Operação combinou anúncios em redes sociais, grupos no WhatsApp, plataformas falsas de negociação cripto e ofertas inexistentes de tokens para enganar investidores de varejo.
| Componente | Clubes de investimento operados em aplicativos de mensagem e plataformas cripto falsas associadas a Morocoin, Berge e Cirkor. |
| Vetor | Anúncios em redes sociais atraíam investidores para grupos no WhatsApp, onde personas de professor e assistente promoviam sinais de investimento supostamente gerados por IA. |
| Impacto | Mais de US$ 14 milhões teriam sido desviados de investidores de varejo, incluindo pelo menos US$ 7,4 milhões em criptoativos e US$ 6,6 milhões em moeda fiduciária. |
| Prioridade | Bloquear domínios associados, revisar pagamentos para contas e carteiras relacionadas, preservar evidências de mensagens e educar usuários contra grupos de investimento não verificados. |
| Artefatos | Foram citados os domínios defangados h5[.]morocoin[.]top, www[.]bergev[.]org e www[.]cirkortrading[.]com. |
| Limite técnico | O caso descreve fraude financeira digital e engenharia social; o contexto não informa malware, exploração de vulnerabilidade, invasão de sistemas ou exfiltração técnica de dados. |
Uma fraude de investimento em criptoativos explorou a credibilidade artificial de recomendações atribuídas a IA para convencer investidores de varejo a transferirem fundos para plataformas falsas. A operação envolvia clubes de investimento com nomes como AI Wealth, Lane Wealth, AI Investment Education Foundation e Zenith Asset Tech Foundation, além de plataformas apresentadas como ambientes de negociação cripto associados a Morocoin, Berge e Cirkor. O elemento técnico central não foi uma intrusão em infraestrutura corporativa, mas uma cadeia coordenada de engenharia social, aquisição de tráfego por anúncios, manipulação em grupos de mensagem e simulação de serviços financeiros digitais.
O fluxo descrito começa com anúncios em redes sociais que levavam usuários a grupos no WhatsApp. Dentro desses grupos, os operadores mantinham personas com papéis definidos: um suposto professor, responsável por comentários macroeconômicos, atualizações de mercado e recomendações de investimento, e um assistente, encarregado da interação diária com participantes. As recomendações eram apresentadas como sinais gerados por IA, o que servia para dar aparência de sofisticação técnica e reduzir a percepção de risco por parte das vítimas.
Depois de ganhar confiança, os operadores direcionavam os participantes para supostas plataformas de negociação de criptoativos. Essas plataformas alegavam possuir licenças governamentais e promoviam ofertas de security tokens atribuídas a empresas que, no material analisado, são descritas como fictícias. O material aponta que as operações de negociação não ocorriam de fato e que as ofertas de tokens eram inexistentes. A fraude se agravava na etapa de saque: quando investidores tentavam recuperar recursos, as plataformas exigiam pagamentos antecipados adicionais e, em seguida, cortavam o acesso dos usuários aos serviços.
A cadeia de abuso combinava funil publicitário, comunicação fechada e ambiente transacional fraudulento. A aquisição inicial ocorria por anúncios em redes sociais, um vetor comum para fraudes de investimento porque permite segmentação por interesse, idade, localização e comportamento financeiro. A transição para grupos de mensagem reduzia a visibilidade pública da operação e criava um espaço controlado para reforço social, onde mensagens recorrentes, comentários de mercado e interações de suporte simulavam uma comunidade legítima de investidores.
Nos grupos, a referência a IA funcionava como componente de persuasão. O contexto não indica a existência de modelos reais, infraestrutura de machine learning ou sinais automatizados verificáveis. A alegação de sinais de investimento gerados por IA era usada como narrativa de autoridade para justificar recomendações de compra, criação de contas e transferência de fundos. Para equipes de segurança, esse ponto é importante porque mostra como termos técnicos relacionados a IA podem ser usados como isca, mesmo quando não há componente computacional relevante por trás da operação.
A etapa de monetização dependia de plataformas falsas que pareciam aceitar depósitos e apresentar oportunidades de negociação. As ofertas de security tokens incluíam um ativo chamado SCT, supostamente emitido pela SatCommTech, e outro chamado HMB, supostamente emitido pela HumanBlock. O contexto descreve SatCommTech e HumanBlock como entidades fictícias. A simulação de emissor, ativo e ambiente de negociação criava uma superfície de fraude completa: o usuário via uma narrativa de mercado, uma plataforma para depósito, um ativo anunciado e uma justificativa para manter ou ampliar aportes.
A fase de impedimento de saque é característica de golpes financeiros digitais com dupla cobrança. Depois do depósito inicial, a vítima era informada de que precisava pagar taxas antecipadas para acessar os valores exibidos na conta. Essa prática transforma a tentativa de recuperação em novo evento de perda. O encerramento do acesso às plataformas após a cobrança reforça que o saldo apresentado aos investidores era apenas uma interface de convencimento, não uma posição financeira verificável em mercado cripto real.
A superfície exposta envolve usuários finais, canais corporativos que permitem acesso a redes sociais e mensageria, equipes financeiras que podem receber solicitações de transferência e ambientes de monitoramento antifraude. O caso não depende de exploração técnica de um endpoint específico; a exposição nasce da interação entre publicidade, confiança social, falsas credenciais regulatórias e plataformas web controladas pelos operadores. Organizações com colaboradores que realizam investimentos pessoais em dispositivos corporativos também podem observar tráfego, mensagens e transferências relacionadas a esse tipo de golpe em sua telemetria.
O período operacional informado varia conforme o clube. AI Wealth e Lane Wealth teriam mantido grupos no WhatsApp de pelo menos janeiro de 2024 a junho de 2024, enquanto AIIEF e Zenith teriam operado de pelo menos julho de 2024 a janeiro de 2025. As entidades ligadas às plataformas foram descritas com registros corporativos específicos: Morocoin Tech Corp. estabelecida por volta de dezembro de 2023, Berge Blockchain Technology Co., Ltd. por volta de junho de 2022 e Cirkor Inc. por volta de maio de 2024. O contexto também registra que Cirkor foi dissolvida administrativamente em outubro de 2025.
Os recursos desviados teriam sido movidos para fora dos Estados Unidos por uma rede de contas bancárias e carteiras de criptoativos. Parte do fluxo passou por contas mantidas por indivíduos chineses ou birmaneses localizados no Sudeste Asiático. Também há exemplos de transferências bancárias de alto valor, incluindo um investidor da Morocoin que teria enviado mais de US$ 1 milhão em sete remessas para contas na China e em Hong Kong, e um investidor da Cirkor que teria enviado mais de US$ 1,4 milhão para um banco na Indonésia.
- Usuários atraídos por anúncios de investimento em redes sociais e migrados para grupos no WhatsApp.
- Plataformas cripto falsas associadas a Morocoin, Berge e Cirkor, com alegações de licenciamento governamental.
- Ofertas inexistentes de tokens SCT e HMB atribuídas a empresas descritas como fictícias.
- Domínios defangados citados no contexto:
h5[.]morocoin[.]top,www[.]bergev[.]orgewww[.]cirkortrading[.]com.
A detecção deve priorizar sinais de engenharia social e fraude financeira, não indicadores de comprometimento de malware. Em redes corporativas, proxies, DNS seguro e ferramentas de navegação podem procurar acessos aos domínios defangados associados às plataformas e a domínios com padrões semelhantes de investimento cripto, páginas em subdomínios curtos, uso de termos de negociação e promessas de IA aplicada a retorno financeiro. Essa busca deve ser tratada como triagem de exposição do usuário, com preservação de privacidade e sem assumir comprometimento do dispositivo sem evidência adicional.
Em endpoints e navegadores, os sinais úteis incluem histórico de acesso a plataformas de negociação desconhecidas, capturas de tela ou downloads de comprovantes de transferência, mensagens copiadas de grupos de investimento e contatos recorrentes com personas de suporte financeiro. Em ambientes de identidade, não há indicação de roubo de credenciais corporativas, mas vale revisar se usuários impactados reutilizaram senhas em plataformas falsas ou concederam informações pessoais em formulários de cadastro. Quando houver suspeita de perda financeira, a preservação de mensagens, recibos, endereços de carteira e comprovantes bancários é mais relevante do que coleta forense voltada a malware.
Para instituições financeiras, exchanges e equipes antifraude, a telemetria de maior valor está em transferências recorrentes para contas no exterior, depósitos cripto com justificativas de investimento em grupos privados, pagamentos de taxas antecipadas após tentativa de saque e uso de narrativas de security token offering sem documentação verificável. A análise deve separar investimentos legítimos de padrões de coerção: urgência para aportar, recomendações fechadas em grupo, promessa de sinal algorítmico, impedimento de saque e exigência de nova taxa para liberar saldo.
- Consultas DNS ou acessos web aos domínios defangados relacionados às plataformas citadas.
- Mensagens de WhatsApp com promessas de sinais de investimento gerados por IA e papéis de professor ou assistente.
- Transferências bancárias ou cripto para destinatários internacionais após interação com grupos de investimento.
- Solicitações de pagamento antecipado vinculadas a suposta liberação de saldo em plataforma de negociação.
A resposta deve começar pela contenção de novas interações. Usuários que tenham participado dos grupos ou acessado as plataformas devem ser orientados a interromper contato com operadores, não realizar pagamentos adicionais e preservar evidências. No ambiente corporativo, equipes de segurança podem bloquear os domínios conhecidos em DNS, proxy e filtragem web, além de registrar tentativas de acesso para identificar possíveis vítimas internas. Como o contexto não descreve malware, comandos remotos ou exploração de vulnerabilidade, medidas como reinstalação de máquinas só devem ser consideradas se houver evidência independente de comprometimento técnico.
A validação financeira exige uma trilha própria. Comprovantes de transferência, endereços de carteiras, comunicações em grupos, perfis usados por supostos consultores e telas de cobrança de taxas devem ser preservados em formato íntegro. Para organizações, o caminho defensivo inclui alertar equipes de finanças, jurídico, segurança e suporte para reconhecer golpes que usam IA como apelo de autoridade. A triagem deve considerar que a vítima pode ter fornecido dados pessoais durante o cadastro nas plataformas, mesmo sem evidência de vazamento sistêmico.
A prevenção passa por controles de conscientização mais específicos do que mensagens genéricas sobre phishing. O ponto a reforçar é que alegações de IA, sinais automatizados e licenças governamentais em páginas privadas não substituem validação independente de entidade, registro, emissor de token e capacidade real de saque. Em plataformas corporativas, a combinação de filtragem de domínios recém-observados, aviso em navegação para sites de investimento de alto risco e canal interno para relatar grupos suspeitos ajuda a transformar casos individuais em sinais de inteligência defensiva.
- Bloquear os domínios conhecidos em DNS, proxy e ferramentas de segurança web, usando versões defangadas durante a documentação interna.
- Preservar mensagens, recibos, telas de plataforma, endereços de carteira e comprovantes bancários antes de qualquer limpeza de dispositivo.
- Revisar reutilização de senhas e dados pessoais fornecidos a plataformas falsas, com troca de credenciais quando houver exposição.
- Treinar usuários para reconhecer promessas de investimento com IA, grupos fechados de recomendação, falsas ofertas de tokens e cobrança antecipada para saque.
0 Comentários