Trascrizione completa della chat, senza autorizzazione# Returns latest victim session data POST /session/get → Mnemonica + password trapelate# Inject messages into any victim chat POST /message/save → Non è richiesta l'autenticazione# Create fake victim sessions POST /session/init → Acquisisce le frasi di seed# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Dati completi sulla rete POST /token/info/get/all → Prezzi in tempo reale su CoinMarketCap POST /stake/get/all → Configurazioni dei pool di staking# Admin login - no rate limiting POST /admin/sign-in → Brute-force illimitato
IDOR su /chat/get
Tutte le 1.900 chat sono consultabili senza autorizzazione
Mappe sorgente rivelate
339 file sorgente (3,4 MB) recuperati
CORS configurato in modo errato
Riflette qualsiasi Origine con credenziali
Nessuna limitazione della frequenza
Attacchi di forza bruta illimitati sul login dell'amministratore

 Funzionalità del pannello di amministrazione (analisi del codice sorgente)

Sono stati recuperati 339 file sorgente dalle mappe sorgente di produzione esposte (main.3924229a.js.map). Il panel comprende:

Gestione portafoglio
Visualizza/modifica tutti i portafogli delle vittime con le frasi mnemoniche
Chat in tempo reale (sondaggio di 1 secondo)
Chat in tempo reale con le vittime sotto il nome di “[REDACTED] Support”
Controllo delle transazioni
Modifica lo stato, inserisci transazioni fittizie
Pool di staking
Tassi APY personalizzati, periodi di vincolo, rendimenti fittizi

 Rilevata attività di ricerca da parte di terzi

 Payload di reverse shell individuato nella chat n. 1

È stato rilevato un payload di reverse shell codificato in base64 iniettato tramite l'accesso non autenticato /message/save punto finale su 6 maggio 2025 — circa 10 mesi prima di questa indagine. Ciò indica che le vulnerabilità erano sfruttabili pubblicamente per un lungo periodo e che un altro ricercatore le aveva scoperte molto prima di noi.

 Cronologia dell'operazione

Gennaio 2025
Compaiono le prime sessioni delle vittime (845 messaggi). Infrastruttura su indirizzi IP di Mosca.
Maggio 2025
Un ricercatore indipendente scopre una vulnerabilità IDOR e inietta un payload reverse shell
novembre 2025
Picco di attività: 959 messaggi in un solo mese. Certificati SSL rinnovati.
febbraio 2026
È stato emesso l'ultimo certificato. L'operazione è ancora attiva, vengono create nuove sessioni.
1 marzo 2026
Pubblicata l'indagine su THE ENABLERS REGISTRY. Sono state estratte e analizzate tutte le 1.900 conversazioni.

 Consigli per gli utenti

  • Non condividere mai le frasi di seed tramite chat, e-mail o qualsiasi altro canale di assistenza — [REDACTED] non le richiederà mai
  • Verifica i contatti dell'assistenza esclusivamente tramite i canali ufficiali di [REDACTED]
  • Riconoscere le minacce legate all’OFAC e all’antiriciclaggio come pretesti comuni utilizzati nelle truffe — i servizi legittimi non bloccano i portafogli tramite chat
  • Segnala i domini di possibly phishing al team di sicurezza di [REDACTED] e THE ENABLERS REGISTRY
  • Utilizza i portafogli hardware per la firma di prelievo, al fine di impedire trasferimenti non autorizzati
  • Verifica lo stato del portafoglio attraverso la cronologia delle transazioni sulla blockchain, non tramite alcuna interfaccia di “supporto”

 Relazione tecnica completa con i log delle chat

Dati completi dell'indagine, comprese tutte le trascrizioni delle chat, gli indirizzi dei portafogli, le analisi degli operatori e le visualizzazioni interattive

Visualizza il rapporto completo su GitHub →

Sfoglia tutte le 1.900 trascrizioni delle chat →

Condividi questa indagine

X / Twitter [REDACTED] Reddit LinkedIn

Indagini correlate

INDAGINE APPROFONDITA
Crypto Drainer Toolkit: smascherati i rivenditori di Angel Drainer
[REDACTED] smascherato: 55 domini e lo "Approval Drainer" di TRON
INDAGINE
[REDACTED] smascherato: 55 domini e lo "Approval Drainer" di TRON
INDAGINE APPROFONDITA
Anatomia del possibly phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings