SEC rozbija „AI-kluby inwestycyjne” na WhatsApp: fałszywe platformy krypto i fikcyjne STO miały wyłudzić ponad 14 mln USD

Wprowadzenie do problemu / definicja luki

Amerykańska SEC (Securities and Exchange Commission) w pozwie z 22 grudnia 2025 r. opisała klasyczny schemat investment confidence scam (scam „na zaufanie”), tym razem ubrany w modne hasła: „AI-generowane sygnały”, „profesorowie”, „kluby inwestycyjne” i „bezpieczne tokenizowane oferty”. Według regulatora grupa podmiotów miała wyłudzić od inwestorów detalicznych co najmniej 14 mln USD, wykorzystując reklamy w social media, czaty WhatsApp i fałszywe platformy do handlu krypto, na których realny trading… nie istniał.

Z perspektywy cyberbezpieczeństwa to temat istotny, bo łączy:

• socjotechnikę (grupy, „mentorzy”, presja czasu),
• nadużycia AI (w tym deepfake w reklamach),
• infrastrukturę phishingowo-fraudową (domeny, panele „tradingowe”, portfele),
• oraz typowe mechanizmy „drugiego dojenia” ofiary (opłaty za wypłatę, „odmrożenie konta”).

W skrócie

• SEC oskarżyła trzy rzekome platformy: Morocoin Tech Corp., Berge Blockchain Technology Co., Ltd., Cirkor Inc. oraz cztery „kluby” WhatsApp: AI Wealth Inc., Lane Wealth Inc., AI Investment Education Foundation Ltd. (AIIEF), Zenith Asset Tech Foundation.
• Mechanika: reklamy w social media → zaproszenie do grupy WhatsApp → „AI-sygnały” od „profesora” i „asystenta” → depozyt na fałszywej platformie → oferta fikcyjnych Security Token Offerings (STO) → blokada wypłat i żądanie „opłat z góry”.
• W skardze SEC pojawia się wątek reklam z deepfake’ami znanych ekspertów finansowych.
• Domeny/infrastruktura wskazana w materiale: m.in. h5.morocoin[.]top, bergev[.]org, cirkortrading[.]com.

Kontekst / historia / powiązania

To nie jest „hakerski” incydent w sensie włamania do systemu banku. To operacja cyberprzestępcza nastawiona na konwersję, która działa jak dobrze zoptymalizowany lejek sprzedażowy:

1. pozyskanie ruchu płatnymi reklamami,
2. przeniesienie rozmowy do komunikatora (mniejsza widoczność dla moderacji),
3. budowanie wiarygodności przez persony i „dowody” (screeny zysków),
4. domknięcie transakcji przez przelew/crypto transfer,
5. monetyzacja „wypłatami”, czyli dodatkowymi opłatami.

SEC zwraca uwagę, iż oszuści coraz częściej używają AI/deepfake, aby uwiarygodnić „lidera” grupy i obietnicę „algorytmicznej przewagi”. W ostrzeżeniu Investor.gov regulator wprost opisuje ten wzorzec: fałszywy ekspert, „AI-algorytm”, pozorne zyski i blokada wypłaty z żądaniem opłat/podatków/depozytu albo straszeniem „zamrożeniem konta przez SEC”.

Analiza techniczna / szczegóły „luki”

1) Warstwa pozyskania: reklamy + deepfake

W pozwie SEC pojawia się informacja, iż część reklam w social media zawierała deepfake wideo „prominent financial professionals”. To istotne, bo przenosi scamy z poziomu tekstowych baitów na poziom „dowodu wideo” w kampaniach performance.

2) Warstwa zaufania: „profesor” i „asystent” w WhatsApp

Schemat operował na powtarzalnym playbooku:

• „profesor” publikował komentarze makro / rynkowe,
• „asystent” obsługiwał uczestników i prowadził ich krok po kroku,
• rekomendacje były przedstawiane jako oparte o AI-generowane „signals”.

3) Warstwa realizacji: fałszywe platformy tradingowe

SEC wskazuje, iż platformy nie były prawdziwymi giełdami/marketplace’ami, a trading nie następował mimo tego, iż UI mogło pokazywać wykresy, salda i „wyniki”.
W materiale opisującym sprawę podano też konkretne domeny używane do obsługi „platform” (m.in. h5.morocoin[.]top).

4) „Produkt” oszustwa: fikcyjne STO (Security Token Offerings)

Kluczową sztuczką była sprzedaż „STO” rzekomo emitowanych przez legalne firmy i porównywanych do IPO. SEC twierdzi, iż STO i „spółki-emitenci” nie istnieli.
The Hacker News opisuje przykłady nazw tokenów/ofert promowanych w grupach (m.in. SCT / HMB) oraz fikcyjnych emitentów.

5) Warstwa monetyzacji 2.0: opłaty za wypłatę / „zamrożone konto”

To klasyczne „advance fee fraud”: gdy ofiara próbuje wypłacić środki, dostaje żądanie dopłaty. Investor.gov podkreśla, iż oszuści potrafią też straszyć rzekomym „zamrożeniem konta” przez regulatora i nakłaniać do płatności „odmrażających”.

Praktyczne konsekwencje / ryzyko

• Dla użytkowników: realne ryzyko utraty środków (fiat i krypto), wtórnej eksploatacji (kolejne „opłaty”), a także kradzieży danych KYC, jeżeli „platforma” je zbierała.
• Dla firm i marek (fintech/crypto/edtech): podszywanie się pod brand w reklamach i grupach, wzrost kosztów obsługi incydentów reputacyjnych, a także wzrost zgłoszeń do supportu i regulatorów.
• Dla zespołów SOC/DFIR: coraz więcej spraw zahacza o OSINT, takedown, analizę kampanii reklamowych i korelację portfeli krypto (szczególnie gdy ofiary/organizacje próbują odzyskać środki).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i zespołów bezpieczeństwa w organizacjach (quick wins)

1. Nie traktuj grup WhatsApp/Telegram jako źródła „sygnałów” inwestycyjnych – regulator wprost ostrzega, by nie opierać decyzji inwestycyjnych wyłącznie na czatach.
2. Weryfikuj „licencje” i rejestracje: o ile platforma chwali się nadzorem/zgodami, sprawdź ją w oficjalnych rejestrach regulatora (Investor.gov to promuje jako standardową praktykę).
3. Red flagi, które prawie zawsze oznaczają scam:
   • gwarantowane zyski,
   • presja czasu („okno wejścia w STO”),
   • prośba o dopłatę, by wypłacić pieniądze,
   • prośba o wysyłkę krypto na „nieznany portfel”,
   • straszenie „zamrożeniem konta przez urząd”.
4. Higiena techniczna: przed wpłatą sprawdź domenę, historię rejestracji, reputację, artefakty infrastruktury (klony UI, ten sam szablon, te same skrypty trackingowe).
5. Dla firm: wdroż monitoring reklam podszywających się pod markę (brand protection), szybkie ścieżki zgłoszeń do platform reklamowych i komunikatorów, oraz gotowe komunikaty „scam alert” dla klientów.

Różnice / porównania z innymi przypadkami

• W porównaniu do typowych „pump & dump” lub klasycznych „sygnałów na Telegramie”, tutaj „produktem” były fikcyjne STO i wrażenie uczestnictwa w czymś ekskluzywnym („jak IPO, tylko szybciej”).
• W porównaniu do „pig butchering” (długie budowanie relacji), mechanizm był bardziej „skalowalny”: reklamy → grupa → konwersja, a zaufanie budowane było autorytetem „profesora” i AI/deepfake.
• To także przykład, jak „AI” bywa wykorzystywane marketingowo: nie jako realny model inwestycyjny, tylko jako narracja podbijająca wiarygodność i FOMO.

Podsumowanie / najważniejsze wnioski

SEC opisuje sprawę jako wieloetapowe oszustwo inwestycyjne, w którym komunikatory (WhatsApp), reklamy w social media i narracja „AI-sygnałów” zostały użyte do przeniesienia ofiar na fałszywe platformy tradingowe i wyłudzenia środków (łącznie ≥14 mln USD).

Najważniejsza lekcja dla cyber: to nie jednorazowy phishing, tylko operacja przypominająca kampanię growth/marketingową z elementami AI-impersonation. Obrona wymaga połączenia edukacji (red flagi), OSINT/brand protection oraz szybkiego reagowania na infrastrukturę (takedown domen, zgłoszenia kampanii reklamowych, wsparcie ofiar w procesie zgłoszeń).

Źródła / bibliografia

1. The Hacker News – opis sprawy i przykłady elementów kampanii (24.12.2025). (The Hacker News)
2. SEC – komunikat prasowy 2025-144 (22.12.2025). (SEC)
3. SEC – treść pozwu (Complaint, 29 stron; 22.12.2025). (SEC)
4. Investor.gov (SEC OIEA) – „Group Chats as a Gateway to Investment Scams” (22.12.2025). (Investor)
5. The Record (Recorded Future News) – relacja dziennikarska o pozwie SEC (23–24.12.2025). (The Record from Recorded Future)