À medida que a indústria subterrânea de fraudes de investimento em criptomoedas cresceu e se tornou uma das formas mais lucrativas de cibercrime no mundo, o mercado secundário de lavanderias de dinheiro para esses golpistas também cresceu para acompanhá-lo. Nesse mercado negro, um serviço em língua chinesa na plataforma de mensagens Telegram floresceu e se tornou um bazar underground multiuso: ofereceu não apenas serviços de saque para golpistas, mas também lavagem de dinheiro para hackers norte-coreanos, dados roubados, assédio dirigido por contratação e até o que parece ser tráfico de pessoas. E, de alguma forma, tudo isso é supervisionado por uma empresa registrada legalmente nos Estados Unidos.
De acordo com uma nova pesquisa divulgada hoje pela empresa de rastreamento de criptomoedas Elliptic, uma empresa chamada Xinbi Guarantee facilitou desde 2022 nada menos que US$ 8,4 bilhões em transações por meio de seu mercado baseado no Telegram, antes das ações recentes do Telegram para remover suas contas da plataforma. O dinheiro roubado de vítimas de golpes provavelmente representa a “maior parte” dessa soma, de acordo com Tom Robinson, co-fundador da Elliptic. No entanto, mesmo enquanto o mercado atende a golpistas de língua chinesa, também se orgulha em seu site—em mandarim—que está registrado no Colorado.
“A Xinbi Guarantee serviu como um gigante, supostamente incorporado nos EUA, mercado online ilícito para fraudes online que oferece principalmente serviços de lavagem de dinheiro,” diz Robinson. Ele acrescenta, no entanto, que a Elliptic também encontrou uma variedade notável de outras ofertas criminosas no mercado: serviços de maternidade de aluguel e doadoras de óvulos, serviços de assédio que se oferecem para ameaçar ou jogar fezes em qualquer vítima escolhida, e até trabalhadores sexuais em sua adolescência que provavelmente são vítimas de tráfico.
A Xinbi Guarantee é o segundo mercado amigável ao crime em língua chinesa que Robinson e sua equipe de pesquisadores descobriram no último ano. No ano passado, eles publicaram um relatório sobre a Huione Guarantee, um serviço semelhante baseado no Camboja que a Elliptic disse em janeiro ter facilitado US$ 24 bilhões em transações—principalmente de golpistas de criptomoedas—tornando-se assim o maior mercado online ilícito da história, segundo os registros da Elliptic. A empresa-mãe desse mercado, Huione Group, foi adicionada a uma lista de operações conhecidas de lavagem de dinheiro pela Rede de Combate a Crimes Financeiros do Tesouro dos EUA (FinCEN) no início deste mês numa tentativa de limitar seu acesso a instituições financeiras dos EUA.
Após a WIRED entrar em contato com o Telegram na semana passada sobre a atividade ilícita que ocorria nos canais da Xinbi Guarantee e da Huione Guarantee em sua plataforma de mensagens, o Telegram parece ter respondido na segunda-feira banindo muitos dos canais centrais e das contas de administradores usados por ambas as empresas. “Atividades criminosas como golpes ou lavagem de dinheiro são proibidas pelos termos de serviço do Telegram e são sempre removidas quando descobertas,” escreveu Remi Vaughn, porta-voz do Telegram, em uma declaração à WIRED. “Comunidades anteriormente reportadas para nós pela Wired ou incluídas em relatórios publicados pela Elliptic foram todas removidas.”
O Telegram já havia banido vários canais da Huione Guarantee em fevereiro, após um relatório anterior da Elliptic sobre o mercado, mas a Huione Guarantee rapidamente os recriou, e ainda não está claro se as novas remoções impedirão as duas empresas de reconstruir sua presença no Telegram novamente, talvez com novas contas ou até mesmo uma nova marca. “Esses são negócios muito lucrativos, e eles tentarão se reconstruir de alguma forma,” disse Robinson sobre os dois mercados após a última depuração do Telegram.
A contabilidade da Elliptic sobre a receita total vitalícia dos maiores mercados online negros.
A Xinbi Guarantee não respondeu a vários pedidos de comentários sobre as descobertas da Elliptic que a WIRED enviou aos administradores do mercado no Telegram.
Como a Huione Guarantee, a Xinbi Guarantee ofereceu um modelo de “garantia” semelhante, permitindo que fornecedores de terceiros oferecessem serviços exigindo um depósito deles para prevenir fraudes. No entanto, conseguiu passar despercebida, mesmo enquanto crescia e se tornava um dos maiores centros de crime de criptomoedas na internet. Em termos de escala pura de transações antes da repressão do Telegram, foi apenas superada pelo mercado da Huione, de acordo com a Elliptic.
Ambos os serviços “oferecem uma janela para a rede bancária underground baseada na China,” diz Robinson. “É mais um exemplo desses enormes mercados ‘garantidos’ em língua chinesa que prosperaram por anos.”
Na Xinbi Guarantee, a Elliptic encontrou numerosos posts de vendedores oferecendo aceitar fundos relacionados a “mortes rápidas,” “mortes lentas,” e transações de “engorda de porcos,” todos diferentes termos para fraudes de investimento em criptomoedas e outras formas de engano. Em alguns casos, Robinson explica, esses vendedores da Xinbi Guarantee oferecem contas bancárias no mesmo país da vítima para que possam receber qualquer pagamento que sejam enganados em fazer, e então pagar o golpista na criptomoeda Tether. Em outros casos, os comerciantes da Xinbi Guarantee oferecem receber pagamentos em criptomoedas e convertê-los na moeda local do golpista, como o renminbi chinês.
Além do uso central da Xinbi Guarantee como um ponto de saque para golpistas de criptomoedas, a Elliptic também encontrou que os vendedores do mercado ofereciam outras mercadorias para golpistas, como dados roubados que poderiam ser usados para encontrar vítimas, além de serviços para registrar cartões SIM e assinaturas da internet Starlink através de proxies.
Hackers patrocinados pelo estado norte-coreano também parecem ter usado a plataforma para lavagem de dinheiro. A Elliptic descobriu, através de análise de blockchain, que cerca de US$ 220.000 roubados da bolsa de criptomoedas indiana WazirX—vítima de um roubo de US$ 235 milhões em julho do ano passado, amplamente atribuído a hackers norte-coreanos—fluiu para a Xinbi Guarantee em uma série de transações no mês passado.
Esses serviços de lavagem de dinheiro e de facilitação de golpes, no entanto, estão longe de ser as únicas ofertas questionáveis encontradas no mercado da Xinbi Guarantee. A Elliptic também encontrou anúncios para mães de aluguel e doadoras de óvulos, com um post mostrando fotos sem rosto do corpo da doadora. Outras contas ofereceram serviços que, mediante um pagamento em Tether, colocariam uma coroa fúnebre na porta de um alvo, vandalizariam sua casa com grafite, postariam declarações prejudiciais ao redor de sua casa, ameaçariam verbalmente, jogariam fezes nele, ou até, de forma mais bizarra, cercariam sua casa com pacientes de AIDS. Um anúncio sugeriu que esses pacientes de AIDS carregariam “relatórios de casos e agulhas para intimidação.”
Outros anúncios ofereceram trabalhadores sexuais com apenas 18 anos, observando os atos sexuais específicos que são permitidos e proibidos. A Elliptic diz que um de seus pesquisadores foi até mesmo oferecido uma pessoa de 14 anos por um comerciante da Xinbi Guarantee. (O titular da conta observou, no entanto, que nenhuma transação para sexo com alguém abaixo da idade de 18 anos seria garantida pela Xinbi. A idade de consentimento na China é 14.)
Exatamente por que a Xinbi Guarantee está legalmente registrada nos EUA continua sendo um mistério. Seu registro de incorporação no site do Secretário de Estado do Colorado mostra um endereço em um parque de escritórios na cidade de Aurora, sem nenhuma marca da Xinbi externamente. A empresa parece ter sido registrada lá em agosto de 2022 por alguém chamado “Mohd Shahrulnizam Bin Abd Manap” (a WIRED conectou esse nome a várias pessoas na Malásia, mas não conseguiu determinar qual poderia ser o registrante da Xinbi Guarantee.) A listagem está atualmente marcada como “delinquente,” talvez devido à falha em apresentar documentos mais recentes para renová-la.
Para empresas chinesas iniciantes—legítimas e ilegítimas—incorporar-se nos EUA é uma tática cada vez mais comum para “projetar legitimidade,” diz Jacob Sims, um bolsista visitante do Centro Asiático de Harvard que se concentra em crimes transnacionais chineses. “Se você tem uma presença nos EUA, também pode abrir contas bancárias nos EUA,” diz Sims. “Você poderia potencialmente contratar funcionários nos EUA. Você poderia, em teoria, ter conexões mais formalizadas com entidades dos EUA.” Mas ele observa que o status de delinquência da registradora pode significar que a Xinbi Guarantee tentou fazer algum tipo de conexão nos EUA no passado, mas desistiu.
Embora o Telegram tenha servido como o principal meio de comunicação para os dois mercados, a criptomoeda stablecoin Tether serviu como seu principal meio de pagamento, descobriu a Elliptic. E apesar das novas remoções do Telegram de seus canais e contas, a Xinbi Guarantee e a Huione Guarantee estão longe de ser as únicas empresas a usar Tether e Telegram para criar essencialmente um novo, em grande parte em língua chinesa, darknet: a Elliptic está rastreando cerca de 30 mercados semelhantes, diz Robinson, embora tenha se recusado a nomear outros no meio das investigações da empresa.
Assim como o Telegram mostra novos sinais de repressão a esse vasto mercado negro, o Tether também tem a capacidade de interromper o uso criminoso de seus serviços. Ao contrário de outras criptomoedas mais descentralizadas, como o Bitcoin, o Tether pode congelar pagamentos quando identifica maus atores. No entanto, não está claro até que ponto o Tether tomou medidas para impedir que golpistas de criptomoedas de língua chinesa e outros na Xinbi Guarantee e Huione Guarantee utilizem sua moeda.
Quando a WIRED escreveu para o Tether para perguntar sobre seu papel nesses mercados negros, a empresa respondeu em uma declaração que incentiva “empresas como a Elliptic e outros provedores de inteligência em blockchain a compartilhar dados críticos com as autoridades para que possamos agir rapidamente e de forma coordenada.”
“Não somos observadores passivos—somos jogadores ativos na luta global contra o crime financeiro,” continuou a declaração do Tether. “Se você está considerando usar o Tether para fins ilícitos, pense novamente: é o ativo mais rastreável que existe. Nós iremos identificá-lo e garantiremos que você seja levado à justiça.”
Apesar dessa promessa—e do novo esforço do Telegram para remover a Huione Guarantee e a Xinbi Guarantee de sua plataforma—ferramentas como essas já foram usadas para facilitar dezenas de bilhões de dólares em roubo e outros negócios do mercado negro, muito disso ocorrendo à vista de todos. Os dois mercados, em grande parte ilegais e muito públicos, têm sido “notáveis tanto pela escala em que estão operando quanto pela ousadia,” diz Jacob Sims, de Harvard.
Dada essa ousadia e as enormes fortunas criminosas em jogo, espere que ambos os mercados tentem um renascimento de alguma forma—e muitos concorrentes tentem tomar seu lugar no topo da economia criminosa de criptografia em língua chinesa.