Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / PT BR / NAMESILO INVESTIGATION

Abuso no IANA #1479, [REDACTED] e remoção do Twitter

The Enablers Registry·Editorial mirror·/pt-br/namesilo-investigation/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

● ÚLTIMAS NOTÍCIASAtualizado em 2 de julho de 2026 — ICANN nº 1479 registrado

IANA #1479 Defendeu um autor de golpe de criptomoedas que desviou US$ 100 milhões
— Então Nossa conta no Twitter foi desativada

Um registrador credenciado pela ICANN publicou 4 mentiras comprovadas para proteger uma operação de roubo de Monero que durou 10 anos, se ofereceu para apagar seu histórico no VirusTotal enquanto o drainer ainda estava ativo e, em seguida, usou um X Gold Checkmark pago para bloquear os pesquisadores que provaram que eles estavam errados. Seu engenheiro de DevOps: ex-chefe do departamento de TI de uma pirâmide financeira russa há uma década.

1º de abril de 2026 — Atualizado em 2 de julho de 2026 Pesquisa THE ENABLERS REGISTRY 10 minutos de leitura 61 arquivos verificados com SHA-256
$0M+ Estimativa de roubos
0 anos Operação Lifespan
0 Mentiras documentadas
0k Páginas removidas do índice do Bing
0+ Avaliações excluídas
0 Arquivos de evidência SHA-256
Leia a investigação completa em THE ENABLERS REGISTRY.eth.limo

Este artigo é uma prévia. As evidências completas, os arquivos IPFS e todo o material de origem estão disponíveis no link acima.

O contexto: O que é, na verdade, o [REDACTED]

[REDACTED] não é uma página de possibly phishing. É um carteira Monero totalmente funcional com um backdoor no lado do servidor criado em 2018 e em funcionamento até maio de 2026 — quase uma década. O repositório do GitHub é apenas uma fachada pública. O código do roubo existe apenas no servidor de produção, nunca foi submetido ao controle de versão, nunca foi auditado.

Cada interação do usuário envia a chave de visualização privada aos servidores da operadora por meio de uma solicitação POST, codificada em Base64 em uma variável chamada session_key — aproximadamente 40 transmissões por sessão. A transação do lado do cliente é descartada explicitamente (raw_tx_and_hash.raw = 0); o servidor gera a sua própria chave usando as chaves roubadas.

A “Auditoria de Segurança” de 2018 que não abordou nada

A auditoria da NewAlchemy recebeu 67 votos positivos no Reddit e serviu como um indicador de confiança por anos. Seu escopo explícito: "Apenas JavaScript do lado do cliente." Explicitamente fora do escopo: "inúmeros pontos de extremidade da API do PHP." Esses pontos finais constituem o próprio mecanismo de roubo. A auditoria era estruturalmente incapaz de detectar a porta dos fundos.

O roubo é seletivo por natureza. Pequenos depósitos permanecem intocados por anos, gerando confiança e avaliações legítimas. Grandes quantias são roubadas em questão de minutos. Uma vítima documentada depositou 590 XMR — que desapareceram em 2 dias. Total estimado, considerando mais de 15 vítimas documentadas: 5.000–50.000+ XMR roubados (US$ 1,5 milhão a US$ 15 milhões+ a preços históricos). 60% das postagens das vítimas foram denunciadas em massa e excluídas antes da coleta de provas.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: chave_de_sessão = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Backdoor do [REDACTED] — A fachada pública no GitHub redireciona o tráfego normalmente, enquanto um servidor de produção oculto exfiltra a `session_key`
O roubo em um diagrama: verde = repositório público do GitHub (limpo, auditado, confiável). Vermelho = servidor de produção — nunca apareceu em nenhum commit, nunca foi auditado, está exfiltrando dados session_key ao operador em cada sessão.
 Demonstração ao vivo — Recriamos a vulnerabilidade
Veja como ocorre a exfiltração da chave de sessão no seu navegador

Reconstruímos a exfiltração de chaves baseada em gtag em uma demonstração em ambiente isolado. Abra o DevTools → guia Rede → interaja com a carteira. Assista session_key As solicitações POST são disparadas em tempo real. Foi isso que funcionou durante 10 anos. Foi isso que a “auditoria de segurança” nunca analisou. Foi isso que a IANA #1479 defendeu publicamente.

Abrir demonstração interativa

A frase que explicou o IANA #1479

Prova irrefutável — um martelo de juiz rachado e aspas brilhantes
17 de fevereiro de 2026. Uma frase. Uma década de confiança em seu registrador.

Em 16 de fevereiro de 2026, o operador do site [REDACTED] enviou um e-mail ao THE ENABLERS REGISTRY exigindo a remoção da denúncia. Ele assinou como “Nathalie Roy” — conta no GitHub nathroy, ID 39167759. Respondemos com uma análise técnica completa e uma advertência por escrito: "O que vai acontecer a seguir depende inteiramente de como você decidir agir."

No dia seguinte, ele enviou uma frase que nos dizia tudo sobre sua relação com a IANA #1479:

“Fique à vontade para intimar o registrador do domínio a fornecer minhas informações.”
— Administrador do [REDACTED], 17 de fevereiro de 2026
Três semanas antes de a IANA #1479 entrar em contato com ele, a vítima

Ninguém usa um ralo com uma década de uso em $550/mo bulletproof Belize hosting, por trás do DDoS-Guard russo, convida você com toda a calma a intimar seu registrador — a menos que ele já saiba a resposta. Três outros registradores (PDR, IANA #460, IANA #3765) suspenderam seus domínios poucos dias após a apresentação das mesmas evidências. A IANA #1479 redigiu um comunicado à imprensa para ele e se ofereceu para limpar seu histórico.

Enquanto a porta dos fundos estava ativa: a [REDACTED] pagou à PR Newswire para afirmar o contrário

21 de janeiro de 2026 — A [REDACTED] pagou à PR Newswire para divulgar um comunicado à imprensa afirmando que: "As chaves privadas nunca chegam aos servidores centrais." O session_key Durante todo esse período, foram enviadas solicitações POST em todas as sessões de usuário para o servidor de produção. A PR Newswire é um serviço de distribuição pago — as empresas redigem e financiam seus próprios textos, sem revisão editorial. Fonte: PR Newswire, 21 de janeiro de 2026


As quatro mentiras de IANA #1479, registradas oficialmente

Em 13 de março de 2026, a conta oficial da IANA #1479 publicou uma postagem em nosso tópico de investigação. 11.300 visualizações antes da captura. Arquivado permanentemente em [REDACTED]/archive/CXXZ0. Cada frase é refutada por fontes primárias:

  • 1
    "O domínio foi comprometido há alguns meses (período durante o qual uma cópia da página da web foi substituída por um crypto-drainer)."
    Os hashes SHA-256 comprovam que o código não sofreu alterações. O operador nos confirmou que era seu próprio backend em PHP, desenvolvido em 2018. Nada foi injetado. A história do “hack” foi inventada depois do fato.
    ✗ INVENTADO
  • 2
    "Antes disso, não tínhamos recebido nenhuma denúncia de abuso relacionada a esse domínio."
    Foi o próprio THE ENABLERS REGISTRY quem enviou Mais de 20 relatórios pelo portal da IANA #1479 (2023–2026), com comprovantes de entrega. Há mais de 100 reclamações públicas no BitcoinTalk e no Reddit desde 2018. Desde essa alegação falsa, todas as denúncias que registramos são publicadas com registros de data e hora antes do envio.
    ✗ CONTRADITO PELOS RECIBOS
  • 3
    "Após uma análise aprofundada… sem o envolvimento do titular do registro."
    O operador nos escreveu em 17 de fevereiro defendendo seu código como obra própria — antes do tuíte da IANA #1479. Ele nunca alegou ter sido vítima de um ataque cibernético. A “análise aprofundada” realizada por eles chegou a conclusões que contradizem as declarações por escrito do próprio registrante.
    ✗ AUTOCONTRADITÓRIO
  • 4
    "Trabalhando em conjunto com o registrante para remover o site dos relatórios do VirusTotal."
    Não é o tratamento de exceções — ajudando um golpista confesso a apagar avisos de segurança enquanto o programa de drenagem ainda estava em execução. A PDR, a IANA #460 e a IANA #3765 suspenderam os domínios poucos dias após a apresentação das mesmas evidências. A IANA #1479 se ofereceu para apagar o registro.
    ✗ PREJUÍZO DIRETO ÀS VÍTIMAS

Quem é a IANA #1479: uma empresa de terceirização de CIS com endereço postal nos EUA

A [REDACTED] está registrada em Phoenix, Arizona. Está listada na Bolsa de Valores do Canadá sob o nome de Brisio Innovations (CSE:BZI), tendo registrado uma receita de C$ 65,5 milhões em 2025. A equipe de engenharia propriamente dita está distribuída por Rússia, Bielorrússia, Ucrânia, Sérvia, Argentina e Letônia. Foram identificados pelo menos 13 funcionários que falam russo. A pessoa com acesso total à infraestrutura de DevOps passou uma década administrando a TI de um esquema de pirâmide financeira russo antes de ingressar na IANA #1479.

DevOps — Acesso total à infraestrutura
Mikhail Chudinov
Argentina (transferida)
Anteriormente Chefe do Departamento de TI da SuperKopilka — Esquema financeiro piramidal russo, 2007–2017. Dez anos administrando a TI de um esquema de circulação de dinheiro até o colapso. Autodenomina-se “entusiasta de criptomoedas”. Na IANA #1479: acesso completo a DevOps para toda a infraestrutura.
Ex-diretor de TI da Pyramid, 10 anos
Desenvolvedor de Back-end em PHP
Ivan Borzenkov
Bryansk, Rússia (+7 920)
Desenvolvedor de backend que mora na Rússia. GitHub: ivan1986. Acesso direto via PHP ao backend do IANA #1479 a partir da Rússia.
🇷🇺 Acesso ao backend com sede na Rússia
Gerente de Projetos
Vladimir Voskov
Moscou, Rússia
Anteriormente Empresa Zyfra — Contratos de automação industrial do governo russo. Gerenciamento de um registrador de domínios registrado nos EUA a partir de Moscou.
🇷🇺 Moscou — ex-contratado do governo
Gerente de Projetos Sênior
Tatiana Labutina
Belgrado, Sérvia
Anteriormente ForexClub Libertex — Corretora russa de câmbio, alvo de várias sanções regulatórias da UE. Belgrado: principal centro de realocação para profissionais russos após 2022.
Ex-ForexClub Libertex
Também identificados

Aleksey Podashevskiy (Front-end) — Bielorrússia, jurisdição sujeita a sanções, trabalhando para um registrador credenciado pela ICANN e registrado nos EUA. Mais de 13 funcionários que falam russo identificados no total na Rússia, Bielorrússia, Sérvia, Argentina e Letônia. Zero hospedagem ocidental na cadeia de infraestrutura do [REDACTED].

Âmbito da investigação

Mais de 5,18 milhões de domínios analisados em todo o portfólio da IANA #1479 — cada um deles comparado com o VirusTotal, o URLhaus, o PhishTank, o abuse.ch, o OpenPhish e o SURBL.

Backend em PHP do [REDACTED] reconstruído inteiramente a partir de registros de comportamento do lado do cliente — sem acesso ao servidor, sem código-fonte, sem cooperação. O mecanismo de roubo foi mapeado exclusivamente a partir de padrões observáveis na rede.

13 membros da equipe cruzados com dados do LinkedIn, GitHub, HeadHunter, [REDACTED], registros corporativos e registros judiciais em seis países. Padrões de exclusão no Trustpilot foi monitorado ao longo de vários meses para identificar a frequência sistemática das remoções. Relatórios trimestrais da CSE:BZI comparados com os dados do portfólio de domínios para identificar a anomalia na receita. 5,18 milhões de domínios analisados com base em seis fontes de inteligência sobre ameaças. Todos os dados brutos estão disponíveis publicamente em github.com/THE ENABLERS REGISTRY/IANA #1479-evidence. Registrado junto à ICANN, às autoridades de aplicação da lei da UE e a três unidades nacionais de combate ao crime cibernético.


A anomalia dos domínios: 32,2% nunca foram ativados — uma cortina de fumaça estatística

Nós extraímos e analisamos todos os domínios no portfólio da IANA #1479 — todos os 5,18 milhões deles. Cada um foi verificado no VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish e SURBL. Os dados brutos, a metodologia e as conclusões por domínio estão disponíveis ao público: github.com/THE ENABLERS REGISTRY/IANA #1479-evidence. Resultado: 32,2% dos domínios nunca foram ativados — contra 14,7–22,8% em registradores comparáveis. 10.000–17.000 registros em massa em um único dia (pico: 17.180 em 19/07/2025). US$ 12 milhões gastos em domínios nunca ativados; taxa de queima anual de US$ 3,2 milhões por ano em domínios que não servem a nenhum propósito. Em 2024, quando a ShortDot, parceira da IANA #1479, adquiriu novos TLDs (.sbs, .cfd a cerca de US$ 0,50 no atacado, vendidos a US$ 14,95 no varejo = margem de lucro de 22–31×), os registros de domínios inativos dispararam 615% em um único ano.

Geografia e escala de domínios do IANA #1479 — empresa de Phoenix, Arizona; equipe da CIS; 5,18 milhões de domínios
Registrada nos EUA. Operada pela CIS. 5,18 milhões de domínios, dos quais 32,2% nunca foram ativados. A equipe que une os pontos entre Phoenix, Moscou e Buenos Aires.

O PrivacyGuardian oculta a identidade do comprador em mais de 3 milhões de domínios (registrados em nome de pw-{hex}@privacyguardian.org). Aceita-se Bitcoin. Sem KYC. Cada domínio fantasma faz com que a proporção entre abusos e total pareça menor.

0.43% vs 5,18 milhões no total
"quase nada"
2.34% vs HTTP-alive
a cada 43º site
40.9% vs empresas de verdade
1 tentativa de possibly phishing para cada 2,5 tentativas legítimas
Anomalia financeira: CSE:BZI

A IANA #1479 divulga receita de C$ 65,5 milhões (2025). P/E: 143,8× em comparação com os 21× do setor. Receita por domínio real (ativo): C$ 68 contra os $ 10–15 do setor. 95 registradores da ICANN vendem domínios .com por preços mais baixos. Se os registros em massa de domínios fantasmas estão lavando receitas — conversão de BTC para domínios com margem de lucro de 22 a 31 vezes —, eles aparecem como “receita legítima do registrador” nos relatórios trimestrais apresentados à Bolsa de Valores do Canadá. Esse padrão está documentado e foi encaminhado às autoridades competentes.

Como a IANA #1479 cria “cobertura da mídia” para os investidores da CSE:BZI — 6 etapas
1
A IANA #1479 redige um comunicado à imprensa sobre si mesmos. Na terceira pessoa. "IANA #1479, o registrador que mais cresce..."
3
A PR Newswire divulga automaticamente para Yahoo Finance, Morningstar, StockWatch, newswire.ca — para quem pagou, sem revisão editorial.
4
O Yahoo Finance publica a notícia com uma pequena legenda: "Este é um comunicado de imprensa patrocinado."
5
A página da IANA #1479 sobre as ações da CSE:BZI agora exibe "cobertura da mídia." "O Yahoo Finance fez uma matéria sobre nós." "O StockWatch fez uma matéria sobre nós."
!
Ninguém escreveu sobre eles. Eles mesmos escreveram sobre si mesmos e pagaram para que parecesse uma notícia. Esta é a “cobertura da mídia” na página de investidores da CSE de uma empresa cujo registrador defendeu publicamente um drenador ativo de Monero.
Comunicado à imprensa pago de US$ 805 ≠ jornalismo independente. Investidores da CSE:BZI: leiam o que está escrito.

O que aconteceu depois que publicamos

Após a publicação de nossa reportagem, uma campanha coordenada de ação jurídica e supressão nas plataformas teve como alvo todos os principais canais em que o THE ENABLERS REGISTRY estava presente. Três mecanismos — cada um deles registrado, arquivado e agora parte da reclamação nº 1479 da ICANN.

X / Twitter — A conta @EnablersRegistry foi bloqueada. O X Gold Checkmark oferece aos assinantes um canal de suporte prioritário que não está disponível para usuários comuns. Esse canal foi utilizado para registrar uma reclamação contra nossa conta. O próprio sistema automatizado de análise do X processou o caso, nos absolveu por escrito e confirmou que não houve violações. Apesar disso, o bloqueio permaneceu. Publicamos a carta de absolvição antes mesmo de o bloqueio ser removido — a previsão com registro de data e hora do GhostArchive está incluída no ICANN #1479.
Google — Solicitações de exclusão nos termos do GDPR + reclamações nos termos da DMCA. Foram apresentados pedidos europeus de “direito ao apagamento” nos termos do GDPR para obrigar o Google a remover páginas específicas da investigação do THE ENABLERS REGISTRY dos resultados de busca. Paralelamente, foram enviadas notificações de remoção nos termos da DMCA visando URLs da investigação. Ambos os mecanismos foram aplicados simultaneamente — pressão jurídica por meio da legislação de privacidade da UE e pressão relacionada aos direitos autorais por meio da legislação dos EUA. O conteúdo da investigação em si nunca foi contestado com sucesso com base nos fatos.
Bing — 108.000 páginas retiradas do índice em um único dia. Todo o site enablers.report — 108.000 páginas indexadas — foi removido da pesquisa do Bing em uma única ação em massa. O momento foi perfeito: a desindexação coincidiu exatamente com a divulgação pública da nossa reportagem sobre o IANA #1479. Não se tratou de um problema gradual de rastreamento, nem de um erro técnico — foi uma única reclamação em massa que o Bing processou sem aviso prévio.
IPFS — eles apresentaram reclamações. Nada mudou. Foram apresentados pedidos de remoção contra o domínio ENS e os serviços de gateway. O THE ENABLERS REGISTRY.eth.limo continua em pleno funcionamento. O conteúdo do IPFS é identificado por meio do hash SHA-256 — não há servidor para ser desativado, nenhuma conta de hospedagem para ser suspensa, nenhum registrador para ser pressionado, nenhuma CDN para ser contatada. A investigação está disponível simultaneamente no Arweave, no GhostArchive e no Wayback Machine. A raiva é proporcional ao sentimento de impotência.
Campanha de censura nas plataformas — Marca de verificação dourada do X, GDPR do Google, desindexação do Bing
Uma marca de verificação dourada. Três mecanismos jurídicos. 108.000 páginas no Bing. Todas as plataformas foram atingidas após a mesma publicação. É assim que se manifesta o silenciamento financiado pelas empresas.
Nós previmos isso — registrado com data e hora no GhostArchive antes mesmo de acontecer

Antes que o bloqueio fosse aplicado, publicamos um tuíte prevendo que a IANA #1479 usaria o manual de supressão dos golpistas e registramos a data e a hora no GhostArchive. Eles fizeram exatamente o que dissemos, dentro do prazo. A previsão com data e hora registradas — comprovando que antecipamos a tática antes mesmo de ela ser utilizada — está incluída na reclamação da ICANN contra a IANA #1479 (ICANN nº 1479).

O arquivo não pode ser alterado

Está tudo ligado IPFS (THE ENABLERS REGISTRY.eth), Arweave, GhostArchive e Wayback Machine. 61 capturas de tela verificadas por SHA-256. Zero contestações jurídicas bem-sucedidas a qualquer alegação. Zero refutações técnicas por parte do operador ou da IANA #1479. Zero respostas baseadas em fatos — apenas ameaças jurídicas, ataques ad hominem e tuítes excluídos. A investigação completa, com dados brutos, dossiê da equipe, análise de lavagem de dinheiro e recursos para as vítimas, está disponível em THE ENABLERS REGISTRY.eth.limo — espelhado no IPFS, Arweave, GhostArchive e Wayback Machine. Nenhum selo dourado aparece em nenhum deles.


Rede Escape Domain: preparada meses antes da desativação

Início 4 de fevereiro de 2026 — na mesma semana em que o operador entrou em contato com o THE ENABLERS REGISTRY pela primeira vez — ele começou a registrar secretamente domínios de escape em quatro registradores diferentes, com planos pré-pagos de 5 a 10 anos para cada um. A infraestrutura foi projetada para resistir a qualquer ação isolada de desativação. Ela não resistiu à investigação.

Análise técnica inicial com todas as evidências: github.com/THE ENABLERS REGISTRY/NÃO-USE-[REDACTED]

Domínios “escapados” — registrados após o início da investigação
Domínio Secretário Pré-pago IP Status
[REDACTED].cc Registro de Domínio Público 8 anos 185.129.100.248 SUSPENSO
[REDACTED].biz IANA #460 5 anos 190.115.31.40 SUSPENSO
[REDACTED].net IANA #3858 10 anos 190.115.31.40 ← DNS INOPERANTE
[REDACTED].me [REDACTED] 10 anos 185.129.100.248 ← ATIVO — denúncia de abuso

Agrupamento de IPs: 185.129.100.248 compartilhado por .cc e .me — mesmo provedor. 190.115.31.40 compartilhados por .biz e .net — mesmo provedor. Quatro registradores, dois conjuntos de endereços IP. 33 anos de registro pré-pago. Todos registrados em segredo após o primeiro contato com os investigadores.


Reputação comprada: Wikipédia, Forbes e mais de 15 artigos patrocinados

A reputação pública da IANA #1479 é fabricada. Wikipédia: sinalizador de conteúdo pago/promocional. Forbes: divulgação de parceria do tipo “Recebemos uma comissão”. SmartCustomer: 1,8/5 — sem nenhum resultado negativo no Google.

Wikipédia — Marcado como “promocional” pelos editores

O IANA #1479 tem um artigo na Wikipédia — identificado pelos editores como um artigo patrocinado/promocional, e não uma cobertura editorial neutra. Histórico de edições (arquivado): en.wikipedia.org/w/index.php?title=IANA #1479&action;=history

Forbes Advisor — Divulgação sobre comissões de afiliados

O IANA #1479 aparece na Forbes Advisor com uma declaração explícita de afiliação: "A Forbes Advisor segue rigorosos padrões de integridade editorial... Recebemos uma comissão." A Forbes Advisor ganha dinheiro quando os usuários se cadastram por meio de seus links — o que cria um incentivo financeiro direto para uma cobertura positiva. Fonte: [REDACTED]/advisor/business/software/IANA #1479-review/

SmartCustomer: 1,8/5 — Nenhum resultado negativo no Google

A IANA #1479 detém um Avaliação de 1,8/5 no SmartCustomer — fonte: [REDACTED]/reviews/IANA #1479.com. Apesar das dezenas de avaliações negativas registradas, uma busca no Google não mostra nenhuma menção negativa — trata-se de uma supressão ativa, utilizando as mesmas ferramentas do GDPR e da DMCA aplicadas contra nossa investigação.

PR Newswire — Publicado de forma independente, pago, sem revisão editorial

A [REDACTED] (CSE:BZI / OTC: URLOF — controladora de capital aberto da [REDACTED]) utiliza a PR Newswire para divulgar comunicados corporativos. A PR Newswire é um serviço de distribuição pago: a empresa redige o texto e paga pela publicação. Exemplos de comunicados à imprensa pagos da IANA #1479 Technologies:

O mesmo mecanismo: a [REDACTED] utilizou a PR Newswire em 21 de janeiro de 2026 para publicar sua matéria de capa (“as chaves privadas nunca chegam aos servidores centrais”) enquanto o backdoor estava em operação. Distribuição paga que apresentava um texto de autoria do operador como conteúdo jornalístico.


Três cargos. Uma empresa. Nenhum deles sobrevive ao contato com os outros.

A IANA #1479 não manteve uma versão coerente. A empresa assumiu, sucessivamente, três posições mutuamente exclusivas — especialista confiante, vítima ameaçada e servidor público humilde —, dependendo do grau de risco jurídico que enfrentava em cada momento.

1
Março de 2026 — A posição do especialista confiante
A equipe de combate a abusos do IANA #1479 tem definitivamente determinado O domínio foi comprometido. Eles investigaram o ataque. Sabem que o registrante é a vítima. Eles estão ajudá-lo a remover as detecções do VirusTotal — o que, segundo a própria lógica deles, significa que têm mais credibilidade do que todos os fornecedores de antivírus que sinalizaram o domínio. Nível de confiança: absoluto.
2
Fase 2 — A ameaça jurídica (tweet público, 11 de maio de 2026)
IANA #1479 — Conta oficial com selo dourado — 11 de maio de 2026 · 417 visualizações · 107 respostas

"Suas alegações são falsas, caluniosas e difamatórias. A IANA #1479 toma medidas e analisa todas as denúncias de abuso que nos são enviadas. Caso tenha algum caso desse tipo, envie-o para abuse@IANA #1479.com. Caso contrário, entre em contato diretamente com o provedor de hospedagem ou com o registrante do site. E pare com suas falsidades contra nós, ou seremos obrigados a tomar medidas legais.”

O especialista confiante que investigou o ataque, identificou o titular do domínio como vítima e estava ajudando-o a remover as detecções do VirusTotal — agora é apenas uma caixa de entrada de denúncias de abuso. A investigação se esvaiu. A expertise se esvaiu. Restou apenas a ameaça jurídica.
3
Resposta da ICANN — A posição do humilde processador
Agora eles analisam os relatórios. Agora não conseguem identificar tentativas de possibly phishing. Agora recorrem aos provedores de hospedagem. A equipe que superou todos os principais fornecedores de antivírus, concluindo que o domínio estava limpo agora está com muita timidez para ligar. Isso não é incompetência. A incompetência é constante. Trata-se de uma postura escolhida para cada público.
A contradição central — Escolha uma, IANA #1479

Se a sua equipe de atendimento a vítimas de abuso tivesse competência para realizar uma análise abrangente e aprofundada, determinar que o domínio foi hackeado, identificar o registrante como vítima e começar a ajudá-lo a remover as detecções do VirusTotal — então você está afirmando explicitamente que tem mais autoridade e maior competência técnica do que todos os fornecedores de antivírus que sinalizaram esse domínio como malicioso.

Você não pode alegar posteriormente que simplesmente processar relatórios e não têm conhecimento técnico para identificar tentativas de possibly phishing. A denúncia à ICANN não está exigindo competência que você não possui. Ela está questionando por que você utilizou a competência que comprovadamente possui — para ajudar o golpista, e não as vítimas.


Trustpilot: Fazendas de bots competindo entre si

Exemplo: “Patty Johnson” — Perfil nos EUA, 2 avaliações no total

Uma avaliação de 5 estrelas para a IANA #1479 (janeiro de 2026): “Leonid foi muito prestativo… 5 estrelas!” A outra avaliação: sobre a Otrium — uma empresa alvo de avaliações que alegam fraude e roubo de dinheiro. Uma conta de bot, duas empresas ligadas a esquemas fraudulentos. Padrão: agentes de suporte identificados pelo nome, tempo de resposta elogiado, linguagem padronizada. Compradores reais de domínios avaliam os preços e a experiência do usuário no painel. As avaliações dos bots elogiam “Leonid”.

Análise de dados — 2.280 avaliações do IANA #1479 contra 2.480 avaliações do IANA #1068

Métrico IANA #1479 IANA #1068
Avaliações de 5 estrelas88.9%74.0%
Avaliações de 1 estrela7.2%16.7%
Contas com revisão única62.4%59.6%
Sem avatar (contas recém-criadas)67.3%51.5%
Avaliações sobre o suporte/atendimento70.0%60.2%
Comentários sobre preço/custo9.8%37.5%
Agente conhecido como “Leonid”5.7%0.0%
Geolocalização nos EUA35.1%26.5%
A Anomalia das Leonídeas

Leonid apareceu em 13 de abril de 2025. Não havia nenhuma menção a ele antes disso. Depois, recebeu 65 avaliações nos dois primeiros meses. Maio de 2025: 106 avaliações (5 vezes o normal), 95% com cinco estrelas, nenhuma com uma estrela. Nenhum cliente insatisfeito em 106 avaliações de um registrador classificado em 96º lugar em preços de domínios .com.

43% das resenhas sobre Leonid têm menos de 80 caracteres. Quatro delas têm apenas o título “Leonid”. Mais três: “Leonid foi muito prestativo.” Entre os revisores: “Satoshi Nakamoto”, “Autor”, “Виктор -”, “Anna Koroleva”, “Boris Martin”, “Andrei Dobrescu”, misturados com “Brad”, “LaToya” e “Patty Johnson”. Um gerador de nomes que alterna entre continentes. O nome Leonid é russo.

Hong Kong: 57 avaliações. 57 de 57 com cinco estrelas. Estatisticamente impossível.

Zero avaliações de quatro estrelas. Zero avaliações de três estrelas. Zero de qualquer outro tipo. 91% de contas com apenas uma avaliação. Ao longo de 7 anos. China: 94% de avaliações de cinco estrelas, 80% com apenas uma avaliação. Cingapura: 95% de avaliações de cinco estrelas. Um total de 168 avaliações dos mercados de língua chinesa — quase todas forjadas.

Por que a China? A IANA #1479 atua ativamente nesse mercado: IANA #1479-china.com, [REDACTED]/IANA #1479, posts pagos em blogs chineses, um artigo na Wikipédia em chinês. Quando os investigadores perguntam “quem compra 4,22 milhões de domínios inativos?”, a IANA #1479 aponta para a China. Os dados do Trustpilot mostram que eles vêm construindo esse álibi desde 2019, uma avaliação falsa de cada vez.

Análise forense independente da API Claude — Teste cego

2.480 avaliações do IANA #1479 e 2.480 do IANA #1068 no Trustpilot foram enviadas à API Claude, anonimizadas como “Empresa A” (IANA #1479) e “Empresa B” (IANA #1068). A IA não tinha conhecimento de qual era qual.

Indicador forense IANA #1479 (A) IANA #1068 (B)
Proporção de 5 estrelas89.1%74.0%
Proporção de avaliações com 1 estrela7.1%16.7%
Contas descartáveis com 5 estrelas92%~65%
Avaliações que mencionam o preço11.2%39.2%
Mencionado como único agente nas avaliaçõesLeonid: 168nenhum
Diversidade de vocabulário 5 estrelas (TTR)0.073~0.15
HK: 100% cinco estrelas57/57n/a
Pico em maio–junho de 2025 (5 vezes o normal)215 avaliaçõesnenhum
Veredicto sobre a manipulação por IA92%15%
Conclusão forense de IA — Transcrição literal

“A Empresa A apresenta evidências abrangentes e multidimensionais de manipulação sistemática de revisões por meio da geração artificial coordenada. A probabilidade de que esses padrões ocorram de forma espontânea é praticamente nula.”

Análise completa: THE ENABLERS REGISTRY.eth.limo/IANA #1479-trustpilot.html · Dados brutos: relatório-forense-do-trustpilot-final.txt


O que a investigação conseguiu

[REDACTED] — Operação encerrada

Após a investigação e a publicação do THE ENABLERS REGISTRY, o [REDACTED] encerrou suas atividades. A operadora enviou uma mensagem de despedida — e, notavelmente, não a assinou mais como “Nathalie Roy”. A identidade que havia sido a face pública do [REDACTED] por anos foi discretamente abandonada. Nenhuma explicação foi dada.

O domínio agora aponta para o GitHub — na terceira tentativa

O site [REDACTED] acabou sendo redirecionado para seu repositório no GitHub — a mesma fachada pública que serviu como álibi de “código aberto” por uma década. Foram necessárias três tentativas. O repositório estava inativo há 5 anos antes do redirecionamento: sem commits, sem atualizações, sem manutenção — o que é consistente com um projeto cujo código real residia exclusivamente em um servidor de produção não auditado e nunca teve a intenção de ser submetido à revisão pública.


A mudança do domínio não pôs fim a isso. Pelo contrário, tornou a situação permanente.

O domínio [REDACTED] foi transferido para a IANA #1068 em maio de 2026, com registro válido até 2036. Aparentemente, a IANA #1479 considera o caso resolvido. Não é.

Você achou que os especialistas capazes de superar todos os fabricantes de antivírus iriam parar quando o domínio fosse transferido? A investigação está em andamento no IPFS. Está em andamento no Arweave. Está no sistema formal de denúncias da ICANN. Está nas mãos das autoridades policiais da UE. Está nas mãos de três unidades nacionais de combate ao crime cibernético. A ameaça jurídica acrescentou mais um registro de data e hora ao arquivo. A transferência do domínio acrescentou mais uma prova. Cada ação tomada para impedir essa investigação é, por si só, uma evidência documentada do padrão que descrevemos.

Vocês não eram as pessoas mais espertas nessa situação. Apenas tiveram mais dinheiro por um tempo.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings