USA uruchamia „Scam Center Strike Force” przeciw chińskim sieciom oszustw krypto — co to oznacza dla obrony?

Wprowadzenie do problemu / definicja luki

Departament Sprawiedliwości USA (DOJ) ogłosił 12 listopada 2025 r. powołanie międzyagencyjnej Scam Center Strike Force — zespołu uderzeniowego do rozbijania transnarodowych ośrodków oszustw inwestycyjnych („pig-butchering” / romance-baiting) powiązanych z chińskimi strukturami przestępczymi i działających głównie w Azji Południowo-Wschodniej. W inicjatywę zaangażowane są m.in. FBI, US Secret Service, Departament Skarbu (OFAC) oraz partnerzy sektorowi. Cel: identyfikacja przepływów, seizury krypto, dezintegracja infrastruktury oraz ściganie organizatorów.

W skrócie

• Skala strat: amerykańskie ofiary straciły w 2024 r. ok. 10 mld USD, a dynamika rok do roku to ok. +66%.
• Zakres działań: odzyskiwanie setek milionów USD w krypto, sankcje na podmioty wspierające scam-centers, uderzenia w infrastrukturę (w tym łączność).
• Wektor ataku: socjotechnika w kanałach SMS/WhatsApp/Telegram/portale randkowe + „fałszywe inwestycje” na customowych platformach z obsługą krypto.

Kontekst / historia / powiązania

Nowy zespół wpisuje się w szerszą linię działań USA przeciw skamom krypto. W październiku 2025 r. Departament Skarbu ogłosił największą jak dotąd akcję przeciw sieciom cyberprzestępczym w Azji Płd-Wsch., wyznaczając sankcje i odcinając wybrane podmioty od systemu finansowego USA. W maju 2025 r. OFAC sankcjonował infrastrukturę sieciową ułatwiającą skamy (hurtowe zakupy IP, hosting). Te precedensy torują drogę do szybszego blokowania kanałów płatniczych i serwerów.

Równolegle media branżowe i śledcze wskazują na wykorzystywanie łączności satelitarnej przez obozy scamowe w Mjanmie/regionie Mekongu — DOJ uzyskał nakazy zajęcia/wygaszenia wybranych terminali jako element „deny & degrade” infrastruktury.

Analiza techniczna / szczegóły zagrożenia

Łańcuch ataku (high-level TTPs):

1. Initial access (socjotechnika): cold outreach przez SMS/RCS („Hi, is this Anna?”), komunikatory/dating apps; pivot na „mentoring inwestycyjny”. TTPs: T1566.002 (Spearphishing via Service), T1204 (User Execution).
2. Delivery/Infrastructure: domeny „investment” z realnymi wykresami, walletami kontrolowanymi przez TCO; rotacja ASN/VPS/proxy; czasem IP z puli dostawców infrastruktury z Azji Płd-Wsch. (zidentyfikowane w działaniach sankcyjnych). TTPs: T1583 (Acquire Infrastructure), T1036 (Masquerading).
3. Command & Control/Payment: mix USDT/TRC-20, ETH, BTC; warstwowanie/mixing, szybkość cash-out; edukowana obsługa ofiary 1:1. TTPs: T1030 (Data Transfer Size Limits), T1133 (External Remote Services). (Wnioski z publicznych materiałów DOJ/mediów.)
4. Hardening narracji: deepfake’y/AI do „proof of funds”, pseudo-dashboardy z naliczaniem zysków; kontrolowane „withdrawal test” na małych kwotach.

Wskaźniki i sygnały telemetryczne (przykłady do SIEM/EDR/DLP):

• Nietypowe sesje przeglądarkowe do nowych domen inwestycyjnych bez reputacji (<=14 dni), z wysokim „first-seen in org” + brak certów EV.
• Transfery krypto z firmowych urządzeń/przeglądarek nie wykorzystywanych dotąd do crypto-ops.
• SMS-y z frazami „Hi, is this X?”, „mentor”, „USDT”, „Kraken VIP/OTC”, „quantitative trading bot”, „copy-trading”.

Praktyczne konsekwencje / ryzyko

Dla SOC/CSIRT/DFIR: spodziewaj się większej współpracy organów ścigania (zapytania o logi, szybkie zabezpieczenia kont i urządzeń), a także rosnącej liczby seizure notices dla giełd/kantorów i żądań zamrożenia środków. Incidenty łączą się z wyciekiem danych osobowych ofiar (KYC, selfie), co zwiększa ryzyko wtórnych fraudów/wyłudzeń.

Dla compliance/AML: sankcje OFAC i nowe desygnacje (np. grupy i spółki w Mjanmie) wymagają screeningu kontrahentów, IP, merchantów i adresów on-chain; niezgodność = ryzyko wtórne/regulator.

Dla świadomości użytkowników: język „romance/investment mentoring” pozostaje dominujący; konieczne są kampanie anty-stygmatyzacyjne, bo ofiary często milczą — to utrudnia detekcję i odzyski. (Trend potwierdzany publicznie w materiałach prasowych i śledczych).

Rekomendacje operacyjne / co zrobić teraz

1) Kontrole prewencyjne (IT/SOC)

• Blokowanie świeżych domen inwestycyjnych: polityka DNS „newly-registered domain (NRD) deny” dla kategorii finance/investment + branżowe listy reputacyjne.
• Policy hardening dla komunikatorów/dating apps na urządzeniach firmowych (MDM).
• TLS inspection + HTTP category logging dla ruchu do giełd/kantorów z sieci firmowej; w razie potrzeby segmentacja i wyjątki HR.

Sigma (detekcja fraz w proxy/HTTP/EDR-URL):

title: Suspicious Investment Scam Landing id: 8c8a1fce-6bde-4b06-bcc3-ssc-scam-landing status: experimental logsource: category: proxy product: webproxy detection: selection: cs_host|contains: - "quant" - "mentor" - "vip" - "otc" cs_uri|contains: - "crypto" - "usdt" - "copy-trading" condition: selection fields: - c_ip - cs_host - cs_uri level: medium tags: - attack.T1583

2) Playbook DFIR (skrót)

• Triaging przeglądarek: odzysk zakładek/auto-fill/Service Worker/IndexedDB z domen „inwestycyjnych”.
• Wallet forensics: zrzut rozszerzeń (MetaMask/OKX/Trust) + historię transakcji; ścieżka SignMessage i Approve (ERC-20).
• Chain tracing: szybka weryfikacja heuristic clusters i service exposure na adresach ofiary (open-source first).

Przykładowe komendy (Bitcoin/Ethereum, open APIs):

# BTC: podgląd transakcji i heurystyka (mempool.space / Blockstream) curl -s https://mempool.space/api/address/$(cat suspect_btc.addr) | jq '.chain_stats' # ETH: salda i transfery ERC-20 (OKLink public API lub Etherscan - wstaw swój klucz) curl -s "https://api.etherscan.io/api?module=account&action=txlist&address=0xADDR&startblock=0&endblock=99999999&sort=asc&apikey=<KEY>" | jq '.result[] | {hash, to, value}'

3) AML/FinCrime

• Screening adresów on-chain pod kątem sankcji OFAC (listy SDN + własne watch-listy); wprowadzić real-time rule „first-hop to/from sanctioned cluster = freeze & escalate”.
• Travel Rule dla VASP: automatyczna wymiana danych przy transferach powyżej progów + enhanced due diligence dla kierunków wysokiego ryzyka (Birma, Kambodża, Laos).

4) Retrospektywa w SIEM (szybkie zapytania)

Splunk (proxy + EDR + SMS-gateway):

index=proxy OR index=edr OR index=smsgw | eval ioc=coalesce(uri, dest_domain, sms_body) | search ioc="USDT" OR ioc="copy-trading" OR ioc="quantitative" OR ioc="mentor" OR ioc="VIP OTC" | stats count by src_user, src_ip, dest_domain, uri, sms_sender, sms_body

Różnice / porównania z innymi przypadkami

• Strike Force vs. pojedyncze śledztwa: to stała, międzyagencyjna jednostka koordynująca dochodzenia, sankcje, zajęcia krypto i operacje na infrastrukturze; wcześniej dominowały rozproszone sprawy i doraźne akcje.
• Dołożenie komponentu infrastrukturalnego (np. łączność satelitarna) — krok poza klasyczne „seize wallet”, uderzenie w enablerów działania obozów oszustw.
• Kontynuacja linii OFAC/Treasury: od sankcji na sieci i operatorów (Q2–Q4 2025) do zgranego „whole-of-government” z DOJ.

Podsumowanie / najważniejsze wnioski

• Scam Center Strike Force to zapowiedź częstszych seizur, sankcji i takedownów infrastruktury wspierającej „romance/investment-baiting”.
• Dla obrony: wzmocnij kontrole komunikatorów, filtry NRD, detekcje fraz i chain-screening; przygotuj playbook odzysku środków i ścieżkę szybkiej współpracy z organami.
• Dla compliance: aktualizuj listy sankcyjne, wdrażaj Travel Rule i ciągłą analizę przepływów do regionów wysokiego ryzyka.

Źródła / bibliografia

• U.S. Attorney’s Office (DOJ) — ogłoszenie „Scam Center Strike Force”, 12.11.2025. (justice.gov)
• Bloomberg — omówienie skali i celu Strike Force (~10 mld USD strat). (Bloomberg)
• BleepingComputer — przegląd inicjatywy i TTP oszustów. (BleepingComputer)
• U.S. Treasury (OFAC) — duża akcja przeciw sieciom cyberprzestępczym w Azji Płd-Wsch. (10.2025). (U.S. Department of the Treasury)
• Reuters — sankcje przeciw dostawcy infrastruktury wspierającej skamy (05.2025). (Reuters)