Wprowadzenie do problemu / definicja luki
Departament Sprawiedliwości USA (DOJ) ogłosił 12 listopada 2025 r. powołanie międzyagencyjnej Scam Center Strike Force — zespołu uderzeniowego do rozbijania transnarodowych ośrodków oszustw inwestycyjnych („pig-butchering” / romance-baiting) powiązanych z chińskimi strukturami przestępczymi i działających głównie w Azji Południowo-Wschodniej. W inicjatywę zaangażowane są m.in. FBI, US Secret Service, Departament Skarbu (OFAC) oraz partnerzy sektorowi. Cel: identyfikacja przepływów, seizury krypto, dezintegracja infrastruktury oraz ściganie organizatorów.
W skrócie
- Skala strat: amerykańskie ofiary straciły w 2024 r. ok. 10 mld USD, a dynamika rok do roku to ok. +66%.
- Zakres działań: odzyskiwanie setek milionów USD w krypto, sankcje na podmioty wspierające scam-centers, uderzenia w infrastrukturę (w tym łączność).
- Wektor ataku: socjotechnika w kanałach SMS/WhatsApp/Telegram/portale randkowe + „fałszywe inwestycje” na customowych platformach z obsługą krypto.
Kontekst / historia / powiązania
Nowy zespół wpisuje się w szerszą linię działań USA przeciw skamom krypto. W październiku 2025 r. Departament Skarbu ogłosił największą jak dotąd akcję przeciw sieciom cyberprzestępczym w Azji Płd-Wsch., wyznaczając sankcje i odcinając wybrane podmioty od systemu finansowego USA. W maju 2025 r. OFAC sankcjonował infrastrukturę sieciową ułatwiającą skamy (hurtowe zakupy IP, hosting). Te precedensy torują drogę do szybszego blokowania kanałów płatniczych i serwerów.
Równolegle media branżowe i śledcze wskazują na wykorzystywanie łączności satelitarnej przez obozy scamowe w Mjanmie/regionie Mekongu — DOJ uzyskał nakazy zajęcia/wygaszenia wybranych terminali jako element „deny & degrade” infrastruktury.
Analiza techniczna / szczegóły zagrożenia
Łańcuch ataku (high-level TTPs):
- Initial access (socjotechnika): cold outreach przez SMS/RCS („Hi, is this Anna?”), komunikatory/dating apps; pivot na „mentoring inwestycyjny”. TTPs: T1566.002 (Spearphishing via Service), T1204 (User Execution).
- Delivery/Infrastructure: domeny „investment” z realnymi wykresami, walletami kontrolowanymi przez TCO; rotacja ASN/VPS/proxy; czasem IP z puli dostawców infrastruktury z Azji Płd-Wsch. (zidentyfikowane w działaniach sankcyjnych). TTPs: T1583 (Acquire Infrastructure), T1036 (Masquerading).
- Command & Control/Payment: mix USDT/TRC-20, ETH, BTC; warstwowanie/mixing, szybkość cash-out; edukowana obsługa ofiary 1:1. TTPs: T1030 (Data Transfer Size Limits), T1133 (External Remote Services). (Wnioski z publicznych materiałów DOJ/mediów.)
- Hardening narracji: deepfake’y/AI do „proof of funds”, pseudo-dashboardy z naliczaniem zysków; kontrolowane „withdrawal test” na małych kwotach.
Wskaźniki i sygnały telemetryczne (przykłady do SIEM/EDR/DLP):
- Nietypowe sesje przeglądarkowe do nowych domen inwestycyjnych bez reputacji (<=14 dni), z wysokim „first-seen in org” + brak certów EV.
- Transfery krypto z firmowych urządzeń/przeglądarek nie wykorzystywanych dotąd do crypto-ops.
- SMS-y z frazami „Hi, is this X?”, „mentor”, „USDT”, „Kraken VIP/OTC”, „quantitative trading bot”, „copy-trading”.
Praktyczne konsekwencje / ryzyko
Dla SOC/CSIRT/DFIR: spodziewaj się większej współpracy organów ścigania (zapytania o logi, szybkie zabezpieczenia kont i urządzeń), a także rosnącej liczby seizure notices dla giełd/kantorów i żądań zamrożenia środków. Incidenty łączą się z wyciekiem danych osobowych ofiar (KYC, selfie), co zwiększa ryzyko wtórnych fraudów/wyłudzeń.
Dla compliance/AML: sankcje OFAC i nowe desygnacje (np. grupy i spółki w Mjanmie) wymagają screeningu kontrahentów, IP, merchantów i adresów on-chain; niezgodność = ryzyko wtórne/regulator.
Dla świadomości użytkowników: język „romance/investment mentoring” pozostaje dominujący; konieczne są kampanie anty-stygmatyzacyjne, bo ofiary często milczą — to utrudnia detekcję i odzyski. (Trend potwierdzany publicznie w materiałach prasowych i śledczych).
Rekomendacje operacyjne / co zrobić teraz
1) Kontrole prewencyjne (IT/SOC)
- Blokowanie świeżych domen inwestycyjnych: polityka DNS „newly-registered domain (NRD) deny” dla kategorii finance/investment + branżowe listy reputacyjne.
- Policy hardening dla komunikatorów/dating apps na urządzeniach firmowych (MDM).
- TLS inspection + HTTP category logging dla ruchu do giełd/kantorów z sieci firmowej; w razie potrzeby segmentacja i wyjątki HR.
Sigma (detekcja fraz w proxy/HTTP/EDR-URL):
title: Suspicious Investment Scam Landing
id: 8c8a1fce-6bde-4b06-bcc3-ssc-scam-landing
status: experimental
logsource:
category: proxy
product: webproxy
detection:
selection:
cs_host|contains:
- "quant"
- "mentor"
- "vip"
- "otc"
cs_uri|contains:
- "crypto"
- "usdt"
- "copy-trading"
condition: selection
fields:
- c_ip
- cs_host
- cs_uri
level: medium
tags:
- attack.T15832) Playbook DFIR (skrót)
- Triaging przeglądarek: odzysk zakładek/auto-fill/Service Worker/IndexedDB z domen „inwestycyjnych”.
- Wallet forensics: zrzut rozszerzeń (MetaMask/OKX/Trust) + historię transakcji; ścieżka SignMessage i Approve (ERC-20).
- Chain tracing: szybka weryfikacja heuristic clusters i service exposure na adresach ofiary (open-source first).
Przykładowe komendy (Bitcoin/Ethereum, open APIs):
# BTC: podgląd transakcji i heurystyka (mempool.space / Blockstream)
curl -s https://mempool.space/api/address/$(cat suspect_btc.addr) | jq '.chain_stats'
# ETH: salda i transfery ERC-20 (OKLink public API lub Etherscan - wstaw swój klucz)
curl -s "https://api.etherscan.io/api?module=account&action=txlist&address=0xADDR&startblock=0&endblock=99999999&sort=asc&apikey=<KEY>" | jq '.result[] | {hash, to, value}'3) AML/FinCrime
- Screening adresów on-chain pod kątem sankcji OFAC (listy SDN + własne watch-listy); wprowadzić real-time rule „first-hop to/from sanctioned cluster = freeze & escalate”.
- Travel Rule dla VASP: automatyczna wymiana danych przy transferach powyżej progów + enhanced due diligence dla kierunków wysokiego ryzyka (Birma, Kambodża, Laos).
4) Retrospektywa w SIEM (szybkie zapytania)
Splunk (proxy + EDR + SMS-gateway):
index=proxy OR index=edr OR index=smsgw
| eval ioc=coalesce(uri, dest_domain, sms_body)
| search ioc="USDT" OR ioc="copy-trading" OR ioc="quantitative" OR ioc="mentor" OR ioc="VIP OTC"
| stats count by src_user, src_ip, dest_domain, uri, sms_sender, sms_bodyRóżnice / porównania z innymi przypadkami
- Strike Force vs. pojedyncze śledztwa: to stała, międzyagencyjna jednostka koordynująca dochodzenia, sankcje, zajęcia krypto i operacje na infrastrukturze; wcześniej dominowały rozproszone sprawy i doraźne akcje.
- Dołożenie komponentu infrastrukturalnego (np. łączność satelitarna) — krok poza klasyczne „seize wallet”, uderzenie w enablerów działania obozów oszustw.
- Kontynuacja linii OFAC/Treasury: od sankcji na sieci i operatorów (Q2–Q4 2025) do zgranego „whole-of-government” z DOJ.
Podsumowanie / kluczowe wnioski
- Scam Center Strike Force to zapowiedź częstszych seizur, sankcji i takedownów infrastruktury wspierającej „romance/investment-baiting”.
- Dla obrony: wzmocnij kontrole komunikatorów, filtry NRD, detekcje fraz i chain-screening; przygotuj playbook odzysku środków i ścieżkę szybkiej współpracy z organami.
- Dla compliance: aktualizuj listy sankcyjne, wdrażaj Travel Rule i ciągłą analizę przepływów do regionów wysokiego ryzyka.
Źródła / bibliografia
- U.S. Attorney’s Office (DOJ) — ogłoszenie „Scam Center Strike Force”, 12.11.2025. (justice.gov)
- Bloomberg — omówienie skali i celu Strike Force (~10 mld USD strat). (Bloomberg)
- BleepingComputer — przegląd inicjatywy i TTP oszustów. (BleepingComputer)
- U.S. Treasury (OFAC) — duża akcja przeciw sieciom cyberprzestępczym w Azji Płd-Wsch. (10.2025). (U.S. Department of the Treasury)
- Reuters — sankcje przeciw dostawcy infrastruktury wspierającej skamy (05.2025). (Reuters)
