Аналитики Insikt Group (группы угрозового анализа компании Recorded Future) раскрыли детали крупной киберпреступной операции, специализирующейся на краже криптовалюты. Группа под названием Rublevka Team с 2023 года заработала более $10 млн, используя фишинговые сценарии для опустошения криптокошельков жертв. Её модель, напоминающая услуги по принципу ransomware-as-a-service, демонстрирует переход к масштабируемым сервисным схемам киберпреступности, представляющим растущую угрозу для криптоплатформ и пользователей.
Описание
Группа действует как «traffer team» - сеть из тысяч специалистов по социальной инженерии, которые направляют трафик потенциальных жертв на вредоносные страницы. В отличие от традиционных групп, таких как Marko Polo или CrazyEvil, которые распространяли инфостилеры (программы-похитители данных), Rublevka Team использует кастомные JavaScript-скрипты, внедряемые на поддельных посадочных страницах. Эти страницы имитируют легитимные криптосервисы, включая Phantom, Bitget и Jito, и обманом вынуждают пользователей подключить свои кошельки и подписать мошенническую транзакцию, которая переводит все их активы злоумышленникам.
Инфраструктура группы полностью автоматизирована и масштабируема, что позволяет ей быстро расти. Через Telegram-бота и специализированные каналы Rublevka Team предоставляет аффилиатам (партнерам-исполнителям) инструменты для генерации посадочных страниц, отслеживания кампаний, обхода блокировок и защиты от DDoS-атак. «Осушитель» (drainer) кошельков совместим более чем с 90 типами кошельков в сети Solana (SOL), на которую группа переключилась весной 2025 года из-за низких комиссий и высокой скорости транзакций.
Модель мошенничества типична: аффилиат создает привлекательное предложение, например, информацию о раздаче токенов (airdrop), и распространяет ссылку через социальные сети. Жертва, перейдя на поддельную страницу, подключает кошелек и подписывает транзакцию, после чего все её активы незаметно выводятся. Основной частный Telegram-канал группы «[RublevkaTeam] Profits» содержит более 240 000 сообщений об успешных операциях, что указывает на как минимум такое же количество пострадавших кошельков. Суммы отдельных краж варьируются от $0,16 до свыше $20 000.
Эксперты отмечают, что подобная сервисная модель значительно снижает технический порог входа в криминальную деятельность, создавая обширную экосистему аффилиатов по всему миру. Это представляет серьезную угрозу для репутации криптобирж, финтех-компаний и брендов, которые активно имитируются мошенниками. Даже если компрометация происходит за пределами официальной платформы компании, её могут привлечь к ответственности из-за неспособности выявлять поддельные страницы или защищать клиентов.
Операционная устойчивость группы подкрепляется использованием постоянно сменяемых доменов, продвинутых функций маскировки (cloaking) и эксплуатацией API удаленного вызова процедур (Remote Procedure Call, RPC) блокчейна Solana для проведения транзакций. Эти методы затрудняют традиционное обнаружение мошенничества и процедуры изъятия (takedown) вредоносных доменов.
По данным аналитиков, с декабря 2025 года группа столкнулась с перебоями в работе части своей инфраструктуры, но её модель остается жизнеспособной. В будущем ожидается распространение подобных схем на другие блокчейн-экосистемы, что потребует от компаний проактивного мониторинга, сотрудничества по изъятию вредоносных ресурсов и усиления проверок пользователей для противодействия социальной инженерии. Успех Rublevka Team подтверждает общий тренд: масштабируемые сервисы на основе социальной инженерии становятся не менее опасным инструментом кражи цифровых активов, чем классическое вредоносное ПО.
Индикаторы компрометации
IPv4
- 158.94.208.165
Domains
- burn-shard-bridge.xyz
- commontechrepo.cc
- efficient-endpoint.site
- emailsecure.tech
- fontmaxplugin.cc
- g-app-d.cc
- open-sol.cc
- pumptoken.net
- sol-galaxy.cc
- sol-hook.org
- web-core.cc
URLs
- https://mainnet.helius-rpc.com/?api-key=
- https://mainnet.helius-rpc.com/?api-key=3b5315ac-170e-4e0e-a60e-4ff5b444fbcf
- https://mainnet.helius-rpc.com/?api-key=44b7171f-7de7-4e68-9d08-eff1ef7529bd
- https://mainnet.helius-rpc.com/?api-key=55065729-bda8-4cf8-87a1-7bd64cf22726
- https://mainnet.helius-rpc.com/?api-key=8e0e9a34-2648-421a-8f22-6460b4a68705
- https://mainnet.helius-rpc.com/?api-key=bfd713ef-c9a7-404f-804c-e682c2bd0d3b
- https://mainnet.helius-rpc.com/?api-key=db25ae76-7277-45ce-b21a-5be1a61f2f04
- https://mainnet.helius-rpc.com/?api-key=f30d6a96-5fa2-4318-b2da-0f6d1deb5c83
- https://rpc.walletconnect.org/v1/?chainId=solana%3A5eykt4UsFv8P8NJdTREpY1vzqKqZKvdp&projectId=730eede4c040eafa7a928a503b6cd650
- https://solana-rpc.publicnode.com
- https://wallet-api.solflare.com
Emails
- al****************@*********re.tech
SHA256
- 78bfb193ba291e17360126796ec9b93acdfec75867619fc50c5d45d7081009b6
- 93288b95db8cba2b8d3f38246be46e383990a9fcdd06bf26417a5935a8fe0a27
- 9c21d538c2a556f4a5b351b29f3513097ac57643f291ff6d751400d8dbc69489
- af5bed914f5406e7c1a3f30f91dfe34d81c5b06c571c59417fe4e2bde966325c
- b9157f6bff6a6ee6ba5932ebac2c8796836b21eb3c69df08fbeb102e9228ba15
- ea8e780d0c292bfd1a3ee6bd9b8d77900a545bd3be3105891816c8f561eeb302
- fcf1bbac7dae24b6e0357bee6e8e184dfd193ddf8b341feaa9a3d83265af8f0a
