Fuente: Chainalysis; Compilador: Deng Tong, Golden Finance;

Este artículo es la Parte 2 del Informe de mitad de año sobre criptocrimen de 2024 publicado por Chainalysis. Para ver la primera parte, haga clic en "Informe de Chainalysis: Por qué los fondos robados y el ransomware continúan aumentando".

resumen

Red CSAM

  • Los informes de sitios chinos de CSAM han aumentado desde finales de 2023.

  • La mayoría de los poseedores de billeteras compran acceso por un mes o más, con un máximo de aproximadamente 20.000 días (equivalente a más de 54 años) de acceso casi permanente.

  • De acuerdo con nuestros hallazgos anteriores, los proveedores de CSAM continúan utilizando canjeadores instantáneos al retirar dinero.

Estafa

  • Los estafadores están adaptando sus estrategias dentro y fuera de la cadena para realizar estafas más breves pero más dinámicas y rentables.

  • Las estafas de matanza de cerdos son el tipo de estafa más grande que genera ingresos en lo que va del año. Una red de fraude de Myanmar descubierta por primera vez en la cadena en 2022 ha recaudado al menos 101,22 millones de dólares en lo que va de año.

  • La mayoría de los estafadores continúan alejándose de los esquemas Ponzi amplios hacia actividades más específicas, como estafas de matanza de cerdos, estafas de oficinas domésticas y estafas de robo de Drainer (Nota de Golden Finance: Drainer es un tipo de malware diseñado específicamente para vaciar ilegalmente o El software "drena" criptomonedas billeteras y sus desarrolladores lo ofrecen en alquiler, lo que significa que cualquiera puede pagar para usar la herramienta maliciosa o abordar el envenenamiento.

Garantizar

  • Hemos observado un mayor uso en los mercados de habla china y en las redes de lavado de dinero. Uno de esos mercados es Huione Guarantee, vinculado al Grupo Huione, un conglomerado camboyano que conecta a compradores y vendedores que a menudo hacen poco por ocultar la naturaleza ilegal de sus transacciones.

  • Huione Guarantee ha procesado más de 49 mil millones de dólares en transacciones de criptomonedas en lo que va de 2021, mucho más de lo informado anteriormente.

  • Las conexiones en cadena de Huione incluyen matanza de cerdos y otras estafas, direcciones reportadas con fondos robados, el intercambio ruso Garantex aprobado por la OFAC, tiendas de estafas, CSAM, sitios de apuestas y casinos chinos, y más.

En la primera parte de nuestra actualización sobre delitos de mitad de año, analizamos las tendencias relacionadas con el ransomware y los fondos robados. Si bien la actividad ilícita total en cadena ha disminuido casi un 20% en lo que va del año (YTD), las entradas de fondos robados casi se han duplicado, y los pagos anuales de ransomware van camino de ser los más altos jamás registrados en un solo año.

En la segunda mitad de nuestra actualización, examinaremos la actividad en cadena relacionada con la distribución y el consumo de material de abuso sexual infantil (CSAM), incluido un análisis en cadena de los pagos recibidos por dos proveedores de CSAM y lo que indican estas cantidades.

A continuación, veremos las últimas tendencias en estafas con criptomonedas. La actividad dentro y fuera de la cadena sugiere que los estafadores están adaptando sus estrategias y lanzando campañas más cortas pero más rentables y regenerativas. Analizamos un sindicato de estafas digno de mención (el sindicato de estafadores con mayores ganancias en 2024 hasta el momento) que destaca la tendencia de los últimos años a alejarse de los elaborados esquemas Ponzi y hacia actividades más específicas, como la matanza de cerdos.

La razón por la que "Pig Killing Plate" se llama "Pig Killing Plate" es porque los delincuentes "engordarán" a las víctimas para obtener la mayor ganancia posible. Esto a menudo implica iniciar una relación romántica con la víctima a través de mensajes de texto o una aplicación de citas hasta que presionan a la víctima para que envíe dinero a una oportunidad de inversión falsa. Es escalofriante que los estafadores al otro lado de estas conversaciones sean a menudo personas que han sido secuestradas, traficadas al sudeste asiático y obligadas a trabajar en campos de trabajo dentro de grandes complejos para perpetrar la estafa del plato para matar cerdos.

Finalmente, analizamos Huione Guarantee, un mercado de 49 mil millones de dólares que recientemente ha sido expuesto como facilitador del cibercrimen, incluidos CSAM y Killer Plate. Empecemos.

CSAM de China muestra signos de crecimiento

Los informes sobre proveedores chinos de CSAM han aumentado desde finales del año pasado. El siguiente gráfico muestra la proporción de toda la actividad CSAM entre proveedores denominados en RMB frente a otras monedas. Estos sitios web proporcionan tipos de cambio de yuanes para pagos con criptomonedas. Los proveedores chinos han representado una mayor proporción de las entradas globales de CSAM desde finales de 2023, alcanzando un máximo del 38,8% de las entradas totales en lo que va del primer trimestre de este año.

ZnWMdCvnVoPbyV2dC1mJZg0D7fAguyOvxxxESYQT.png

Según la Internet Watch Foundation (IWF), una organización dedicada a prevenir el abuso sexual infantil en línea, es difícil determinar por qué estas redes han crecido en China. "Estamos viendo un aumento en los informes de este tipo de sitios", dijo un portavoz de la IWF. "Basándonos únicamente en los canales de denuncia, es difícil decir definitivamente si hay una tendencia emergente o si estos sitios han existido durante algún tiempo pero no fueron reportados a las autoridades, mientras que los sitios en sí pueden haber existido durante algún tiempo sin la información". El público lo notó, pero la infraestructura en cadena para estos servicios es relativamente nueva: la billetera china más antigua data del 18 de julio de 2023 y la mayoría de las demás direcciones datan de finales de 2023. Al menos en términos de la dimensión en cadena, el marco temporal de estas billeteras sugiere que estos servicios están surgiendo, representan una tendencia real y pueden no ser simplemente el producto de nuevos canales de información.

Inspección en cadena de proveedores chinos de CSAM

No podemos cuantificar el daño global del abuso sexual infantil más allá de las cifras. Dado su potencial de redistribución, pequeñas compras de decenas de dólares (como se muestra en el cuadro de Investigaciones de Chainalysis a continuación) aún pueden conducir a la explotación infantil a largo plazo.

eubdusn4vVruelP2XS4hgGTZEkqTCE6TNsZVM4pD.png

La red que se muestra arriba incluye dos proveedores sospechosos de CSAM que venden materiales en yuanes chinos. Las transferencias desde billeteras personales a proveedores indican qué tipo de acceso están comprando los compradores de CSAM en comparación con las tarifas de suscripción en el sitio web del proveedor de CSAM. Como se mencionó anteriormente, los compradores pueden obtener acceso por un día a los materiales CSAM de estos proveedores por solo $5. También pueden comprar acceso casi permanente (aproximadamente 20.000 días, o más de 54 años) por sólo 41 dólares. En este ejemplo, la mayoría de los poseedores de billeteras compran acceso por un mes o más. En cuanto a los proveedores de CSAM, utilizan canjes instantáneos al retirar dinero, de acuerdo con nuestro informe de principios de este año.

Los estafadores utilizan estrategias dentro y fuera de la cadena; persisten las estafas a gran escala para matar cerdos

Las estafas relacionadas con las criptomonedas aumentarán en 2024 a medida que fluyan miles de millones de dólares, lo que representa una de las mayores áreas de actividad ilegal en lo que va del año. La característica más sorprendente del panorama de estafas de este año es la rápida evolución de las huellas de los estafadores en la cadena (las billeteras y direcciones criptográficas utilizadas para cobrar los pagos de las víctimas de la estafa), así como las herramientas fuera de la cadena que utilizan para manipular a las víctimas, como nombres de dominio y cuenta de redes sociales. Esta actividad revela cómo los estafadores se están adaptando dentro y fuera de la cadena para realizar estafas más dañinas y de menor duración. Para evitar la detección y la interrupción, muchas de estas operaciones recrean o mantienen muchas campañas simultáneas más pequeñas para mantener operativo el sindicato de fraude organizado más grande.

Una característica notable del panorama de estafas de 2024 es cuánto del total de entradas de estafas en lo que va del año se ha destinado a billeteras que han estado activas este año, lo que indica un aumento de nuevas estafas. El siguiente cuadro muestra la participación de la billetera que apareció por primera vez en los ingresos totales de la estafa durante los años en los que la estafa recibió criptomonedas. En particular, el 43% de las entradas de estafas en lo que va del año se han destinado a carteras que han estado activas este año. Esta tendencia es significativa porque en el siguiente año más alto, 2022, solo el 29,9% de las entradas totales hasta la fecha se dirigieron a billeteras activas ese año.

kxbbDjjER70DRXYWYaariHZawYVxZt1Z8JQzd2iU.png

Esta tendencia se refleja bien en la vida media significativamente más corta de las estafas, como se muestra en el cuadro siguiente. Trazamos esta tendencia contando el número de días entre la primera y la última vez que se observó actividad fraudulenta en la cadena. El número promedio de días que las estafas han estado activas disminuyó significativamente de 2020 a 2024 hasta la fecha, y las estafas que comenzaron en 2020 tuvieron 271 días activas en comparación con los 42 días de las estafas que comenzaron en 2024. Esta macrotendencia es consistente con el hecho de que los estafadores continúan alejándose de elaborados esquemas Ponzi y adoptando campañas más específicas, como la matanza de cerdos o el envenenamiento de direcciones, en parte debido a mayores esfuerzos de aplicación de la ley por parte de los emisores de monedas estables para defraudar a las direcciones incluidas en la lista negra.

wEVA362hiI1JjEAqs0pTKRN0F9nwf1ZLvWx5ewJG.jpeg

Aunque los estafadores tienden a utilizar nuevas direcciones en cadena, aproximadamente el 57% de las entradas de estafas en lo que va de 2024 todavía van a carteras que estaban activas antes de 2024. Una de las billeteras individuales más grandes activas este año consolidó fondos de muchas de las estafas de matanza de cerdos más notorias de Myanmar, KK Park. La billetera se descubrió por primera vez en la cadena en 2022, y las estafas que utilizan la dirección continúan generando ingresos significativos, generando más de $100 millones en lo que va del año. Los fondos pueden provenir de víctimas de estafas o de pagos de rescate presentados por familias que intentan rescatar a familiares víctimas de trata.

Además, vale la pena señalar que los estafadores de KK Park y lugares similares son muy activos en la adaptación de su presencia de estafas fuera de la cadena, y a menudo compran perfiles completos de Facebook, Tinder y Match.com de servicios chinos para usarlos en sus campañas. El siguiente cuadro muestra el flujo de valor desde la billetera fraudulenta de KK Park hasta las tiendas fraudulentas que venden productos ilegales, que los estafadores explotaron con efectos devastadores.

TZ1S0lmXnnK0wbEh3zBPQgaPO2L8CsX4Ciinmp6N.png

Una captura de pantalla del sitio web de la tienda fraudulenta también muestra los precios de las cuentas de redes sociales que vende.

9cGo6ldaagjJ6o7KpyA15tNibAaI74fX0t3ZQErr.png

Vemos aún más evidencia que respalda esta tendencia al observar las entradas totales a servicios que venden cuentas de redes sociales como esta tienda fraudulenta. El siguiente gráfico muestra que las criptomonedas enviadas a estos servicios han crecido de manera constante durante los últimos dos años, alcanzando un total de 178.000 depósitos entre 2022 y 2024, por un total de aproximadamente 10,5 millones de dólares. Los perfiles de redes sociales en estos sitios tienen un precio de entre $5 y $20 por cuenta, lo que significa que los estafadores pueden haber comprado entre 525.000 y 2,1 millones de perfiles de redes sociales que pueden usarse para atacar a las víctimas.

yz1dBrZRR2dMvrGZMANB33aAVWZ9Lfpi5UscFVXp.png

Además de enviar fondos a servicios que brindan herramientas de estafa, los estafadores en última instancia necesitan enviar sus ganancias mal habidas a servicios para que los laven y los conviertan en moneda fiduciaria, principalmente a través de intercambios centralizados. Este año también hemos visto un aumento en el uso de mercados en idioma chino y redes de lavado de dinero, incluida Huione Guarantee.

Garantía Huione: un mercado en línea de 49 mil millones de dólares

Huione Guarantee, un mercado en línea vinculado al conglomerado camboyano Huione Group, fue expuesto recientemente como un actor importante en el delito cibernético. Nuestra cobertura del servicio es mucho mayor de lo que se informó anteriormente: descubrimos que la plataforma ha procesado más de $49 mil millones en transacciones de criptomonedas desde 2021.

Históricamente, Huione Group brindaba servicios legítimos, operaba como un sistema de remesas para transferencias al extranjero y brindaba servicios de seguros. La empresa alguna vez estuvo involucrada en el negocio de viajes de lujo. Sin embargo, su plataforma Huione Guarantee parece ser muy utilizada para actividades criptográficas ilegales, incluida la carnicería, el fraude de inversiones y el lavado de dinero. Huione Guarantee se ha convertido en un ecosistema grande y diverso que respalda el lucrativo negocio de bandejas de carnicería que continúa operando en el sudeste asiático.

Huione Guarantee es un mercado peer-to-peer (P2P) que conecta a compradores y vendedores, y a menudo facilita estas transacciones a través de Telegram, que proporciona un punto de contacto. En total, hay miles de grupos de Telegram que anuncian o publican mensajes en Huione Guarantee, cada uno dirigido por un comerciante o afiliado independiente diferente, muchos de los cuales pueden tener vínculos con empresas criminales que operan en el área.

Huione Guarantee afirma ser una parte neutral en estas transacciones; supuestamente opera como una plataforma comercial, cobrando una tarifa por cada operación ejecutada pero sin verificar la legitimidad de los bienes y servicios enumerados.

W4rxLKzIu5IXTZ8zUt5S9G9HmfLlvrnV0amw7RsI.png

Nota: Esta imagen está traducida automáticamente de la versión original china.

Muchos comerciantes de Huione Guarantee hacen poco para ocultar sus actividades y, en cambio, utilizan palabras en clave crípticas para anunciar el tipo de servicios que buscan. Por ejemplo, algunos anuncios muestran a los usuarios buscando "convoyes", lo que significa que están buscando mulas de dinero para mover dinero a través de múltiples puntos y niveles, enmascarando así el origen y el destino del dinero.

Otras publicaciones promocionaron lo siguiente:

  • La tecnología de reconocimiento facial o modificación facial está disponible en la sección "Desarrollar" de la plataforma.

  • Planificación de un plan de matanza de cerdos y un esquema Ponzi.

  • Proporciona pasaportes y visas globales y supuestamente ayuda con las solicitudes.

6IvgUNV60yiqlvLYoOVCez9OhdqjFCkizloOpa66.png

Nota: Esta imagen está traducida automáticamente. El texto original es "Shazhu", que significa "matar cerdos".

t9BlFOQROGKCLdAR8iLfS2Zf22i9TqiPi3VhvHSl.png

Nota: Esta imagen está traducida automáticamente de la versión original china.

Actividades en cadena de Huione Guarantee

El análisis en cadena muestra que Huione Pay está activo en Ethereum, con entradas totales que superan los 1.900 millones de dólares, y en TRON con más de 47.000 millones de dólares en entradas. En la imagen a continuación, vemos un ejemplo de esta actividad, con transferencias entre Huione Pay y varias contrapartes ilegales y de alto riesgo, destacando la extensa red de facilitadores de Huione. La red P2P que Huione parece apoyar fuera de la cadena también está mapeada en la cadena; Huione ha recibido y enviado fondos a varios tipos de contrapartes, incluidas estafas, direcciones reportadas como fondos robados, el intercambio ruso Garantex aprobado por la OFAC, tiendas de fraude, CSAM. , sitios de juegos de azar y casinos chinos, etc.

JCzfmOP3z4zPlTj1JF2pWeNdDx59fiQgsFRoRKym.png

Huione Guarantee también procesó transacciones de billetera supuestamente vinculadas a grandes grupos criminales como KK Park. Además, Chainalysis descubrió carteras vinculadas a Fully Light Group y Warner International, dos entidades dirigidas por la familia Kokang de Myanmar, que supuestamente están vinculadas a actividades ilegales como garitos de juego, redes financieras clandestinas y esquemas de lavado de dinero.

Ow6Bhg6MqioqSZRL43qBzRvsmTA0WZXv0ZbUz8Cy.png

El uso de la Garantía Huione por parte de estas redes demuestra que el servicio facilita las actividades no sólo de los propios estafadores y estafadores, sino también de las redes de delincuentes detrás de ellos.

Huione Guarantee se destaca porque sirve como punto focal para diferentes tipos de ciberdelincuentes, incluidos estafadores y redes CSAM. Si bien puede ser el más grande, no es el único servicio de este tipo. Otras redes aprovechan de manera similar Telegram para facilitar transacciones P2P, a menudo para el intercambio de bienes y servicios ilegales. Chainalysis está trabajando en estrecha colaboración con nuestros socios para monitorear de cerca este ecosistema y descubrir esta actividad.