Een Chinees knooppunt voor cryptocriminaliteit ter waarde van 8,4 miljard dollar wordt opgericht in Colorado

Naarmate de ondergrondse crypto-investeringsfraude zich heeft ontwikkeld tot een van 's werelds meest lucratieve vormen van cybercriminaliteit, is de secundaire markt voor witwassers voor die oplichters gegroeid. Te midden van die zwarte markt groeide een dergelijke Chineestalige dienst op het berichtenplatform Telegram uit tot een veelzijdige ondergrondse bazaar: het bood niet alleen uitbetalingsdiensten aan oplichters, maar ook witwasdiensten voor Noord-Koreaanse hackers, gestolen data, gerichte intimidatie en zelfs wat op sekshandel lijkt. En op de een of andere manier wordt dit allemaal beheerd door een bedrijf dat officieel geregistreerd staat in de Verenigde Staten.

Volgens nieuw onderzoek dat vandaag is gepubliceerd door cryptotraceringsbedrijf Elliptic, heeft een bedrijf genaamd Xinbi Guarantee sinds 2022 maar liefst $ 8,4 miljard aan transacties gefaciliteerd via zijn Telegram-gebaseerde marktplaats, voordat Telegram de afgelopen dagen zijn accounts van het platform verwijderde. Het gestolen geld van slachtoffers van oplichting vertegenwoordigt waarschijnlijk het "overgrote deel" van dat bedrag, aldus Tom Robinson, medeoprichter van Elliptic. Terwijl de markt zich richt op Chineestalige oplichters, schept het bedrijf bovenaan zijn website – in het Mandarijn – op dat het in Colorado geregistreerd staat.

"Xinbi Guarantee heeft gediend als een gigantische, zogenaamd in de VS gevestigde, illegale online marktplaats voor online oplichting die voornamelijk witwasdiensten aanbiedt", aldus Robinson. Hij voegt eraan toe dat Elliptic ook een opmerkelijke verscheidenheid aan andere criminele diensten op de markt heeft gevonden: draagmoederschap en eiceldonatie, diensten voor intimidatie die aanbieden om elk gekozen slachtoffer te bedreigen of met uitwerpselen te gooien, en zelfs tieners die waarschijnlijk slachtoffer zijn van mensenhandel.

Xinbi Guarantee is de tweede Chineestalige markt die Robinson en zijn onderzoeksteam het afgelopen jaar hebben ontdekt, die zich richt op criminaliteit. Afgelopen juli publiceerden ze een rapport over Huione Guarantee , een vergelijkbare dienst in Cambodja die volgens Elliptic in januari voor $ 24 miljard aan transacties had gefaciliteerd – grotendeels afkomstig van cryptooplichters – en daarmee volgens de boekhouding van Elliptic de grootste illegale online marktplaats ooit is. Het moederbedrijf van die markt, Huione Group, werd eerder deze maand door het Financial Crimes Enforcement Network van het Amerikaanse ministerie van Financiën toegevoegd aan een lijst met bekende witwasoperaties in een poging de toegang tot Amerikaanse financiële instellingen te beperken.

Nadat WIRED vorige week contact had opgenomen met Telegram over de illegale activiteiten die plaatsvonden op de kanalen van Xinbi Guarantee en Huione Guarantee op zijn berichtenplatform, lijkt Telegram maandag te hebben gereageerd door veel van de centrale kanalen en beheerdersaccounts van zowel Xinbi Guarantee als Huione Guarantee te blokkeren. "Criminele activiteiten zoals oplichting of witwassen zijn verboden volgens de servicevoorwaarden van Telegram en worden altijd verwijderd zodra ze worden ontdekt", schreef Telegram-woordvoerder Remi Vaughn in een verklaring aan WIRED. "Communities die eerder door WIRED aan ons waren gemeld of die waren opgenomen in rapporten van Elliptic, zijn allemaal verwijderd."

Telegram had in februari verschillende kanalen van Huione Guarantee geblokkeerd na een eerder Elliptic-rapport over de marktplaats, maar Huione Guarantee heeft ze snel weer aangemaakt. Het is niet duidelijk of de nieuwe verwijderingen de twee bedrijven ervan zullen weerhouden hun aanwezigheid op Telegram te herstellen, mogelijk met nieuwe accounts of zelfs een nieuwe branding. "Dit zijn zeer lucratieve bedrijven en ze zullen op de een of andere manier proberen te herstellen", zei Robinson over de twee marktplaatsen na de laatste verwijdering van Telegram.

Xinbi Guarantee reageerde niet op meerdere verzoeken om commentaar op de bevindingen van Elliptic, die WIRED naar de beheerders van de markt op Telegram stuurde.

Net als Huione Guarantee bood Xinbi Guarantee een soortgelijk "garantiemodel" aan, waarbij externe leveranciers diensten konden aanbieden door een aanbetaling te eisen om fraude te voorkomen. Toch is het onder de radar gebleven, ondanks dat het uitgroeide tot een van de grootste knooppunten voor cryptocriminaliteit op internet. Qua omvang van transacties vóór de strenge maatregelen van Telegram was het, volgens Elliptic, alleen de grootste in omvang na Huione.

Beide diensten "bieden een kijkje in het ondergrondse banknetwerk van China", zegt Robinson. "Het is weer een voorbeeld van deze enorme Chineestalige 'gegarandeerde' marktplaatsen die al jaren floreren."

Op Xinbi Guarantee vond Elliptic talloze berichten van verkopers die geld aanboden voor transacties met betrekking tot "quick kills", "slow kills" en "pig slachting", allemaal verschillende termen voor crypto-investeringsfraude en andere vormen van fraude. In sommige gevallen, legt Robinson uit, bieden deze Xinbi Guarantee-verkopers bankrekeningen aan in hetzelfde land als het slachtoffer, zodat ze de betaling die ze hebben gedaan kunnen ontvangen en de oplichter vervolgens kunnen betalen met de cryptovaluta Tether. In andere gevallen bieden de Xinbi Guarantee-verkopers aan om cryptobetalingen te ontvangen en deze te laten uitbetalen in de lokale valuta van de oplichter, zoals de Chinese renminbi.

Naast het feit dat Xinbi Guarantee vooral wordt gebruikt als uitbetalingspunt voor cryptooplichters, ontdekte Elliptic dat de verkopers op de markt ook andere producten aan oplichters aanboden, zoals gestolen data die gebruikt kon worden om slachtoffers te vinden, maar ook diensten voor het registreren van simkaarten en Starlink-internetabonnementen via proxyservers.

Door de Noord-Koreaanse staat gesponsorde cybercriminelen lijken het platform ook te hebben gebruikt voor witwassen. Elliptic ontdekte bijvoorbeeld via blockchainanalyse dat ongeveer $ 220.000, gestolen van de Indiase cryptobeurs WazirX – het slachtoffer van een diefstal van $ 235 miljoen in juli 2024, die algemeen wordt toegeschreven aan Noord-Koreaanse hackers – in november in een reeks transacties naar Xinbi Guarantee was gestroomd.

Deze diensten voor het witwassen van geld en het mogelijk maken van oplichting zijn echter lang niet de enige louche aanbiedingen die op de markt van Xinbi Guarantee te vinden zijn. Elliptic vond ook advertenties voor draagmoeders en eiceldonoren, met in één bericht foto's van het lichaam van de donor zonder gezicht. Andere accounts boden diensten aan zoals het plaatsen van een rouwkrans bij de deur van een slachtoffer, het bekladden van hun huis met graffiti, het plaatsen van schadelijke teksten rond hun huis, het laten verbaal bedreigen van hen, het gooien van uitwerpselen of zelfs, het meest bizarre, het omsingelen van hun huis met aidspatiënten. In een bericht werd gesuggereerd dat deze aidspatiënten "gevalsrapporten en naalden voor intimidatie" bij zich zouden dragen.

Andere advertenties bieden sekswerkers aan vanaf 18 jaar, met vermelding van de specifieke seksuele handelingen die toegestaan ​​en verboden zijn. Elliptic meldt dat een van haar onderzoekers zelfs een 14-jarige aangeboden kreeg door een Xinbi Guarantee-verkoper. (De accounthouder merkte echter op dat geen enkele transactie voor seks met iemand jonger dan 18 jaar door Xinbi gegarandeerd zou worden. De wettelijke leeftijd voor seksuele toestemming in China is 14.)

Waarom Xinbi Guarantee precies legaal geregistreerd is in de VS, blijft een raadsel. De oprichtingsakte op de website van de staatssecretaris van Colorado vermeldt een adres in een kantorenpark in Aurora, zonder Xinbi-logo. Het bedrijf lijkt daar in augustus 2022 geregistreerd te zijn door iemand met de naam "Mohd Shahrulnizam Bin Abd Manap". (WIRED bracht die naam in verband met verschillende personen in Maleisië, maar kon niet vaststellen wie de registrant van Xinbi Guarantee zou kunnen zijn.) De registratie is momenteel gemarkeerd als "achterstallig", mogelijk omdat er geen recentere documenten zijn ingediend om de registratie te verlengen.

Voor beginnende Chinese bedrijven – legitiem en illegaal – is het vestigen in de VS een steeds vaker voorkomende tactiek om "legitimiteit uit te stralen", zegt Jacob Sims, gastonderzoeker aan het Asia Center van Harvard, die zich richt op transnationale Chinese criminaliteit. "Als je een Amerikaanse vestiging hebt, kun je ook Amerikaanse bankrekeningen openen", zegt Sims. "Je zou potentieel personeel in de VS kunnen aannemen. Je zou in theorie meer formele banden met Amerikaanse entiteiten kunnen hebben." Maar hij merkt op dat de achterstallige status van de registratie kan betekenen dat Xinbi Guarantee in het verleden heeft geprobeerd om in de VS voet aan de grond te krijgen, maar het heeft opgegeven.

Hoewel Telegram het belangrijkste communicatiemiddel voor de twee markten was, diende de stablecoin Tether als hun belangrijkste betaalmiddel, zo ontdekte Elliptic. En ondanks de nieuwe ronde van verwijderingen van kanalen en accounts door Telegram, zijn Xinbi Guarantee en Huione Guarantee lang niet de enige bedrijven die Tether en Telegram gebruiken om in feite een nieuw, grotendeels Chineestalig darknet te creëren: Elliptic volgt bijna 30 vergelijkbare marktplaatsen, aldus Robinson, hoewel hij weigerde namen te noemen tijdens het onderzoek van het bedrijf.

Net nu Telegram nieuwe tekenen vertoont van een aanpak van die groeiende zwarte markt, heeft ook Tether de mogelijkheid om crimineel gebruik van zijn diensten te ontregelen. In tegenstelling tot andere, meer gedecentraliseerde cryptovaluta zoals Bitcoin, kan Tether betalingen blokkeren wanneer het kwaadwillenden identificeert. Het is echter onduidelijk in hoeverre Tether maatregelen heeft genomen om Chineestalige cryptooplichters en andere cryptofraudeurs op Xinbi Guarantee en Huione Guarantee ervan te weerhouden zijn valuta te gebruiken.

Toen WIRED aan Tether schreef om te vragen naar zijn rol op die zwarte markten, antwoordde het bedrijf in een verklaring dat het "bedrijven zoals Elliptic en andere aanbieders van blockchain-intelligentie aanmoedigt om cruciale gegevens te delen met wetshandhavingsinstanties, zodat we snel en in coördinatie kunnen handelen."

"Wij zijn geen passieve toeschouwers - wij spelen een actieve rol in de wereldwijde strijd tegen financiële criminaliteit", vervolgde de verklaring van Tether. "Als u overweegt Tether voor illegale doeleinden te gebruiken, denk dan nog eens goed na: het is het meest traceerbare bezit dat er bestaat. We zullen u identificeren en ervoor zorgen dat u voor de rechter wordt gebracht."

Ondanks die belofte – en de nieuwe poging van Telegram om Huione Guarantee en Xinbi Guarantee van zijn platform te verwijderen – zijn beide tools al gebruikt om tientallen miljarden dollars aan diefstal en andere zwarte markttransacties te faciliteren, waarvan een groot deel in het openbaar plaatsvond. De twee grotendeels illegale en zeer openbare markten zijn "opmerkelijk vanwege zowel de omvang als de schaamteloosheid waarmee ze opereren", aldus Jacob Sims van Harvard.

Gezien deze schaamteloosheid en de enorme criminele vermogens die op het spel staan, is te verwachten dat beide markten in een of andere vorm een ​​opleving zullen proberen te bewerkstelligen. Ook zullen er genoeg concurrenten zijn die een plek aan de top van de Chineestalige cryptocriminaliteitseconomie proberen in te nemen.