Новые рекламные сигналы приходят один за другим. Хотите фальшивые деньги? Услуги по отмыванию денег? Хакерские технологии? Если вы знаете китайский и понимаете криминальный жаргон — «料主» означает человека, который владеет украденными деньгами или банковской информацией, а «狗推» обозначает сотрудников, занимающихся мошенничеством в парке — все это и даже больше продается в углах самого большого в мире рынка незаконной торговли товарами.
Найти это несложно. Основная информация публикуется в общественном чате, управляемом Группой Хуион (Huione Group). Эта камбоджийская бизнес-группа известна в местном китайскоязычном сообществе благодаря продаже страхования, обмена валют и финансовых услуг. Её онлайн-банковский отдел «Хуион Пэй» (Huione Pay) сам себя называет «支付宝 Камбоджи». В ресторанах и маленьких магазинах на каждом углу можно увидеть красные наклейки с QR-кодом Huione, с помощью которых люди могут оплачивать покупки.
Но полный спектр услуг, предоставляемых компанией Huibang, на самом деле гораздо более мрачный. Несмотря на то, что связанные с Huibang компании многократно отрицали участие в каких-либо преступных действиях, Министерство финансов США заявило, что Huibang отмыл как минимум 4 миллиарда долларов, полученных от мошенничества и кражи криптовалюты.
В этой статье, основанной на более чем 20 интервью с правительственными чиновниками, инсайдерами компаний, предполагаемыми жертвами и внутренними документами, подробно рассказывается о том, как Huiwang помогла азиатской индустрии онлайн-мошенничества разрастись до многомиллиардного бегемота.
«Хуэйван — это как Амазон для преступников», — так охарактеризовал эту компанию сетевой следователь и бывший хакер Нго Минь Хьё. Он изучает сетевой след этой корпоративной группы. «Организация их бизнеса и ассортимент продукции шокируют меня». Заключение Нго совпадает с мнением некоторых регуляторов.
Постоянно изменяющаяся операционная модель
История компании Хуайвань крайне непрозрачна. Архивные страницы показывают, что она была основана в 2014 году в Камбодже, но записи в Гонконге указывают на то, что она зарегистрировалась там только в 2018 году. Она, похоже, никогда не публиковала финансовую отчетность и не имеет сотрудников или офисов. По сути, это просто оболочка сети аффилированных компаний. Директора этих филиалов часто совпадают, но отношения между различными отделами неясны.
Министерство финансов США специально упомянуло три организации, утверждая, что они сыграли роль в помощи преступным группам в перемещении незаконных средств: Huione Pay, криптовалютная биржа Huione Crypto и оператор онлайн-торговой платформы «Haowang Guarantee» (ранее известная как Huione Guarantee). Министерство заявило, что эти три организации «по сути одно и то же» с материнской компанией. В мае этого года Министерство финансов США объявило о планах полностью исключить Huione из финансовой системы США, при этом отметив, что клиентами Huione являются транснациональные криминальные организации и северокорейские хакеры «группа Lazarus». Министерство заявило, что «из-за отсутствия эффективных политик и процедур по противодействию отмыванию денег и идентификации клиентов (AML/KYC)», риски, связанные с Huione и его связями с незаконной деятельностью и сделками, «дальше усугубляются».
Другие страны также усиливают меры по сдерживанию. Таиланд, граничащий с Камбоджей, в июне объявил о начале расследования против группы Хуэйвань, подозреваемой в отмывании средств, полученных от незаконных азартных игр и мошенничества. В коммерческой сфере приложение для мгновенной связи Telegram закрыло десятки чатов, связанных с Хуэйвань. Представитель эмитента стейблкоинов Tether сообщил, что被冻结 почти 30 миллионов долларов USDT из кошельков, связанных с Хаовань, добавив, что, если правоохранительные органы отметят больше кошельков, связанных с Хаовань, компания незамедлительно примет меры.
Эти меры уже оказали некоторое публичное влияние. По данным центрального банка Камбоджи, Hao Wang Guaranty и Huione Crypto объявили о закрытии, а Hui Wang Payment также ликвидировался в июне. Национальный банк Камбоджи в заявлении для Bloomberg сообщил, что Hui Wang Payment был лишен лицензии за «серьезные нарушения применимых норм», ему предписали закрыть офис и прекратить все операции, и этот процесс был полностью завершен 19 июня. Тем не менее, через три недели после, казалось бы, прекращения операций, Hui Wang Payment в электронном письме для Bloomberg заявил, что «прилагает усилия для конструктивного взаимодействия с американскими чиновниками и другими властями», чтобы способствовать безопасности и прозрачности финансовой системы. В открытом ответе на Министерство финансов США Hui Wang Payment заявил, что «прилагает все усилия для решения вопросов соблюдения норм и принятия мер по исправлению ситуации».
Хотя исторически эти организации утверждали, что они напрямую связаны друг с другом (на старом веб-сайте Huione Pay говорилось, что она «произошла от Huiwang Group»; В конце прошлого года Howang Guaranty назвала Huiwang Group одним из своих «стратегических партнеров и акционеров» в сообщении в социальных сетях, но ни одна независимая организация публично не признала свою связь с Huiwang Group.
Но сетевые активности и два человека, знакомые с операциями бизнеса, утверждают, что эти три отдела, похоже, все еще продолжают функционировать в какой-то форме, изменяя названия или перенаправляя клиентов к связанным предприятиям, чтобы избежать перебоев и регуляторного давления.
Например, в течение нескольких недель после объявления о закрытии Haowang Guarantee компания по анализу блокчейна Chainalysis выявила, что объем криптовалютных транзакций, связанных с сущностью Huiwang, на самом деле увеличился. Один из крупных групп в Telegram, связанный с Haowang Guarantee, по-прежнему доступен для публичного доступа и активно функционирует, в то время как администраторы направляют клиентов к «Tudou Guarantee». Согласно заявлениям обеих компаний, Haowang Guarantee недавно приобрела 30% акций этой платформы.
У Tudou Guarantee нет общедоступной электронной почты или номера телефона. Сотрудники службы поддержки в Telegram заявили, что никто не может ответить на вопросы СМИ. Haowang Guaranty отклонила просьбу об интервью, заявив, что прекратила свою деятельность и не связана ни с одной из структур Huiwang. Ранее компания отрицала какую-либо причастность к пособничеству киберпреступности. Представитель Telegram сказал: «Мы оцениваем сообщения в каждом конкретном случае и решительно выступаем против полных запретов», добавив, что приложение стремится защищать конфиденциальность пользователей и финансовую автономию.
На сайте Huione Crypto чат-бот направляет клиентов на регистрацию нового провайдера услуг под названием Kex. Kex зарегистрирована на Британских Виргинских островах и недоступна для контакта. Анонимный источник (из соображений безопасности) сообщил, что Kex управляется бывшими сотрудниками Huione Crypto. Ngo добавил, что индивидуальные шаблоны веб-сайтов Kex идентичны тем, что у Huione Crypto. Электронные письма, отправленные в официальные почтовые ящики Huione Crypto и Kex, были возвращены.
Непрерывное существование группы компаний Хуайвань подчеркивает сложности закрытия децентрализованных рынков, а также демонстрирует устойчивость структуры Хуайвань и способность группы находить обходные решения. Внутренние документы показывают, что так называемый «деньги мул» (лица, ответственные за отмывание денег) нацелился как минимум на 12 стран-жертв. Корпоративные документы показывают, что некоторые подразделения Хуайвань имеют филиалы в Польше, Канаде и Японии.
«Когда сложные преступные финансовые сети действительно укореняются, публичное закрытие часто является лишь формальностью», — говорит Эндрю Фирман, руководитель отдела анализа национальной безопасности Chainalysis. Министерство финансов США опиралось на исследования этой компании и пришло к выводу, что 汇旺 является «важным каналом для отмывателей денег». «Настоящая инфраструктура (их каналы отмывания денег) все еще работает под поверхностью, без препятствий обрабатывая миллиарды долларов.»
Скрытое ядро
Внутри Huione эта инфраструктура расположена в таинственном отделе «Huione International Pay». По словам двух информаторов, пожелавших остаться анонимными (по соображениям безопасности), этот отдел является основным местом работы, помогающим в повседневной мошеннической деятельности. Документы компании, которые увидело агентство Bloomberg, и оба этих человека сообщили, что, помимо управления онлайн-рынками преступности в мессенджерах, таких как Telegram, сотрудники также напрямую связывают мошенников с денежными мулами и взимают с них плату.
Согласно сообщениям, сотрудники Huiwang International Payment ранее работали на втором этаже штаб-квартиры Huiwang Payment в Пномпене, используя псевдонимы и помогая устанавливать связи между сетями отмывателей денег. Документы, увиденные Bloomberg, содержат подробные бухгалтерские записи тысяч жертв, которых различные группы использовали для мошенничества с услугами Huione International Pay. Хотя практически невозможно подтвердить каждое событие, Bloomberg сопоставил некоторые детали и идентификационную информацию с делами, находящимися на рассмотрении в судах США.
Компания Хуйвань Пэйментс заявила, что она не имеет никакой связи с Хуйвань Интернешнл Пэйментс и не знает, на какое лицо или организацию ссылается это название. В отчете Финансовой сети по борьбе с преступностью США в мае утверждалось, что Хуйвань Интернешнл Пэйментс является «частью Хуйвань Пэйментс» и содействовала «сделкам, связанным с отмыванием денег».
Взрывной рост отрасли
Еще до широкого распространения персональных компьютеров киберпреступность уже существовала, можно сказать, что она появилась с 30-х годов XIX века: тогда пара французских братьев использовала оптическую телеграфную систему, чтобы заранее получать данные о фондовом рынке Парижа. Но в 2010-х годах киберрэкет действительно вспыхнул, и многие из этих действий исходят из новых мошеннических районов в странах Юго-Восточной Азии (например, Камбоджа, Мьянма, Лаос), которые начали обманывать глобальных жертв.
Многие парки управляются преступными группами, возглавляемыми китайцами, а сотрудники являются торговцами людьми, которые вынуждены обманывать жертв в таких странах, как США, Германия и Япония. В многих случаях цель обманывается для участия в ложных инвестиционных планах в криптовалюту или ложных романах, так называемых «убойных планах».
Отрасль мошенничества с использованием технологий растет быстро. Данные Chainalysis показывают, что в 2024 году доходы от мошенничества «свинцовая ловушка» увеличились почти на 40% по сравнению с предыдущим годом. С расширением отрасли у мировых правоохранительных органов возникает все больше вопросов: как криминальные лидеры получают инструменты (например, поддельные паспорта, вредоносное ПО, программное обеспечение для распознавания лиц, деньги-курьеры) для достижения такого быстрого роста? Ответ заключается в новой группе онлайн-торговых рынков. В отличие от западных аналогичных платформ, таких как «Шелковый путь», доступ к которым требует преодоления технических барьеров, эти новые платформы работают на виду.
В Telegram-группах, управляемых Huiwang (до нескольких тысяч), многие из них кажутся безобидными, их функции в основном аналогичны страницам классифицированной информации для обмена валюты или продажи недвижимости. Однако, согласно аналитикам Управления Организации Объединенных Наций по наркотикам и преступности, после закрытия подпольного рынка в Мьянме под названием «Fully Light Guarantee» (который не имеет известных связей с Huiwang), атмосфера на Huiwang Guarantee стала мрачной. Анонимные пользователи начали использовать в постах больше намеков на незаконные сделки, а объявления пользователей больше не стараются скрывать незаконные намерения. Большинство объявлений написаны на китайском, что указывает на то, что основные клиенты не камбоджийцы.
Министерство иностранных дел Китая, хотя и не комментировало напрямую HUIWANG, заявило, что Китай активно развивает сотрудничество в области правопорядка и безопасности с соседними странами, включая Камбоджу, и продолжит углублять международное сотрудничество в правоохранительных органах для борьбы с транснациональной преступностью, такой как интернет-мошенничество.
Реклама, просмотренная Bloomberg в 2023 году, предлагает поддельные юани, которые можно пройти через счетчики денег. Другие объявления рекламируют контрабандные iPhone, взломанные компьютеры или предлагают услуги по размораживанию банковских счетов. Несколько реклам непосредственно продают товары, связанные с мошеннической деятельностью: используя китайские термины, такие как «убийство свиней», предлагают услуги по продаже поддельных криптовалютных инвестиционных сайтов, рекламируют использование электрошокеров и слезоточивого газа для контроля «бегущих собак», что явно указывает на жестокое обращение с продаваемыми работниками. Большинство объявлений требуют оплату в криптовалюте.
«Закрытие Alllight стало основным катализатором для других торговых платформ», - заявил бывший аналитик угроз в Управлении ООН по наркотикам и преступности Джон Водзик. «Huaiwang гарантии почти за одну ночь выросли с нескольких тысяч пользователей до десятков тысяч, сотен тысяч пользователей», потому что предыдущие пользователи Alllight искали альтернативные платформы.
С расширением влияния Huibao гарантии, исследователи блокчейна начали углубленное изучение, пытаясь оценить его истинный масштаб. Одна из крупнейших исследовательских компаний Elliptic опубликовала отчет в январе, в котором сделан вывод, что как минимум 24 миллиарда долларов проходят через криптовалютные кошельки Huibao гарантии и его торговцев. Оценка блокчейн-разведывательной компании TRM Labs еще выше - 81 миллиард долларов. В любом случае, эти оценки означают, что масштаб Huibao гарантии значительно превышает его крупнейшего предшественника - закрытый американскими и немецкими чиновниками российский рынок «Гидра» (Hydra Market).
Источник данных: Elliptic
«Они больше, чем любые другие аналогичные платформы в несколько раз», — сказал главный научный сотрудник Elliptic Том Робинсон.
Компания Hao Wang заявила в своем заявлении в феврале, что она не играет никакой роли в содействии киберпреступности и что все операции в ее группе Telegram осуществляются третьими лицами.
Сложная работа
Bloomberg ознакомился с некоторыми внутренними документами Huaiwang International Payment за 2022 и 2023 годы, которые в основном написаны на китайском языке и содержат информацию о тысячах жертв и десятках миллионов долларов в транзакциях. Документы показывают, что сотрудники непосредственно участвуют в мониторинге транзакций и разрешении споров, а платформа регулярно взимает комиссию с транзакций. В документах также указано, что Huaiwang International Payment глубоко участвует в операциях, даже предоставляя крупные кредитные лимиты высокоэффективным командам по отмыванию денег.
Одним из таких документов является многостраничное руководство, подготовленное Wayone International Payment Transactions, в котором изложены правила заполнения логов для «клиентов» (т.е. жертв) в США, Европе и Австралии. В этом отчете за 2022 год описывается, как бороться с рисками, которые варьируются «от легких до серьезных», в том числе, когда жертва звонит в полицию или когда денежный мул задерживается властями. В инструкции указано, что графа в журнале должна быть изменена на «Персонал арестован» и «немедленно доложить руководителю или руководителю региона».
Скриншот документа, составленного отделом международных платежей Huibang, показывает правила ведения журнала, заполняемого жертвой (называемой «клиентом»).
Файлы используют систему кодирования для отслеживания денежных мулов и мошенников, раскрывая их охват и изощренность. Лица, занимающиеся отмыванием денег, классифицируются с помощью префикса «X», за которым следует цифровое число. Мошенники широко сгруппированы по целевым регионам: EZ3 относится к бандам, ориентированным на жертв в Европе; US26 относится к бандам, направленным против Соединенных Штатов. Huione International Payments также собирает информацию о жертвах, а иногда даже хранит данные их банковских счетов. Отчеты об операциях на Тайване чрезвычайно подробны, в том числе обоснования, созданные мошенниками для составления телеграммы. Например, в одном случае написано «заказать корм для домашних животных оптом». Харрис Чен, прокурор Тайваня, специализирующийся на расследованиях киберпреступлений, сказал, что ему удалось сопоставить детали в документах как минимум с двумя обвинительными приговорами за отмывание денег на Тайване.
Bloomberg сопоставил подробную информацию о нескольких лицах из документа с информацией, полученной в ходе расследования, проводимого Федеральным бюро расследований США и Секретной службой (ответственной за юрисдикцию по финансовым преступлениям и защиту президента).
В их числе дело Дарена Ли (Daren Li, имеющего двойное гражданство Китая и Сент-Китса и Невиса), который в США признал, что отмывал более 73 миллионов долларов через мошенничество с инвестициями в криптовалюту. Американские власти изъяли его телефон и заявили, что он общался с сообщниками в Telegram под ником «KG71777». В документах Huibang International Payment содержатся не только записи этого имени пользователя, но и его аккаунт в WhatsApp. Документы показывают, что Ли зарабатывал около 9% комиссии. (Huibang не упоминается в открытых судебных документах по этому делу.)
Одной из жертв, появившихся в журнале, был Шаши Айер, житель США. В конце 2022 года Айер получил странное напоминание на свой телефон: согласно судебным документам США, вы были автоматически добавлены в группу Telegram. Когда он спросил администратора, почему, тот сказал, что группа предназначена для инвесторов, заинтересованных в опционных контрактах на торговлю криптовалютой в бостонской фирме, предоставляющей финансовые услуги. Айер часто ищет инвестиционные возможности в группах Telegram, и, обещая прибыль от 50% до 95%, он решает попробовать.
«Это была ловушка с медом», — сказал он в интервью.
После того как средства почти удвоились и успешно были выведены, Айер был приглашен в небольшую группу в Telegram, предназначенную только для инвесторов с высоким лимитом, в которую он вложил около 40 000 долларов. Когда он попытался вывести деньги, он узнал, что эта инвестиционная компания вообще не существует, и поэтому обратился в правительство США. В прошлом году Секретная служба США подала гражданский иск в Теннесси от имени жертв, включая Айера (Хуи Ван не упоминался), и суд в конечном итоге распорядился вернуть часть средств.
Судебные документы показывают, что жертвы перевели миллионы долларов на счет-оболочку банка Evolve в Мемфисе. Представитель банка Evolve отказался комментировать это дело, но подчеркнул, что организация «всецело стремится поддерживать самые высокие стандарты соблюдения нормативных требований, финансовой честности и контроля за отмыванием денег».
В журнале международных платежей Huibang записана информация о Иере и еще двух жертвах из Теннесси, включая точные временные метки переводов, банковские счета и номера их денежной мошеннической группы: X3.
избегать цензуры
Ограниченные данные об операциях WayOne в Камбодже, включая WayOne Payments и Good Want Guarantees, показывают, что их возглавляют китайские руководители и местные влиятельные лица, что является общим симбиотическим отношением в Камбодже. В последние годы в страну хлынул большой приток китайского капитала, который преобразил страну. Проезжая по Пномпеню в наши дни, многие строительные площадки имеют китайские вывески. По словам бывшего сотрудника, в офисах Huiwang чаще можно услышать мандаринский диалект китайского языка, чем кхмерский, основной язык Камбоджи.
Хун То когда-то был директором ныне распущенной компании "Хуэйвань" в коммерческом регистрационном офисе Камбоджи, он является двоюродным братом премьер-министра Камбоджи Хун Мэнета. Дом Хун То в Пномпене напоминает крепость, окруженный толстыми цементными стенами, а над полом висит сеть, вероятно, чтобы предотвратить побег группы диких рогатых птиц. По сообщениям местных СМИ, много лет назад в ходе расследования "Операция Илипанг" в Австралии чиновники подозревали, что он использует транспортировку древесины для контрабанды наркотиков. Он отрицал обвинения и в конечном итоге не был привлечен к уголовной ответственности. Австралийская комиссия по преступной разведке заявила, что не может помочь с предоставлением соответствующих запросов.
Журналисты связались с ним через связанные электронные почты трех компаний, в которых Хун То является директором, но не получили ответа. Офис правительства Камбоджи, возглавляемый премьер-министром, также не ответил на запросы о комментариях. Хун То постоянно отрицает свое участие в сетевом мошенничестве, и нет никаких признаков того, что он осведомлен о деятельности Huiwang International Payment.
Связанные компании Huiwang, источник: Министерство финансов США, корпоративные документы и сообщения Bloomberg.
Владелец Huione Crypto в Польше Хэ Яньмин (He Yanming) указан в коммерческом реестре Камбоджи как директор главного финансового учреждения страны Банка Панда (Panda Commercial Bank Plc). Хун То (Hun To) и Ли Сюн (Li Xiong), который ранее был директором как минимум четырех компаний, ушли с поста членов совета директоров этого банка в октябре прошлого года.
Журналисты обратились за комментариями к связанным электронным адресам других компаний, в директорах которых находятся Ли Сюн и Хэ Яньмин, но не получили ответа. Нет никаких признаков того, что оба ранее знали о так называемой незаконной деятельности внутри этой корпоративной группы. Банк Панда также не ответил на запрос о комментариях.
По имеющейся информации, иностранные чиновники этой корпоративной группы заявили, что бизнес Huitong в Камбодже не подвергался чрезмерной проверке. Однако в сентябре прошлого года Центральный банк Камбоджи аннулировал лицензию Huitong Payment. Спустя несколько месяцев, когда информация стала известна, клиенты начали массово обращаться в главный офис компании в Пномпене для вывода средств, и Huitong Payment временно увеличил процентную ставку по всем депозитам USDT с 2% до 7.3%.
Но эта паника была лишь небольшим инцидентом. Компания вскоре объявила на одной из социальных сетей, что перенесет свои платежные и блокчейн-услуги в Японию и Канаду, где подразделение Huibao ранее имело лицензии на ведение бизнеса.
Финансовый регулятор Японии отказался комментировать, находится ли какое-либо из отделений Huiwang под следствием, но заявил, что у конгломерата нет действующей лицензии на платежные услуги. Эрика Констант, пресс-секретарь финансового регулятора Канады, заявила, что срок регистрации Huiwang Pay у канадского поставщика денежных услуг истек в конце 2023 года. Она отказалась комментировать, поделились ли правоохранительные органы разведданными о компании с ее агентством. Недавно этот репортер отправился по адресу офиса Huione Crypto в Польше, четырехэтажном многоквартирном доме в усаженном деревьями жилом районе Варшавы, и человек на другом конце провода сказал, что это «виртуальный офис». Когда репортер представился, другая сторона повесила трубку. Польский регулятор виртуальных валют не ответил на запрос о комментариях.
Согласно словам двух осведомленных источников, после действий центрального банка Камбоджи, платёжная система 汇旺支付 продолжает работать под названием «HPay». Согласно информации из коммерческого реестра Камбоджи, HPay была зарегистрирована в октябре прошлого года, а на её официальном сайте указано, что штаб-квартира находится в том же здании, что и филиал банка Панда. HPay не ответила на запрос о комментарии.
Даже если Министерство финансов США попытается исключить Huobi из финансовой системы США, его угроза может быть не так велика, как кажется. В общем, интернет-мошенничество не требует физического расстояния, а отмыватели денег хорошо умеют переводить средства через аккаунты-мулов.
У Хуэйван есть еще один уровень защиты: собственная валюта.
На протяжении истории многие сделки проводились с использованием USDT. Однако, когда Tether начал замораживать подозрительные кошельки Huione, в прошлом году Huione Crypto выпустила свою собственную стейблкоин USDH.
Заявление о архиве официального сайта Huiwang утверждает, что USDH «не подлежит традиционному регулированию» и «обеспечивает, что активы пользователей не будут произвольно заморожены».
Исследовательница киберпреступности из Тайваня Чэнь Яньюй провела несколько месяцев в Камбодже, общаясь с предполагаемыми отмывателями денег, мошенниками и их главами. Она отметила, что эта взаимосвязанная сеть интересов овладела различными обходными путями, будь то использование уязвимостей финансовой системы Камбоджи или использование благоприятных норм других стран.
«Киберпреступность глубоко внедрена в функционирование глобального капитализма, грабя ресурсы по всему миру», — сказала Чэнь Яньюй, — «ее невозможно легко разрушить.»
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Камбоджа Хуэйван, шифрование черного рынка «Супер узел»
Кай Шульц, Bloomberg
Перевод: Лаффи, Foresight News
Новые рекламные сигналы приходят один за другим. Хотите фальшивые деньги? Услуги по отмыванию денег? Хакерские технологии? Если вы знаете китайский и понимаете криминальный жаргон — «料主» означает человека, который владеет украденными деньгами или банковской информацией, а «狗推» обозначает сотрудников, занимающихся мошенничеством в парке — все это и даже больше продается в углах самого большого в мире рынка незаконной торговли товарами.
Найти это несложно. Основная информация публикуется в общественном чате, управляемом Группой Хуион (Huione Group). Эта камбоджийская бизнес-группа известна в местном китайскоязычном сообществе благодаря продаже страхования, обмена валют и финансовых услуг. Её онлайн-банковский отдел «Хуион Пэй» (Huione Pay) сам себя называет «支付宝 Камбоджи». В ресторанах и маленьких магазинах на каждом углу можно увидеть красные наклейки с QR-кодом Huione, с помощью которых люди могут оплачивать покупки.
Но полный спектр услуг, предоставляемых компанией Huibang, на самом деле гораздо более мрачный. Несмотря на то, что связанные с Huibang компании многократно отрицали участие в каких-либо преступных действиях, Министерство финансов США заявило, что Huibang отмыл как минимум 4 миллиарда долларов, полученных от мошенничества и кражи криптовалюты.
В этой статье, основанной на более чем 20 интервью с правительственными чиновниками, инсайдерами компаний, предполагаемыми жертвами и внутренними документами, подробно рассказывается о том, как Huiwang помогла азиатской индустрии онлайн-мошенничества разрастись до многомиллиардного бегемота.
«Хуэйван — это как Амазон для преступников», — так охарактеризовал эту компанию сетевой следователь и бывший хакер Нго Минь Хьё. Он изучает сетевой след этой корпоративной группы. «Организация их бизнеса и ассортимент продукции шокируют меня». Заключение Нго совпадает с мнением некоторых регуляторов.
Постоянно изменяющаяся операционная модель
История компании Хуайвань крайне непрозрачна. Архивные страницы показывают, что она была основана в 2014 году в Камбодже, но записи в Гонконге указывают на то, что она зарегистрировалась там только в 2018 году. Она, похоже, никогда не публиковала финансовую отчетность и не имеет сотрудников или офисов. По сути, это просто оболочка сети аффилированных компаний. Директора этих филиалов часто совпадают, но отношения между различными отделами неясны.
Министерство финансов США специально упомянуло три организации, утверждая, что они сыграли роль в помощи преступным группам в перемещении незаконных средств: Huione Pay, криптовалютная биржа Huione Crypto и оператор онлайн-торговой платформы «Haowang Guarantee» (ранее известная как Huione Guarantee). Министерство заявило, что эти три организации «по сути одно и то же» с материнской компанией. В мае этого года Министерство финансов США объявило о планах полностью исключить Huione из финансовой системы США, при этом отметив, что клиентами Huione являются транснациональные криминальные организации и северокорейские хакеры «группа Lazarus». Министерство заявило, что «из-за отсутствия эффективных политик и процедур по противодействию отмыванию денег и идентификации клиентов (AML/KYC)», риски, связанные с Huione и его связями с незаконной деятельностью и сделками, «дальше усугубляются».
Другие страны также усиливают меры по сдерживанию. Таиланд, граничащий с Камбоджей, в июне объявил о начале расследования против группы Хуэйвань, подозреваемой в отмывании средств, полученных от незаконных азартных игр и мошенничества. В коммерческой сфере приложение для мгновенной связи Telegram закрыло десятки чатов, связанных с Хуэйвань. Представитель эмитента стейблкоинов Tether сообщил, что被冻结 почти 30 миллионов долларов USDT из кошельков, связанных с Хаовань, добавив, что, если правоохранительные органы отметят больше кошельков, связанных с Хаовань, компания незамедлительно примет меры.
Эти меры уже оказали некоторое публичное влияние. По данным центрального банка Камбоджи, Hao Wang Guaranty и Huione Crypto объявили о закрытии, а Hui Wang Payment также ликвидировался в июне. Национальный банк Камбоджи в заявлении для Bloomberg сообщил, что Hui Wang Payment был лишен лицензии за «серьезные нарушения применимых норм», ему предписали закрыть офис и прекратить все операции, и этот процесс был полностью завершен 19 июня. Тем не менее, через три недели после, казалось бы, прекращения операций, Hui Wang Payment в электронном письме для Bloomberg заявил, что «прилагает усилия для конструктивного взаимодействия с американскими чиновниками и другими властями», чтобы способствовать безопасности и прозрачности финансовой системы. В открытом ответе на Министерство финансов США Hui Wang Payment заявил, что «прилагает все усилия для решения вопросов соблюдения норм и принятия мер по исправлению ситуации».
Хотя исторически эти организации утверждали, что они напрямую связаны друг с другом (на старом веб-сайте Huione Pay говорилось, что она «произошла от Huiwang Group»; В конце прошлого года Howang Guaranty назвала Huiwang Group одним из своих «стратегических партнеров и акционеров» в сообщении в социальных сетях, но ни одна независимая организация публично не признала свою связь с Huiwang Group.
Но сетевые активности и два человека, знакомые с операциями бизнеса, утверждают, что эти три отдела, похоже, все еще продолжают функционировать в какой-то форме, изменяя названия или перенаправляя клиентов к связанным предприятиям, чтобы избежать перебоев и регуляторного давления.
Например, в течение нескольких недель после объявления о закрытии Haowang Guarantee компания по анализу блокчейна Chainalysis выявила, что объем криптовалютных транзакций, связанных с сущностью Huiwang, на самом деле увеличился. Один из крупных групп в Telegram, связанный с Haowang Guarantee, по-прежнему доступен для публичного доступа и активно функционирует, в то время как администраторы направляют клиентов к «Tudou Guarantee». Согласно заявлениям обеих компаний, Haowang Guarantee недавно приобрела 30% акций этой платформы.
У Tudou Guarantee нет общедоступной электронной почты или номера телефона. Сотрудники службы поддержки в Telegram заявили, что никто не может ответить на вопросы СМИ. Haowang Guaranty отклонила просьбу об интервью, заявив, что прекратила свою деятельность и не связана ни с одной из структур Huiwang. Ранее компания отрицала какую-либо причастность к пособничеству киберпреступности. Представитель Telegram сказал: «Мы оцениваем сообщения в каждом конкретном случае и решительно выступаем против полных запретов», добавив, что приложение стремится защищать конфиденциальность пользователей и финансовую автономию.
На сайте Huione Crypto чат-бот направляет клиентов на регистрацию нового провайдера услуг под названием Kex. Kex зарегистрирована на Британских Виргинских островах и недоступна для контакта. Анонимный источник (из соображений безопасности) сообщил, что Kex управляется бывшими сотрудниками Huione Crypto. Ngo добавил, что индивидуальные шаблоны веб-сайтов Kex идентичны тем, что у Huione Crypto. Электронные письма, отправленные в официальные почтовые ящики Huione Crypto и Kex, были возвращены.
Непрерывное существование группы компаний Хуайвань подчеркивает сложности закрытия децентрализованных рынков, а также демонстрирует устойчивость структуры Хуайвань и способность группы находить обходные решения. Внутренние документы показывают, что так называемый «деньги мул» (лица, ответственные за отмывание денег) нацелился как минимум на 12 стран-жертв. Корпоративные документы показывают, что некоторые подразделения Хуайвань имеют филиалы в Польше, Канаде и Японии.
«Когда сложные преступные финансовые сети действительно укореняются, публичное закрытие часто является лишь формальностью», — говорит Эндрю Фирман, руководитель отдела анализа национальной безопасности Chainalysis. Министерство финансов США опиралось на исследования этой компании и пришло к выводу, что 汇旺 является «важным каналом для отмывателей денег». «Настоящая инфраструктура (их каналы отмывания денег) все еще работает под поверхностью, без препятствий обрабатывая миллиарды долларов.»
Скрытое ядро
Внутри Huione эта инфраструктура расположена в таинственном отделе «Huione International Pay». По словам двух информаторов, пожелавших остаться анонимными (по соображениям безопасности), этот отдел является основным местом работы, помогающим в повседневной мошеннической деятельности. Документы компании, которые увидело агентство Bloomberg, и оба этих человека сообщили, что, помимо управления онлайн-рынками преступности в мессенджерах, таких как Telegram, сотрудники также напрямую связывают мошенников с денежными мулами и взимают с них плату.
Согласно сообщениям, сотрудники Huiwang International Payment ранее работали на втором этаже штаб-квартиры Huiwang Payment в Пномпене, используя псевдонимы и помогая устанавливать связи между сетями отмывателей денег. Документы, увиденные Bloomberg, содержат подробные бухгалтерские записи тысяч жертв, которых различные группы использовали для мошенничества с услугами Huione International Pay. Хотя практически невозможно подтвердить каждое событие, Bloomberg сопоставил некоторые детали и идентификационную информацию с делами, находящимися на рассмотрении в судах США.
Компания Хуйвань Пэйментс заявила, что она не имеет никакой связи с Хуйвань Интернешнл Пэйментс и не знает, на какое лицо или организацию ссылается это название. В отчете Финансовой сети по борьбе с преступностью США в мае утверждалось, что Хуйвань Интернешнл Пэйментс является «частью Хуйвань Пэйментс» и содействовала «сделкам, связанным с отмыванием денег».
Взрывной рост отрасли
Еще до широкого распространения персональных компьютеров киберпреступность уже существовала, можно сказать, что она появилась с 30-х годов XIX века: тогда пара французских братьев использовала оптическую телеграфную систему, чтобы заранее получать данные о фондовом рынке Парижа. Но в 2010-х годах киберрэкет действительно вспыхнул, и многие из этих действий исходят из новых мошеннических районов в странах Юго-Восточной Азии (например, Камбоджа, Мьянма, Лаос), которые начали обманывать глобальных жертв.
Многие парки управляются преступными группами, возглавляемыми китайцами, а сотрудники являются торговцами людьми, которые вынуждены обманывать жертв в таких странах, как США, Германия и Япония. В многих случаях цель обманывается для участия в ложных инвестиционных планах в криптовалюту или ложных романах, так называемых «убойных планах».
Отрасль мошенничества с использованием технологий растет быстро. Данные Chainalysis показывают, что в 2024 году доходы от мошенничества «свинцовая ловушка» увеличились почти на 40% по сравнению с предыдущим годом. С расширением отрасли у мировых правоохранительных органов возникает все больше вопросов: как криминальные лидеры получают инструменты (например, поддельные паспорта, вредоносное ПО, программное обеспечение для распознавания лиц, деньги-курьеры) для достижения такого быстрого роста? Ответ заключается в новой группе онлайн-торговых рынков. В отличие от западных аналогичных платформ, таких как «Шелковый путь», доступ к которым требует преодоления технических барьеров, эти новые платформы работают на виду.
В Telegram-группах, управляемых Huiwang (до нескольких тысяч), многие из них кажутся безобидными, их функции в основном аналогичны страницам классифицированной информации для обмена валюты или продажи недвижимости. Однако, согласно аналитикам Управления Организации Объединенных Наций по наркотикам и преступности, после закрытия подпольного рынка в Мьянме под названием «Fully Light Guarantee» (который не имеет известных связей с Huiwang), атмосфера на Huiwang Guarantee стала мрачной. Анонимные пользователи начали использовать в постах больше намеков на незаконные сделки, а объявления пользователей больше не стараются скрывать незаконные намерения. Большинство объявлений написаны на китайском, что указывает на то, что основные клиенты не камбоджийцы.
Министерство иностранных дел Китая, хотя и не комментировало напрямую HUIWANG, заявило, что Китай активно развивает сотрудничество в области правопорядка и безопасности с соседними странами, включая Камбоджу, и продолжит углублять международное сотрудничество в правоохранительных органах для борьбы с транснациональной преступностью, такой как интернет-мошенничество.
Реклама, просмотренная Bloomberg в 2023 году, предлагает поддельные юани, которые можно пройти через счетчики денег. Другие объявления рекламируют контрабандные iPhone, взломанные компьютеры или предлагают услуги по размораживанию банковских счетов. Несколько реклам непосредственно продают товары, связанные с мошеннической деятельностью: используя китайские термины, такие как «убийство свиней», предлагают услуги по продаже поддельных криптовалютных инвестиционных сайтов, рекламируют использование электрошокеров и слезоточивого газа для контроля «бегущих собак», что явно указывает на жестокое обращение с продаваемыми работниками. Большинство объявлений требуют оплату в криптовалюте.
«Закрытие Alllight стало основным катализатором для других торговых платформ», - заявил бывший аналитик угроз в Управлении ООН по наркотикам и преступности Джон Водзик. «Huaiwang гарантии почти за одну ночь выросли с нескольких тысяч пользователей до десятков тысяч, сотен тысяч пользователей», потому что предыдущие пользователи Alllight искали альтернативные платформы.
С расширением влияния Huibao гарантии, исследователи блокчейна начали углубленное изучение, пытаясь оценить его истинный масштаб. Одна из крупнейших исследовательских компаний Elliptic опубликовала отчет в январе, в котором сделан вывод, что как минимум 24 миллиарда долларов проходят через криптовалютные кошельки Huibao гарантии и его торговцев. Оценка блокчейн-разведывательной компании TRM Labs еще выше - 81 миллиард долларов. В любом случае, эти оценки означают, что масштаб Huibao гарантии значительно превышает его крупнейшего предшественника - закрытый американскими и немецкими чиновниками российский рынок «Гидра» (Hydra Market).
Источник данных: Elliptic
«Они больше, чем любые другие аналогичные платформы в несколько раз», — сказал главный научный сотрудник Elliptic Том Робинсон.
Компания Hao Wang заявила в своем заявлении в феврале, что она не играет никакой роли в содействии киберпреступности и что все операции в ее группе Telegram осуществляются третьими лицами.
Сложная работа
Bloomberg ознакомился с некоторыми внутренними документами Huaiwang International Payment за 2022 и 2023 годы, которые в основном написаны на китайском языке и содержат информацию о тысячах жертв и десятках миллионов долларов в транзакциях. Документы показывают, что сотрудники непосредственно участвуют в мониторинге транзакций и разрешении споров, а платформа регулярно взимает комиссию с транзакций. В документах также указано, что Huaiwang International Payment глубоко участвует в операциях, даже предоставляя крупные кредитные лимиты высокоэффективным командам по отмыванию денег.
Одним из таких документов является многостраничное руководство, подготовленное Wayone International Payment Transactions, в котором изложены правила заполнения логов для «клиентов» (т.е. жертв) в США, Европе и Австралии. В этом отчете за 2022 год описывается, как бороться с рисками, которые варьируются «от легких до серьезных», в том числе, когда жертва звонит в полицию или когда денежный мул задерживается властями. В инструкции указано, что графа в журнале должна быть изменена на «Персонал арестован» и «немедленно доложить руководителю или руководителю региона».
Скриншот документа, составленного отделом международных платежей Huibang, показывает правила ведения журнала, заполняемого жертвой (называемой «клиентом»).
Файлы используют систему кодирования для отслеживания денежных мулов и мошенников, раскрывая их охват и изощренность. Лица, занимающиеся отмыванием денег, классифицируются с помощью префикса «X», за которым следует цифровое число. Мошенники широко сгруппированы по целевым регионам: EZ3 относится к бандам, ориентированным на жертв в Европе; US26 относится к бандам, направленным против Соединенных Штатов. Huione International Payments также собирает информацию о жертвах, а иногда даже хранит данные их банковских счетов. Отчеты об операциях на Тайване чрезвычайно подробны, в том числе обоснования, созданные мошенниками для составления телеграммы. Например, в одном случае написано «заказать корм для домашних животных оптом». Харрис Чен, прокурор Тайваня, специализирующийся на расследованиях киберпреступлений, сказал, что ему удалось сопоставить детали в документах как минимум с двумя обвинительными приговорами за отмывание денег на Тайване.
Bloomberg сопоставил подробную информацию о нескольких лицах из документа с информацией, полученной в ходе расследования, проводимого Федеральным бюро расследований США и Секретной службой (ответственной за юрисдикцию по финансовым преступлениям и защиту президента).
В их числе дело Дарена Ли (Daren Li, имеющего двойное гражданство Китая и Сент-Китса и Невиса), который в США признал, что отмывал более 73 миллионов долларов через мошенничество с инвестициями в криптовалюту. Американские власти изъяли его телефон и заявили, что он общался с сообщниками в Telegram под ником «KG71777». В документах Huibang International Payment содержатся не только записи этого имени пользователя, но и его аккаунт в WhatsApp. Документы показывают, что Ли зарабатывал около 9% комиссии. (Huibang не упоминается в открытых судебных документах по этому делу.)
Одной из жертв, появившихся в журнале, был Шаши Айер, житель США. В конце 2022 года Айер получил странное напоминание на свой телефон: согласно судебным документам США, вы были автоматически добавлены в группу Telegram. Когда он спросил администратора, почему, тот сказал, что группа предназначена для инвесторов, заинтересованных в опционных контрактах на торговлю криптовалютой в бостонской фирме, предоставляющей финансовые услуги. Айер часто ищет инвестиционные возможности в группах Telegram, и, обещая прибыль от 50% до 95%, он решает попробовать.
«Это была ловушка с медом», — сказал он в интервью.
После того как средства почти удвоились и успешно были выведены, Айер был приглашен в небольшую группу в Telegram, предназначенную только для инвесторов с высоким лимитом, в которую он вложил около 40 000 долларов. Когда он попытался вывести деньги, он узнал, что эта инвестиционная компания вообще не существует, и поэтому обратился в правительство США. В прошлом году Секретная служба США подала гражданский иск в Теннесси от имени жертв, включая Айера (Хуи Ван не упоминался), и суд в конечном итоге распорядился вернуть часть средств.
Судебные документы показывают, что жертвы перевели миллионы долларов на счет-оболочку банка Evolve в Мемфисе. Представитель банка Evolve отказался комментировать это дело, но подчеркнул, что организация «всецело стремится поддерживать самые высокие стандарты соблюдения нормативных требований, финансовой честности и контроля за отмыванием денег».
В журнале международных платежей Huibang записана информация о Иере и еще двух жертвах из Теннесси, включая точные временные метки переводов, банковские счета и номера их денежной мошеннической группы: X3.
избегать цензуры
Ограниченные данные об операциях WayOne в Камбодже, включая WayOne Payments и Good Want Guarantees, показывают, что их возглавляют китайские руководители и местные влиятельные лица, что является общим симбиотическим отношением в Камбодже. В последние годы в страну хлынул большой приток китайского капитала, который преобразил страну. Проезжая по Пномпеню в наши дни, многие строительные площадки имеют китайские вывески. По словам бывшего сотрудника, в офисах Huiwang чаще можно услышать мандаринский диалект китайского языка, чем кхмерский, основной язык Камбоджи.
Хун То когда-то был директором ныне распущенной компании "Хуэйвань" в коммерческом регистрационном офисе Камбоджи, он является двоюродным братом премьер-министра Камбоджи Хун Мэнета. Дом Хун То в Пномпене напоминает крепость, окруженный толстыми цементными стенами, а над полом висит сеть, вероятно, чтобы предотвратить побег группы диких рогатых птиц. По сообщениям местных СМИ, много лет назад в ходе расследования "Операция Илипанг" в Австралии чиновники подозревали, что он использует транспортировку древесины для контрабанды наркотиков. Он отрицал обвинения и в конечном итоге не был привлечен к уголовной ответственности. Австралийская комиссия по преступной разведке заявила, что не может помочь с предоставлением соответствующих запросов.
Журналисты связались с ним через связанные электронные почты трех компаний, в которых Хун То является директором, но не получили ответа. Офис правительства Камбоджи, возглавляемый премьер-министром, также не ответил на запросы о комментариях. Хун То постоянно отрицает свое участие в сетевом мошенничестве, и нет никаких признаков того, что он осведомлен о деятельности Huiwang International Payment.
Связанные компании Huiwang, источник: Министерство финансов США, корпоративные документы и сообщения Bloomberg.
Владелец Huione Crypto в Польше Хэ Яньмин (He Yanming) указан в коммерческом реестре Камбоджи как директор главного финансового учреждения страны Банка Панда (Panda Commercial Bank Plc). Хун То (Hun To) и Ли Сюн (Li Xiong), который ранее был директором как минимум четырех компаний, ушли с поста членов совета директоров этого банка в октябре прошлого года.
Журналисты обратились за комментариями к связанным электронным адресам других компаний, в директорах которых находятся Ли Сюн и Хэ Яньмин, но не получили ответа. Нет никаких признаков того, что оба ранее знали о так называемой незаконной деятельности внутри этой корпоративной группы. Банк Панда также не ответил на запрос о комментариях.
По имеющейся информации, иностранные чиновники этой корпоративной группы заявили, что бизнес Huitong в Камбодже не подвергался чрезмерной проверке. Однако в сентябре прошлого года Центральный банк Камбоджи аннулировал лицензию Huitong Payment. Спустя несколько месяцев, когда информация стала известна, клиенты начали массово обращаться в главный офис компании в Пномпене для вывода средств, и Huitong Payment временно увеличил процентную ставку по всем депозитам USDT с 2% до 7.3%.
Но эта паника была лишь небольшим инцидентом. Компания вскоре объявила на одной из социальных сетей, что перенесет свои платежные и блокчейн-услуги в Японию и Канаду, где подразделение Huibao ранее имело лицензии на ведение бизнеса.
Финансовый регулятор Японии отказался комментировать, находится ли какое-либо из отделений Huiwang под следствием, но заявил, что у конгломерата нет действующей лицензии на платежные услуги. Эрика Констант, пресс-секретарь финансового регулятора Канады, заявила, что срок регистрации Huiwang Pay у канадского поставщика денежных услуг истек в конце 2023 года. Она отказалась комментировать, поделились ли правоохранительные органы разведданными о компании с ее агентством. Недавно этот репортер отправился по адресу офиса Huione Crypto в Польше, четырехэтажном многоквартирном доме в усаженном деревьями жилом районе Варшавы, и человек на другом конце провода сказал, что это «виртуальный офис». Когда репортер представился, другая сторона повесила трубку. Польский регулятор виртуальных валют не ответил на запрос о комментариях.
Согласно словам двух осведомленных источников, после действий центрального банка Камбоджи, платёжная система 汇旺支付 продолжает работать под названием «HPay». Согласно информации из коммерческого реестра Камбоджи, HPay была зарегистрирована в октябре прошлого года, а на её официальном сайте указано, что штаб-квартира находится в том же здании, что и филиал банка Панда. HPay не ответила на запрос о комментарии.
Даже если Министерство финансов США попытается исключить Huobi из финансовой системы США, его угроза может быть не так велика, как кажется. В общем, интернет-мошенничество не требует физического расстояния, а отмыватели денег хорошо умеют переводить средства через аккаунты-мулов.
У Хуэйван есть еще один уровень защиты: собственная валюта.
На протяжении истории многие сделки проводились с использованием USDT. Однако, когда Tether начал замораживать подозрительные кошельки Huione, в прошлом году Huione Crypto выпустила свою собственную стейблкоин USDH.
Заявление о архиве официального сайта Huiwang утверждает, что USDH «не подлежит традиционному регулированию» и «обеспечивает, что активы пользователей не будут произвольно заморожены».
Исследовательница киберпреступности из Тайваня Чэнь Яньюй провела несколько месяцев в Камбодже, общаясь с предполагаемыми отмывателями денег, мошенниками и их главами. Она отметила, что эта взаимосвязанная сеть интересов овладела различными обходными путями, будь то использование уязвимостей финансовой системы Камбоджи или использование благоприятных норм других стран.
«Киберпреступность глубоко внедрена в функционирование глобального капитализма, грабя ресурсы по всему миру», — сказала Чэнь Яньюй, — «ее невозможно легко разрушить.»