Source : Chainalysis ; Compilateur : Deng Tong, Golden Finance
Cet article constitue la deuxième partie du rapport de mi-année 2024 sur la crypto-criminalité publié par Chainalysis. Pour afficher la première partie, cliquez sur « Rapport Chainalysis : Pourquoi les fonds volés et les ransomwares continuent d'augmenter ».
résumé
Réseau CSAM
Les signalements provenant des sites CSAM chinois ont augmenté depuis fin 2023.
La plupart des détenteurs de portefeuilles achètent un accès pour un mois ou plus, avec un maximum d'environ 20 000 jours (équivalent à plus de 54 ans) d'accès quasi permanent.
Conformément à nos conclusions précédentes, les fournisseurs CSAM continuent d’utiliser des échangeurs instantanés lors des retraits.
Arnaque
Les fraudeurs adaptent leurs stratégies en chaîne et hors chaîne pour mener des escroqueries plus courtes mais plus dynamiques et rentables.
Les escroqueries visant à tuer des porcs constituent le type d'escroquerie génératrice de revenus le plus important jusqu'à présent cette année. Un réseau frauduleux du Myanmar découvert pour la première fois sur la chaîne en 2022 a rapporté au moins 101,22 millions de dollars jusqu'à présent cette année.
La plupart des escrocs continuent de s'éloigner des vastes stratagèmes de Ponzi pour se tourner vers des activités plus ciblées telles que les escroqueries liées à l'abattage de porcs, les escroqueries au bureau à domicile, les escroqueries liées au vol Drainer (Golden Finance Note : Drainer est un type de malware spécialement conçu pour vider illégalement ou pour « vider » les portefeuilles de crypto-monnaie. , ce logiciel est proposé à la location par ses développeurs, ce qui signifie que n'importe qui peut payer pour utiliser l'outil malveillant ou résoudre un empoisonnement.
Garantie
Nous avons observé une utilisation accrue sur les marchés chinois et dans les réseaux de blanchiment d’argent. L'un de ces marchés est Huione Garantie, qui est lié au groupe Huione, un conglomérat cambodgien qui met en relation acheteurs et vendeurs qui ne font souvent pas grand-chose pour cacher la nature illégale de leurs transactions.
Huione Garantie a traité plus de 49 milliards de dollars de transactions en crypto-monnaie jusqu'à présent en 2021, bien plus que ce qui avait été annoncé précédemment.
Les connexions en chaîne de Huione incluent la boucherie de porcs et d’autres escroqueries, les adresses signalées comme ayant volé des fonds, l’échange russe Garantex approuvé par l’OFAC, les magasins d’arnaques, le CSAM, les sites de jeux et casinos chinois, et plus encore.
Dans la première partie de notre mise à jour de mi-année sur la criminalité, nous avons discuté des tendances liées aux ransomwares et aux fonds volés. Alors que l’activité illicite totale en chaîne a diminué de près de 20 % depuis le début de l’année (YTD), les entrées de fonds volés ont presque doublé, les paiements annuels de ransomware étant en passe d’être les plus élevés jamais enregistrés en une seule année.
Dans la seconde moitié de notre mise à jour, nous examinerons l'activité en chaîne liée à la distribution et à la consommation de matériel pédopornographique (CSAM), y compris une analyse en chaîne des paiements reçus par deux fournisseurs de CSAM et ce que ces montants indiquent.
Nous examinerons ensuite les dernières tendances en matière d’escroqueries aux crypto-monnaies. L’activité en chaîne et hors chaîne suggère que les escrocs adaptent leurs tactiques et lancent des campagnes plus courtes mais plus rentables et régénératrices. Nous discutons d’un syndicat d’escroquerie remarquable – le syndicat le plus rentable de 2024 jusqu’à présent – qui met en évidence la tendance de ces dernières années à s’éloigner des stratagèmes de Ponzi élaborés et à se tourner vers des activités plus ciblées telles que la boucherie de porcs.
La raison pour laquelle « Pig Killing Plate » est appelée « Pig Killing Plate » est que les criminels « engraisseront » les victimes pour obtenir le plus de profit possible. Cela implique souvent d’initier une relation amoureuse avec la victime via un SMS ou une application de rencontres jusqu’à ce qu’elle fasse pression sur la victime pour qu’elle envoie de l’argent à une fausse opportunité d’investissement. Il est effrayant de constater que les escrocs à l’autre bout de ces conversations sont souvent des personnes qui ont été kidnappées, trafiquées vers l’Asie du Sud-Est et forcées de travailler dans des camps de travail au sein de grands complexes pour perpétrer l’escroquerie des assiettes de porcs.
Enfin, nous examinons Huione Garantie, un marché de 49 milliards de dollars qui a récemment été révélé comme facilitant la cybercriminalité, notamment CSAM et Killer Plate. Commençons.
Le CSAM chinois montre des signes de croissance
Les signalements de fournisseurs chinois de CSAM ont augmenté depuis la fin de l’année dernière. Le graphique ci-dessous montre la proportion de toutes les activités CSAM parmi les fournisseurs libellées en RMB par rapport aux autres devises. Ces sites Web fournissent des taux de change du yuan pour les paiements en crypto-monnaie. Les fournisseurs chinois représentent une part plus importante des flux mondiaux de CSAM depuis fin 2023, culminant à 38,8 % des flux totaux jusqu’à présent au premier trimestre de cette année.
Selon l'Internet Watch Foundation (IWF), une organisation dédiée à la prévention des abus sexuels sur enfants en ligne, il est difficile de déterminer pourquoi ces réseaux se sont développés en Chine. "Nous constatons une augmentation des signalements de ce type de sites", a déclaré un porte-parole de l'IWF. "En se basant uniquement sur les canaux de signalement, il est difficile de dire avec certitude s'il existe une tendance émergente ou si ces sites existent depuis un certain temps mais n'ont pas été signalés aux autorités. Alors que les sites eux-mêmes pourraient exister depuis un certain temps sans que cela soit nécessaire." public, mais l'infrastructure en chaîne pour ces services est relativement nouvelle, le plus ancien portefeuille chinois remontant au 18 juillet 2023 et la plupart des autres adresses datant de fin 2023. Au moins en ce qui concerne la dimension on-chain, la chronologie de ces portefeuilles suggère que ces services émergent, représentent une véritable tendance et ne sont peut-être pas simplement le produit de nouveaux canaux de reporting.
Inspection en chaîne des fournisseurs chinois de CSAM
Nous ne pouvons pas quantifier les dommages mondiaux causés par les abus sexuels sur les enfants au-delà des chiffres. Compte tenu de leur potentiel de redistribution, de petits achats de plusieurs dizaines de dollars (comme le montre le tableau Chainalysis Investigations ci-dessous) peuvent toujours conduire à une exploitation à long terme des enfants.
Le réseau illustré ci-dessus comprend deux fournisseurs CSAM présumés qui vendent des matériaux en yuans chinois. Les transferts des portefeuilles personnels vers les fournisseurs indiquent le type d’accès que les acheteurs de CSAM achètent par rapport aux tarifs d’abonnement sur le site Web du fournisseur de CSAM. Comme mentionné précédemment, les acheteurs peuvent accéder pendant une journée aux documents CSAM de ces fournisseurs pour seulement 5 $. Ils peuvent également acheter un accès quasi permanent (environ 20 000 jours, soit plus de 54 ans) pour seulement 41 $. Dans cet exemple, la plupart des détenteurs de portefeuille achètent un accès pour un mois ou plus. Quant aux fournisseurs CSAM, ils utilisent des échangeurs instantanés lors de l'encaissement, conformément à nos rapports du début de cette année.
Les escrocs utilisent des stratégies en chaîne et hors chaîne ; les escroqueries à grande échelle visant à tuer des porcs persistent
Les escroqueries liées aux crypto-monnaies sont en augmentation en 2024 avec l’afflux de milliards de dollars, ce qui représente l’un des plus grands domaines d’activités illégales jusqu’à présent cette année. La caractéristique la plus frappante du paysage des escroqueries de cette année est l'évolution rapide des empreintes en chaîne des fraudeurs (les portefeuilles cryptographiques et les adresses utilisées pour collecter les paiements des victimes d'escroquerie) ainsi que les outils hors chaîne qu'ils utilisent pour manipuler les victimes, tels que noms de domaine et compte de médias sociaux. Cette activité révèle comment les fraudeurs s'adaptent en chaîne et hors chaîne pour mener des escroqueries de plus courte durée et plus dommageables. Pour éviter toute détection et toute perturbation, bon nombre de ces opérations recréent ou maintiennent de nombreuses campagnes simultanées plus petites afin de maintenir le fonctionnement du syndicat de fraude organisé plus vaste.
Une caractéristique notable du paysage des escroqueries de 2024 est la part du total des flux d’escroqueries jusqu’à présent cette année qui est allée aux portefeuilles qui ont été actifs cette année, ce qui indique une augmentation des nouvelles escroqueries. Le graphique ci-dessous montre la part du premier portefeuille dans les revenus totaux des escroqueries pour les années au cours desquelles l’escroquerie a reçu de la cryptomonnaie. Notamment, 43 % des flux d’arnaques depuis le début de l’année ont été dirigés vers des portefeuilles qui ont été actifs cette année. Cette tendance est significative car au cours de la deuxième année la plus élevée, 2022, seulement 29,9 % des entrées totales depuis le début de l’année ont été dirigées vers des portefeuilles actifs cette année-là.
Cette tendance se reflète clairement dans la durée de vie moyenne nettement plus courte des escroqueries, comme le montre le graphique ci-dessous. Nous avons tracé cette tendance en comptant le nombre de jours entre la première et la dernière fois que l'activité frauduleuse a été observée sur la chaîne. Le nombre moyen de jours d’activité des escroqueries a considérablement diminué entre 2020 et 2024, les escroqueries commençant en 2020 ayant 271 jours d’activité, contre 42 jours pour les escroqueries commençant en 2024. Cette tendance macro est cohérente avec le fait que les fraudeurs continuent de s'éloigner des stratagèmes de Ponzi élaborés et de se tourner vers des campagnes plus ciblées telles que l'abattage de porcs ou l'empoisonnement d'adresses, en partie à cause des efforts accrus de répression des émetteurs de pièces stables pour frauder les adresses sur liste noire.
Bien que les fraudeurs aient tendance à utiliser de nouvelles adresses en chaîne, environ 57 % des flux frauduleux jusqu’à présent en 2024 sont toujours dirigés vers des portefeuilles qui étaient actifs avant 2024. L’un des plus grands portefeuilles actifs cette année a regroupé les fonds provenant de nombreuses escroqueries de meurtre de porcs les plus notoires du Myanmar, KK Park. Le portefeuille a été découvert pour la première fois sur la chaîne en 2022, et les escroqueries utilisant l'adresse continuent de générer des revenus importants, rapportant plus de 100 millions de dollars jusqu'à présent cette année. Les fonds peuvent provenir de victimes d’escroqueries ou de paiements de rançons soumis par des familles qui tentent de sauver des membres de leur famille victimes de trafic.
De plus, il convient de noter que les escroqueries du KK Park et de lieux similaires sont très actives dans l'adaptation de leur présence d'escroquerie hors chaîne, achetant souvent des profils Facebook, Tinder et Match.com complets auprès de services chinois pour les utiliser dans leurs campagnes. Le graphique ci-dessous montre le flux de valeur du portefeuille frauduleux KK Park vers les magasins frauduleux vendant des produits illégaux, que les fraudeurs ont exploités avec un effet dévastateur.
Une capture d'écran du site Web du magasin frauduleux montre également les prix des comptes de réseaux sociaux qu'elle vend.
Nous voyons encore plus de preuves à l’appui de cette tendance en examinant les entrées totales dans les services qui vendent des comptes de réseaux sociaux comme cette boutique frauduleuse. Le graphique ci-dessous montre que les crypto-monnaies envoyées à ces services ont augmenté régulièrement au cours des deux dernières années, totalisant 178 000 dépôts de 2022 à 2024, pour un total d'environ 10,5 millions de dollars. Les profils de réseaux sociaux sur ces sites coûtent entre 5 et 20 dollars par compte, ce qui signifie que les fraudeurs peuvent avoir acheté entre 525 000 et 2,1 millions de profils de réseaux sociaux pouvant être utilisés pour cibler leurs victimes.
En plus d’envoyer des fonds à des services fournissant des outils frauduleux, les fraudeurs doivent en fin de compte envoyer leurs gains mal acquis à des services pour les blanchir et les convertir en monnaie fiduciaire, principalement via des échanges centralisés. Cette année, nous avons également constaté une augmentation du recours aux marchés chinois et aux réseaux de blanchiment d’argent, notamment Huione Garantie.
Garantie Huione : un marché en ligne de 49 milliards de dollars
Huione Garantie, une place de marché en ligne liée au conglomérat cambodgien Huione Group, a récemment été révélée comme un acteur important de la cybercriminalité. Notre couverture du service est bien plus étendue que ce qui avait été annoncé précédemment : nous avons constaté que la plateforme a traité plus de 49 milliards de dollars de transactions en cryptomonnaies depuis 2021.
Historiquement, le groupe Huione fournissait des services légitimes, fonctionnait comme un système de transfert de fonds pour les transferts à l'étranger et fournissait des services d'assurance. L'entreprise était autrefois impliquée dans le secteur des voyages de luxe. Cependant, sa plate-forme Huione Garantie semble être largement utilisée pour des activités illégales de cryptographie, notamment la boucherie, la fraude aux investissements et le blanchiment d'argent. Huione Garantie est devenue un écosystème vaste et diversifié soutenant le secteur lucratif des plateaux de boucherie qui continue de fonctionner en Asie du Sud-Est.
Huione Garantie est un marché peer-to-peer (P2P) qui connecte acheteurs et vendeurs, facilitant souvent ces transactions via Telegram, qui fournit un point de contact. Au total, il existe des milliers de groupes Telegram qui font de la publicité ou publient des messages sur Huione Garantie, chacun étant géré par un commerçant indépendant ou une filiale différente, dont beaucoup peuvent avoir des liens avec des entreprises criminelles opérant dans la région.
Huione Garantie prétend être une partie neutre dans ces transactions ; elle fonctionnerait comme une plateforme de trading, facturant des frais pour chaque transaction exécutée mais ne vérifiant pas la légitimité des biens et services répertoriés.
Remarque : Cette image est traduite automatiquement à partir de la version chinoise originale.
De nombreux commerçants sur Huione Garantie ne font pas grand-chose pour cacher leurs activités, utilisant plutôt des mots de code énigmatiques pour annoncer le type de services qu'ils recherchent. Par exemple, certaines publicités montrent des utilisateurs recherchant des « convois », ce qui signifie qu’ils recherchent des mules pour déplacer de l’argent à travers plusieurs points et niveaux, masquant ainsi la source et la destination de l’argent.
D’autres messages faisaient la promotion de ce qui suit :
La technologie de reconnaissance faciale ou de modification faciale est disponible dans la section « Développer » de la plateforme.
Planification d'un plan d'abattage de porcs et d'une chaîne de Ponzi.
Fournit des passeports internationaux, des visas et prétendument aide aux demandes.
Remarque : Cette image est traduite automatiquement. Le texte original est « Shazhu » qui signifie « tuer des cochons ».
Remarque : Cette image est traduite automatiquement à partir de la version chinoise originale.
Activités en chaîne de Huione Garantie
L'analyse en chaîne montre que Huione Pay est actif sur Ethereum, avec des entrées totales dépassant 1,9 milliard de dollars, et sur TRON avec plus de 47 milliards de dollars d'entrées. Dans l’image ci-dessous, nous voyons un exemple de cette activité, avec des transferts entre Huione Pay et diverses contreparties illégales et à haut risque, mettant en évidence le vaste réseau de facilitateurs de Huione. Le réseau P2P que Huione semble prendre en charge hors chaîne est également cartographié en chaîne ; Huione a reçu et envoyé des fonds à divers types de contreparties, notamment des escroqueries, des adresses signalées comme fonds volés, l'échange russe Garantex approuvé par l'OFAC, des magasins frauduleux, CSAM. , sites de jeux et casinos chinois, etc.
Huione Garantie a également traité des transactions de portefeuille prétendument liées à de grands groupes criminels tels que KK Park. De plus, Chainalysis a découvert des portefeuilles liés à Fully Light Group et Warner International, deux entités dirigées par la famille Kokang du Myanmar, qui seraient liées à des activités illégales telles que des casinos, des réseaux financiers clandestins et des systèmes de blanchiment d'argent.
L'utilisation de Huione Garantie par ces réseaux démontre que le service facilite les activités non seulement des escrocs et des fraudeurs eux-mêmes, mais aussi des réseaux de criminels derrière eux.
Huione Garantie est remarquable car elle sert de point focal pour différents types de cybercriminels, notamment les escrocs et les réseaux CSAM. Bien qu'il s'agisse du service le plus important, ce n'est pas le seul service de ce type. D'autres réseaux exploitent également Telegram pour faciliter les transactions P2P, souvent pour l'échange de biens et de services illégaux. Chainalysis travaille en étroite collaboration avec nos partenaires pour surveiller de près cet écosystème afin de découvrir cette activité.