Em julho de 2016, a estrela de Ekaterina Zhdanova estava em ascensão. A socialite glamourosa e empresária, que havia aberto uma série de hotéis e negócios de lazer em Moscovo, estava na capa da N Style, uma revista russa de moda e cultura.
“Eu sonhei com negócios desde a infância”, explicou ela em uma entrevista agora inacessível, enquanto descrevia suas ambições e amor pela Rússia. Ela festejou com famosas estrelas da TV e da música russa, e posou com relógios caros ao longo dos anos—um mundo distante de sua criação em uma cidade siberiana.
Mas Zhdanova tinha um segredo, e as primeiras fissuras estavam começando a aparecer.
À medida que seu poder social crescia, ela postou nas redes sociais sobre a compra de “grandes volumes” de criptomoeda, pedindo que os vendedores a contatassem. “Tudo depende do humor”, Zhdanova disse à N Style quando perguntada se era uma pessoa que assume riscos. “Eu sou provavelmente um camaleão.”
As autoridades internacionais acreditam que ela era muito mais do que isso. No final de 2023, o governo dos Estados Unidos impôs sanções econômicas a Zhdanova por seu suposto papel em uma operação de lavagem de dinheiro em criptomoedas usada por oligarcas russos, gangues de ransomware e outros criminosos. Hoje, os oficiais de aplicação da lei ocidentais foram ainda mais longe, alegando que Zhdanova atuou como a chefe de uma sofisticada rede de lavagem de dinheiro que troca dinheiro por criptomoeda, como nunca visto pela aplicação da lei.
Na quarta-feira, a Agência Nacional de Crimes do Reino Unido (NCA), juntamente com o FBI, a Administração de Combate às Drogas e o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC), assim como autoridades da Irlanda e França, revelaram que tomaram medidas contra duas enormes redes de lavagem de dinheiro russas que lidam com bilhões de dólares todos os anos e têm tentáculos em mais de 30 locais.
As duas alegadas redes de lavagem de dinheiro—identificadas por uma ação de aplicação da lei chamada Operação Destabilize—incluem o Smart Group, que as autoridades dizem que Zhdanova dirige, e o TGR Group, uma série de empresas lideradas por George Rossi, que é nacional russo ou ucraniano, de acordo com as autoridades. As redes são distintas, mas muitas vezes trabalham juntas, dizem os oficiais. Como resultado da Operação Destabilize, o OFAC impôs novas sanções contra Rossi, quatro empresas associadas, dois outros membros da equipe do TGR e duas pessoas que as autoridades dizem estar ligadas a Zhdanova.
Ao longo de vários meses, oficiais da NCA forneceram à WIRED detalhes raros sobre sua investigação e como os alegados esquemas de lavagem de dinheiro operam. Isso inclui rastreamento de transações ilícitas de cibercriminosos russos, encontrando pagamentos vinculados ao órgão de propaganda do Kremlin RT, e identificando ligações com o crime organizado na América do Sul e o notório grupo criminoso irlandês Kinahan. A NCA também afirma que a lavagem de dinheiro também financiou espionagem russa, embora tenha se recusado a fornecer mais informações.
Talvez o elemento mais incomum da lavagem, de acordo com os investigadores, seja como enormes somas de criptomoeda russa são enviadas para grupos criminosos, frequentemente gangues de drogas, operando por toda a Europa, onde os operadores trocam por somas equivalentes em dinheiro para ajudar a obscurecer as origens do dinheiro. Em resumo: os criminosos estão trocando sacos de dinheiro por criptomoedas.
“Essa metodologia de lavagem de dinheiro é nova”, diz Will Lyne, chefe de inteligência cibernética da NCA, à WIRED.
Além das sanções recentemente emitidas, Lyne diz que a Operação Destabilize tem interrompido todas as partes do pipeline de lavagem de dinheiro. O “cabeça” de uma rede intermediária que trabalha com um dos grupos de lavagem de dinheiro foi preso, diz a NCA, e as autoridades prenderam dezenas de pessoas internacionalmente e apreenderam dezenas de milhões em dinheiro e criptomoedas no Reino Unido nos últimos dois anos.
Desde a invasão em grande escala da Ucrânia pela Rússia, há mais de 1.000 dias, a economia do país tem sido pressionada por sanções—e pagamentos em criptomoeda são proibidos internamente. No entanto, cada vez mais, as moedas digitais estão sendo usadas para mover dinheiro russo internacionalmente.
“Há evidências crescentes de que a Rússia está abraçando criptomoedas e outros sistemas de pagamento alternativos para contornar sanções e transferir fundos pelo mundo”, diz Ben Cowdock, um líder sênior de investigações da filial britânica da organização de anticorrupção Transparência Internacional. “Embora o Kremlin tenha sido excluído do setor bancário convencional, isso não significa que não pode mais fazer pagamentos internacionais.”
A lavagem de dinheiro desempenha seu papel. Por sua própria concepção, a lavagem é vastamente complexa e enganosa—e isso pode ser exagerado quando as criptomoedas são usadas. De maneira geral, a lavagem de dinheiro ocorre em três fases: colocação, onde o dinheiro é adicionado aos sistemas financeiros; camada, onde as somas são embaralhadas entre contas ou carteiras de criptomoeda para esconder sua origem; e integração, onde o dinheiro “limpo” pode ser gasto livremente.
Os investigadores da NCA dizem que as duas redes de lavagem de dinheiro estão ajudando os elites russos a usar seu dinheiro fora da Rússia. “Isso definitivamente está sendo utilizado como um vetor para evasão de sanções—e é perfeito para isso”, diz Lyne. Os investigadores afirmam que as redes operam em diferentes partes da cadeia de lavagem: o Smart Group, alegadamente dirigido por Zhdanova, está no topo do funil, lidando com dinheiro de russos, além de direcionar trocas de dinheiro envolvidas na camada. As recém-sanctionadas empresas do TGR estão frequentemente envolvidas na integração, alegam.
Os investigadores da NCA começaram a desvendar as duas redes no final de 2021, diz Lyne, após perceber que pagamentos de ransomware vinculados ao grupo Ryuk estavam sendo supostamente canalizados para Zhdanova. Na mesma época, as autoridades interceptaram as primeiras entregas de dinheiro no Reino Unido. O longo processo investigativo utilizou funcionários de toda a NCA e se baseou em dados de código aberto, mensagens de celulares apreendidos, rastreamento e análise de criptomoedas e blockchain, e trabalho investigativo físico e vigilância.
Através do Smart Group, Lyne alega que Zhdanova pode pegar criptomoeda russa de elites ou grupos de ransomware e começar a roteá-la pelo mundo. Isso geralmente acontece usando um corretor, conhecido como controlador internacional, nos Emirados Árabes Unidos, que se posicionou como amigável às criptomoedas. O chefe de uma rede de controladores internacionais foi preso como parte da ação da aplicação da lei, a NCA diz, sem fornecer mais informações sobre sua identidade, localização ou atividade específica.
Os grupos de lavagem de dinheiro, dizem os oficiais da NCA, frequentemente usam a stable coin Tether (conhecida como USDT), que tem um valor de mercado de $130 bilhões e está supostamente sendo investigada pelo governo dos EUA por seu potencial de ser usada em lavagem de dinheiro e violação de sanções.
De acordo com detalhes compartilhados pela NCA, tanto o Smart Group quanto o TGR têm uma “exposição pesada” ao Garantex, uma exchange de criptomoedas russa que foi sancionada pelos EUA em 2022 por seus vínculos com cibercrime e pagamentos ilícitos.
Após o Wall Street Journal relatar que a Tether está sob investigação, a empresa chamou isso de “especulação selvagem” e negou ter “conhecimento de tais investigações sobre a empresa”. Um porta-voz da Tether diz à WIRED que “condena inequivocamente o uso ilegal” de stable coins e trabalha para combater a lavagem de dinheiro, incluindo ter congelado todos os endereços de criptomoeda incluídos nas sanções contra o Garantex.
“Você vê exposição direta, então ponto a ponto, do Garantex para as contas desses criminosos”, diz o líder tático da NCA para a Operação Destabilize, a quem a WIRED concedeu anonimato devido à sensibilidade de seu trabalho. O líder tático diz que as duas redes copiaram técnicas dos processos tradicionais de lavagem, mas usar criptomoedas significa que não precisam se preocupar com os bancos detectando a atividade e congelando pagamentos.
“Há tanta camadas que ocorrem”, diz o líder tático. “Eles enviarão fundos através de talvez três ou quatro endereços de criptomoeda que acreditamos que podem ser seus próprios endereços de armazenamento a frio antes de irem para uma exchange”, afirmam sobre algumas das atividades em torno do TGR. Os grupos estão envolvidos no movimento de “bilhões de dólares de números únicos” anualmente, diz o oficial, acrescentando que é difícil calcular um valor total devido à camadas.
Kathryn Westmore, pesquisadora sênior do think tank de defesa e segurança Royal United Services Institute, diz que a lavagem de dinheiro é muitas vezes construída sobre confiança e relacionamentos pessoais, mas as duas redes “industrializaram a lavagem de dinheiro” em uma escala que não foi previamente compreendida. “Acho que ninguém poderia antecipar o tamanho e a complexidade dessa operação, as enormes quantias de dinheiro envolvidas e o número de diferentes gangues criminosas organizadas que usaram os serviços”, diz Westmore.
Além de movimentar dinheiro—usando criptomoeda e por meio de sistemas financeiros russos mais tradicionais—o Smart Group alegadamente também coordena com manipuladores de dinheiro em cidades europeias. “Os Smart estão orquestrando essas trocas de dinheiro por criptomoeda”, diz Lyne. A rede poderia, por exemplo, arranjar para cibercriminosos russos com criptomoeda trocarem-na por dinheiro mantido por uma gangue de drogas no Reino Unido, antes que o dinheiro seja lavado. As gangues criminosas podem, diz a NCA, usar a criptomoeda para comprar mais drogas ou armas.
Um investigador de criptomoeda da NCA, que também pediu para não ser nomeado por razões de segurança, mostrou à WIRED uma análise de carteiras de criptomoeda que foram alegadamente ligadas à investigação Destabilize. Uma carteira tinha mais de £800 milhões ($1 bilhão) vinculada a ela; outra tinha £169 milhões. “A quantidade de atividade é enorme—é diária”, diz o investigador.
A suposta participação de Zhdanova na lavagem de criptomoeda foi revelada nas sanções de novembro de 2023 do OFAC. Na época, o OFAC alegou que ela lavou $2,3 milhões em nome de um afiliado de ransomware Ryuk; foi solicitada por um oligarca russo para mover mais de $100 milhões em riqueza para os Emirados Árabes Unidos; ajudou outro russo a obscurecer pagamentos de mais de $2,3 milhões para a Europa Ocidental; e forneceu serviços de residência fiscal e cartões de identificação dos EAU para clientes russos.
Os investigadores da Operação Destabilize dizem que Zhdanova, junto com membros das empresas TGR, usou criptomoeda e o sistema financeiro tradicional do Reino Unido em março de 2022 para mover mais de £2 milhões ($2,5 milhões) para o país para comprar propriedades para um cliente russo de elite. Elas supostamente tentaram esconder a origem dos fundos e contornar as verificações de autenticação de clientes, de acordo com a NCA.
As sanções emitidas pelo OFAC também nomeiam duas outras pessoas, Khadzi-Murat Magomedov e Nikita Krasnov, que supostamente trabalharam com Zhdanova como parte da lavagem de dinheiro. A NCA afirma que Zhdanova e Magomedov negociariam acordos, enquanto Krasnov trabalharia com redes de mensageiros no Reino Unido. Magomedov não pode ser contatado imediatamente para comentários, e Krasnov não respondeu imediatamente a um pedido de comentários.
Os investigadores acreditam que Zhdanova pode ter dividido seu tempo nos últimos anos entre a Rússia e os Emirados Árabes Unidos. Uma análise de material disponível de vazamentos de dados fornecidos pela Constella Intelligence mostra que o endereço de e-mail do Gmail de Zhdanova, que foi publicado anteriormente pelo OFAC, é os últimos sete dígitos de seu número de telefone e está ligado a uma conta do Telegram chamada Smart Group.
No Telegram, a conta do Smart Group tem sido membro de canais em língua russa focados em criptomoedas e vida em Dubai e nos Emirados Árabes Unidos. A conta publicou publicamente sobre a contratação de uma assistente pessoal e problemas de cuidados infantis na região. Outras informações disponíveis publicamente ligadas a Zhdanova mostram um hotel em Moscovo com 13 quartos à venda; uma página do Facebook para um negócio de viagens com um “gostei”; e uma variedade de contas online de Chess.com a Instagram, onde ela tem vários milhares de seguidores.
Zhdanova não respondeu aos pedidos de comentários da WIRED. A conta do Telegram do Smart Group exibe uma mensagem dizendo que foi “visto pela última vez há muito tempo”.
A NCA diz que Zhdanova está em “detenção pré-julgamento” na França, depois de ser presa por ofensas separadas—não detalhou quais são os crimes suspeitos. Um porta-voz da Gendarmaria Francesa se recusou a comentar, citando uma investigação judicial em andamento.
Bolsas de Dinheiro
No final de 2022, investigadores seguiram uma van de Kensington, em Londres, em uma viagem de 300 milhas até Oldham, no norte da Inglaterra. Saju Sasikumar, um gerente de operações da NCA que tem estado envolvido na Destabilize e mostrou à WIRED uma filmagem de vigilância capturada durante a investigação, diz que quando o veículo voltou à capital, sacos retirados dele continham mais de £200.000. Um apartamento associado, diz ele, continha uma máquina de contar dinheiro e sacos vazios, enquanto outro endereço continha cerca de £400.000 em dinheiro.
Os oficiais identificaram, em última análise, Semen Kuksov, agora com 24 anos, e Andrii Dzektsa, agora com 28, que foram condenados a cinco anos de prisão cada um após se declararem culpados em fevereiro deste ano por seu papel nesta lavagem de dinheiro e organização de mensageiros de dinheiro. Em um período de 74 dias, diz a NCA, a dupla ajudou a lavar £12,3 milhões. A informação fornecida pela NCA afirma que conectou carteiras de criptomoeda a Kuksov que receberam mais de £30 milhões e que ele supostamente coordenou com Krasnov, o associado de Zhdanova.
Sasikumar diz que Kuksov, que é filho de um ex-executivo de petróleo russo e admitiu ter operado uma “exchange” de criptomoeda “subterrânea” para os investigadores, abandonou seu telefone de trabalho, permitindo que os oficiais baixassem dados do dispositivo e vissem um vislumbre das operações. “Ele estava conduzindo entregas de dinheiro em uma escala muito global”, diz Sasikumar.
No telefone, eles encontraram evidências de trocas de dinheiro por toda a Europa, incluindo em cidades da Alemanha, França, Portugal e Espanha. Mensageiros de dinheiro eram contratados por meio de anúncios em chats em grupo, com pessoas dando lances para cada uma das entregas, diz Sasikumar. “Há instruções claras sobre o que acontece”, diz ele, acrescentando que os indivíduos poderiam receber uma porcentagem da transferência de dinheiro da qual estavam envolvidos. As operações de Kuksov usaram notas de banco rasgadas como tokens durante as entregas de dinheiro—cada lado da troca teria parte da nota rasgada e depois as juntaria antes que o dinheiro fosse trocado.
Quantias vastas de criptomoedas sendo deslocadas entre carteiras digitais podem ser rastreadas, mas não é tão evidente quanto encher sacos de notas de banco. No total, a Operação Destabilize resultou em 84 prisões, com mais de £20 milhões em dinheiro e criptomoeda sendo apreendidos pelas autoridades do Reino Unido. Em todo o país, pelo menos 22 atores criminosos foram ligados à lavagem de dinheiro, afirmam os oficiais, com uma rede de mensageiros realizando 55 entregas de dinheiro em apenas quatro meses.
O Reino Unido, e Londres em particular, tem sido há muito um lar para dinheiro sujo e lavagem, com criptomoedas aparentemente sendo cada vez mais vinculadas a dinheiro na capital. Quando o dinheiro foi entregue pelas redes de lavagem de dinheiro, os investigadores observaram um movimento quase imediato de criptomoeda pelo mesmo valor. Lyne estima que as redes podem ter movido mais de £100 milhões no Reino Unido a cada ano.
A NCA afirma que ela e órgãos de aplicação da lei internacionais prenderam múltiplos mensageiros ligados às operações de lavagem de dinheiro. A NCA aponta para um caso onde um mensageiro, Fawad Saiedi, foi encontrado com mais de £250.000 em dinheiro em seu carro em novembro de 2021—ele foi condenado a quatro anos de prisão após se declarar culpado em maio de 2022. A NCA diz que acredita que ele processou mais de £15 milhões e foi “direcionado” por Zhdanova e Krasnov.
Por toda o Reino Unido, investigações descobriram uma van com mais de uma dúzia de caixas de pó de lavagem contendo £1 milhão em dinheiro, um veículo com £350.000 sob o banco do passageiro e outra van com £2,1 milhões escondidos dentro de uma porta. Das 84 prisões, diz o líder tático da NCA, a maioria das potenciais acusações ainda está em andamento.
Conexões Próximas
Enquanto os investigadores dizem que o Smart Group está envolvido em mover dinheiro e outros ativos principalmente de pessoas na Rússia, a segunda rede de lavagem de dinheiro alvo de oficiais ocidentais opera na outra extremidade do espectro. Oficiais de aplicação da lei dizem que George Rossi e o TGR estão supostamente envolvidos em integrar dinheiro nas redes financeiras.
Os oficiais da NCA dizem que Rossi usou documentos de identidade de outros países além da Rússia, incluindo a Ucrânia, e um perfil no LinkedIn o lista como o fundador do TGR. Ele também é membro de uma organização de startups em Dubai, e suas empresas já fizeram parceria com eventos de blockchain e criptomoedas em Dubai. Ele também enfrentou processos de falência no Reino Unido nos últimos anos.
O OFAC anunciou sanções contra o fundador, bem como Elena Chirkinyan e Andrej Bradens, que também é conhecido pelo sobrenome Carenoks, ambos que trabalham para o TGR—Chirkinyan é descrita como “segundo em comando” de Rossi. Quatro empresas ligadas a Rossi e TGR também foram incluídas nas listas de sanções: TGR Partners Ltd, TGR Corporate Concierge, TGR DWC LLC e Siam Expert Trading Company Ltd. As empresas, em seus sites, afirmam fornecer uma gama de serviços financeiros, gestão de eventos e serviços corporativos semelhantes.
“O que o TGR fará é fornecer uma interface para poder pegar dinheiro gerado ilicitamente e colocá-lo no sistema bancário legítimo, embora isso possa ser em jurisdições de risco, por exemplo”, diz Lyne da NCA. Em 2023, as sanções afirmam que Chirkinyan supostamente ajudou a transferir fundos para fora da Rússia, do órgão de mídia estatal russo RT, que foi amplamente sancionado por governos ocidentais, para ajudar a financiar uma organização de mídia em língua russa no Reino Unido.
No entanto, as empresas TGR sancionadas são provavelmente a ponta de um denso iceberg, com múltiplas identidades legais ligadas ao nome da marca ou registros empresariais. Versões arquivadas do site agora sancionado do TGR Partners afirmaram nos últimos anos que o negócio tem escritórios “parceiros” no Reino Unido, Cingapura, Rússia, Ucrânia, Turquia, EAU, Letônia, Chipre, Luxemburgo, Bulgária e EUA. (A versão mais recente do site inclui apenas os endereços do Reino Unido e dos EAU.)
O TGR Corporate Concierge, que também foi sancionado, anteriormente era chamado de TGR Wealth Solutions, de acordo com registros públicos de empresas. Muitas das empresas ligadas ao TGR—que também incluem aquelas não sancionadas por autoridades—compartilham os mesmos números de telefone, endereços legais e designs semelhantes de websites, uma revisão da WIRED mostra.
Bradens também possui pelo menos 50% da Pullman Global Solutions LLC, uma entidade baseada em Wyoming, de acordo com o OFAC.
Rossi e Bradens não responderam imediatamente aos pedidos de comentários. Chirkinyan não pôde ser contatada imediatamente para comentários.
As empresas têm uma presença pública limitada. Muitos dos sites não contêm muitos detalhes sobre o que os negócios fazem e frequentemente incluem texto padrão. O site do TGR Partners também inclui uma série peculiar de postagens de blog do início de 2020, listando os vinhos mais caros do mundo, os melhores museus e galerias virtuais da Europa e os vencedores do Oscar de 2020. “Acho que isso é muito típico de tipologias tradicionais de lavagem de dinheiro, onde um site será simplesmente levantado, uma nova empresa será colocada lá, e as imagens e textos não necessariamente correspondem ao que a empresa supostamente faz”, diz o líder tático da NCA para a operação.
Embora tanto o TGR quanto o Smart Group sejam entidades separadas, mas ligadas, o líder tático diz que pode haver momentos em que eles trabalham juntos usando “as capacidades específicas um do outro” para aqueles que trabalham em nome deles. O oficial diz que conexões sociais provavelmente também ajudam a impulsionar o que fazem e gerar negócios, e que algumas das redes, e aqueles ligados a elas, provavelmente ainda estão operando.
“O dano em nível de rua está sendo possibilitado e alimentado por esses tipos de redes”, diz Lyne, enfatizando que as operações da NCA, sanções dos EUA e prisões internacionalmente limitaram toda a rede. Os oficiais dizem que durante suas investigações nos últimos dois anos, viram indivíduos se tornarem mais relutantes em operar no Reino Unido, à medida que mais prisões ocorreram e o risco de lavagem aumentou.
Com Zhdanova também em custódia francesa, pode haver limites maiores sobre como as redes operam. Embora com casos legais em andamento, muitos detalhes sobre os totais movimentos de dinheiro nos últimos anos permaneçam desconhecidos, mas a natureza camaleônica de Zhdanova parece estar se tornando mais clara, assim como suas supostas ambições.
“Às vezes eu me preocupo que eu falte um voo de fantasia”, disse ela na entrevista de 2016 à N Style. “Então eu deito e sempre chego a algo à noite.