Постоянно появляются новые рекламные объявления. Хотите получить фальшивую валюту? Услуги по отмыванию денег? Хакерские технологии? Если вы читаете по-китайски и понимаете жаргон преступного мира, на котором “материальные хозяева” — это обладатели украденных денег или банковской информации, а “продавцы собак” — работники мошеннических контор, — все это и многое другое можно приобрести в закоулках крупнейшего в мире рынка нелегальных товаров.
Найти это несложно. Сообщения в основном размещаются в публичных чатах, управляемых Huione Group, камбоджийским конгломератом, известным среди китаеязычного сообщества страны, который занимается продажей страховок, обменом валюты и финансовыми услугами. Его онлайн-банковское подразделение Huione Pay называет себя «камбоджийским Alipay». Ярко-красные наклейки с QR-кодами Huione, используемыми для оплаты покупок, можно найти в ресторанах и магазинах.
Полный спектр услуг, предоставляемых компаниями под брендом Huione, выглядит гораздо мрачнее. Хотя аффилированные лица Huione неоднократно отрицали какую-либо причастность к преступной деятельности, Министерство финансов США недавно назвало их «критически важным узлом» для отмывания не менее 4 миллиардов долларов, полученных путём мошенничества и кражи криптовалют.
Этот отчёт, основанный на более чем двух десятках интервью с государственными чиновниками, инсайдерами компании и предполагаемыми жертвами, а также на внутренних документах, подробно описывает, как сеть Huione фактически способствовала росту азиатской индустрии кибермошенничества, превратив её в многомиллиардного гиганта.
«Huione — это как Amazon для преступников», — сказал Нго Минь Хьеу, следователь по киберугрозам и бывший хакер, изучающий онлайн-активность конгломерата. «Меня поражает то, как они организуют бизнес и ассортимент своей продукции». Выводы Нго перекликаются с выводами некоторых регулирующих органов.
Операции по изменению формы собственности.
Корпоративная история Huione крайне непрозрачна. Согласно архивным веб-страницам, компания была основана в Камбодже в 2014 году, хотя гонконгские записи показывают, что она была зарегистрирована там в 2018 году. Компания, похоже, не публикует публичную финансовую отчетность и, похоже, не имеет ни персонала, ни офисных помещений. По сути, она функционировала как прикрытие для сети аффилированных компаний. Директора этих филиалов часто пересекались, но отношения между подразделениями неясны.
Министерство финансов США называет три организации, которые конкретно помогали преступным синдикатам перемещать незаконные средства: Huione Pay, криптовалютную биржу Huione Crypto и оператора онлайн-торговой площадки Haowang Guarantee (ранее Huione Guarantee). Эти компании, как и материнская компания, функционально действуют как «одно и то же лицо», говорится в заявлении. Среди клиентов были транснациональные преступные организации и северокорейская хакерская организация Lazarus Group, сообщило Министерство финансов США в мае, когда оно объявило о планах полностью заблокировать Huione от доступа к американской финансовой системе. Риски, связанные с связью Huione с незаконными субъектами и транзакциями, «усугубляются либо отсутствием, либо неэффективностью политик и процедур по борьбе с отмыванием денег/знай своего клиента (AML/KYC)», — говорится в заявлении.
Другие страны также усилили меры по сдерживанию: Таиланд, который граничит с Камбоджей, объявил в июне, что проводит расследование в отношении конгломерата на предмет обработки денег, полученных от незаконных азартных игр и мошенничества. В коммерческом мире Компания-разработчик мессенджеров, Telegram Group Inc., закрыла множество чат-групп под брендом Huione По словам представителя, Tether Holdings SA заморозила кошельки, связанные с Huione Guarantee, на которых хранится около 30 миллионов долларов стабильной валюты USDT. Они добавили, что криптовалютная компания предпримет немедленные действия, если правоохранительные органы обнаружат другие кошельки, связанные с Huione Guarantee. (Похоже, что ни одно подразделение Huione публично не прокомментировало действия Таиланда или Tether.)
Это вызвало некоторый резонанс в прессе. По данным центрального банка Камбоджи, Haowang Guarantee и Huione Crypto объявили о своем закрытии, а Huione Pay была ликвидирована в июне. Национальный банк Камбоджи сообщил в заявлении для Bloomberg, что лицензия Huione Pay была отозвана “из-за серьезных нарушений применимых правил и инструкций”, и ему было приказано закрыть свои офисы и прекратить все операции. Этот процесс был полностью завершен к 19 июня, добавили в банке. Тем не менее, Huione Pay сообщила Bloomberg в заявлении по электронной почте, отправленном через три недели после очевидного прекращения, что она привержена конструктивному взаимодействию с официальными лицами США и другими органами власти для продвижения безопасной и прозрачной финансовой системы. В публичном ответе Казначейству США Huione Pay заявила, что она “предпринимает значительные усилия для решения проблем с соблюдением требований законодательства”.
Ни одно из отдельных подразделений публично не признает какой-либо связи с Huione Group, хотя исторически эти организации заявляли о прямых связях друг с другом. (В более старой версии веб-сайта Huione Pay указано, что он “создан” Huione Group, а в публикации в социальных сетях в конце прошлого года Haowang Guarantee назвала Huione Group одним из своих “стратегических партнеров и акционеров”.)
Но активность в Интернете и два человека, знакомых с деятельностью компаний, указывают на то, что все три подразделения, похоже, продолжают работать в той или иной форме, избегая сбоев и давления со стороны регулирующих органов, меняя названия или направляя клиентов к аффилированным компаниям.
Например, через несколько недель после того, как Haowang Guarantee объявила о своем закрытии, объем крипто-транзакций, которые компания Chainalysis Inc., занимающаяся анализом блокчейна, идентифицировала как связанные с компаниями Huione, на самом деле увеличился. Одна крупная группа Haowang Guarantee в Telegram остается общедоступной и активной, в то время как модераторы также отсылают клиентов к Tudou Guarantee, торговой площадке, в которой Haowang Guarantee недавно приобрела 30% финансовой доли, согласно онлайн-заявлениям обеих компаний.
У Tudou нет зарегистрированного адреса электронной почты или номера телефона. Представители службы поддержки клиентов в её аккаунте в Telegram заявили, что никто не может ответить на вопросы прессы. Haowang Guarantee отклонила запрос на интервью, заявив, что прекратила свою деятельность и не связана ни с одной из организаций Huione. Ранее компания отрицала какую-либо причастность к киберпреступности. Представитель Telegram заявил, что «мы рассматриваем каждый случай индивидуально и категорически отвергаем тотальные запреты», добавив, что приложение стремится защищать конфиденциальность пользователей и их право на финансовую независимость.
На сайте Huione Crypto, чат-бот предлагает клиентам зарегистрироваться у нового провайдера Kex. Kex, зарегистрированный на Британских Виргинских островах и недоступный для комментариев, управляется сотрудниками, ранее работавшими в Huione Crypto, сообщил источник, знакомый с деятельностью компании и пожелавший остаться анонимным из соображений безопасности. Нго добавил, что шаблон сайта Kex, разработанный специально для Huione Crypto, совпадает с шаблоном сайта Huione Crypto. Письма, отправленные на официальные адреса сайтов Huione Crypto и Kex, возвращались.
Продолжающееся присутствие корпорации указывает на сложности, связанные с закрытием децентрализованных рынков, а также на устойчивость структур Huione и на то, насколько умело конгломерат находит обходные пути. Внутренние документы свидетельствуют о том, что так называемые «денежные мулы», обеспечивающие отмывание денег, нацелились на жертв как минимум в десятке стран. Согласно корпоративным документам, некоторые подразделения Huione имеют филиалы в Польше, Канаде и Японии.
«Когда сложные преступные финансовые сети становятся по-настоящему укоренившимися, публичное закрытие часто можно считать лишь декорацией», — заявил Эндрю Файерман, руководитель отдела анализа национальной безопасности Chainalysis. Министерство финансов США, опираясь на результаты работы компании, пришло к выводу, что Huione является «важным каналом» для отмывания денег. «Реальная инфраструктура, их каналы отмывания денег, продолжают работать под землей, бесперебойно обрабатывая миллиарды», — добавил Файерман.
Секретное ядро.
Одним из мест в Huione, где была размещена часть этой инфраструктуры, является скрытный платежный центр Huione International Pay. По словам двух человек, знакомых с его деятельностью, которые попросили не называть их имени из соображений безопасности, именно в этом подразделении осуществлялась большая часть повседневной деятельности по содействию мошенничеству. Согласно документам компании, с которыми ознакомились Bloomberg и эти два человека, ее сотрудники не только модерировали онлайн-криминальные базары в таких приложениях для обмена сообщениями, как Telegram, но и получали плату за прямое подключение мошенников к мулам.
По словам людей, в какой-то момент, работая на втором этаже головного офиса Huione Pay в Пномпене и используя псевдонимы внутри компании, сотрудники Huione International Pay также поддерживали связи между сетью прачечных самообслуживания. Документы, с которыми ознакомилось агентство Bloomberg, содержат подробные данные о тысячах жертв мошеннических действий различных групп, использующих услуги Huione International Pay. Хотя проверить каждый инцидент было бы практически невозможно, агентство Bloomberg смогло сопоставить ряд деталей и идентификационных данных с делами, рассматривавшимися в судах США.
Huione Pay заявила, что не имеет никакого отношения к Huione International Pay и не знает, к какой организации или физическим лицам относится это название. Сеть по борьбе с финансовыми преступлениями США в своем майском отчете сообщила, что Huione International Pay является «частью Huione Pay» и что она содействовала транзакциям, «связанным с отмыванием денег» для Haowang Guarantee.
Взрывной рост индустрии.
Киберпреступность существовала ещё до того, как персональные компьютеры стали массовыми — предположительно, с 1830-х годов, когда два французских брата обманули систему оптического телеграфа, чтобы получить доступ к данным фондового рынка из Парижа раньше конкурентов. Но попытки вымогательства денег у людей в интернете действительно резко возросли в 2010-х годах, причём большая часть этой активности была связана с новой волной мошеннических схем в странах Юго-Восточной Азии, таких как Камбоджа, Мьянма и Лаос, которые начали обманывать жертв по всему миру.
Многие из них управлялись преступными синдикатами под руководством Китая, а в их штате состояли люди, ставшие жертвами торговли людьми, которых заставляли обманывать жертв в таких странах, как США, Германия и Япония. Во многих случаях жертвы были вовлечены в фиктивные схемы инвестирования в криптовалюту или фиктивные романы, известные как «забой свиней».
Рост был стремительным. По данным Chainalysis, в 2024 году доходы от мошеннических операций «забой свиней» выросли почти на 40% по сравнению с предыдущим годом. По мере роста отрасли количество вопросов от представителей правоохранительных органов по всему миру росло. Каким образом криминальные авторитеты получали такие инструменты, как поддельные паспорта, вредоносные программы, программы для распознавания лиц и денежные мулы, необходимые для роста такими быстрыми темпами? Как оказалось, ответом стало появление новых онлайн-площадок. И в отличие от своих западных аналогов, таких как Silk Road, для доступа к которым пользователям приходилось преодолевать технические трудности, они работали на виду у всех.
Многие из Telegram–сервисов, которыми управляли подразделения Huione, — число которых в конечном итоге достигло тысяч — были безобидными. Они часто функционировали в той или иной степени как страницы объявлений об обмене валюты или покупке недвижимости. Но после того, как базирующийся в Мьянме подпольный маркетплейс под названием Fully Light Guarantee, который, как известно, не имеет отношения ни к одной компании под брендом Huione, был закрыт, отношение к Huione Guarantee ухудшилось, согласно аналитикам Управления ООН по наркотикам и преступности, которые отслеживали работу платформы. Анонимные пользователи стали чаще использовать жаргон, указывающий на незаконные продажи, в своих сообщениях, в то время как реклама пользователей стала появляться без особых усилий, чтобы скрыть их незаконные намерения. Большинство из них были написаны на китайском, что говорит о том, что основная клиентура не была камбоджийской.
Министерство иностранных дел Китая, не комментируя напрямую ситуацию в Хуэйоне, заявило, что Китай активно сотрудничает с соседними странами, в том числе с Камбоджей, в области обеспечения правопорядка и безопасности и продолжит углублять международное сотрудничество в борьбе с онлайн-мошенничеством и другой трансграничной преступной деятельностью.
В одной рекламе 2023 года, которую просмотрело агентство Bloomberg, предлагались поддельные банкноты в юанях с гарантией того, что они пройдут через детекторы денег. В других рекламировались контрабандные айфоны и взломанные компьютеры или помощь в размораживании банковских счетов. Несколько рекламируемых товаров напрямую связаны с мошеннической индустрией. Они использовали китайское выражение, означающее «забой свиней», продавали услуги по созданию поддельных веб-сайтов для криптоинвестиций и рекламировали электрические дубинки и слезоточивый газ для борьбы с «сбежавшими собаками», что явно указывает на пытки работников, ставших жертвами торговли людьми. Большинство просили оплату в криптовалюте.
«Крах Fully Light Guarantee послужил мощным катализатором для других торговых платформ», — сказал Джон Войчик, бывший аналитик угроз УНП ООН, который много лет изучал индустрию кибермошенничества. «Количество пользователей Huione Guarantee начало расти с нескольких тысяч до десятков и сотен тысяч практически в одночасье», — сказал он, поскольку бывшие пользователи Fully Light Guarantee искали альтернативную платформу.
По мере роста присутствия Huione Guarantee, исследователи блокчейна начали углубляться в исследование, чтобы попытаться оценить её истинные масштабы. Elliptic, одна из крупнейших таких компаний, опубликовала в январе исследование, в котором пришел к выводу, что через криптовалютные кошельки, используемые Huione Guarantee и её продавцами, прошло не менее 24 миллиардов долларов. В прошлом месяце компания TRM Labs, занимающаяся блокчейн-аналитикой, подсчитала, что «инфраструктура, связанная с Huione», включая Huione Guarantee и Huione Pay, с 2021 года получила цифровые активы на сумму более 96 миллиардов долларов. Любая оценка означает, что Huione Guarantee превосходит своего крупнейшего предшественника, российскую платформу Hydra Market, до того, как она была закрыта властями США и Германии.
«Они в несколько раз больше, чем что-либо подобное», — сказал Том Робинсон, главный научный сотрудник Elliptic.
В своем февральском заявлении Haowang Guarantee отрицала какую-либо причастность к киберпреступности и заявила, что все операции, проводимые в ее группе Telegram, осуществлялись третьими лицами.
Сложные операции.
Bloomberg изучил внутренние документы компании Huione International Pay, охватывающие период с 2022 по 2023 год. Документы составлены преимущественно на китайском языке и служат бухгалтерскими журналами для тысяч жертв и транзакций на десятки миллионов долларов. Они показывают, что сотрудники непосредственно участвовали в мониторинге транзакций и урегулировании споров, а платформа регулярно получала комиссию с продаж. Согласно документам, Huione International Pay была настолько тесно вовлечена в операции, что предоставляла крупные кредитные линии высокоэффективным командам, занимающимся отмыванием денег.
В одном из документов, многостраничном руководстве, составленном отделом транзакций Huione International Pay, изложены правила заполнения журналов для жертв, именуемых «клиентами», в США, Европе и Австралии. В отчёте, датированном 2022 годом, описывается, как справляться с рисками «от лёгких до серьёзных», в том числе в случаях обращения жертв в полицию или задержания мулов властями (этот раздел отмечен эмодзи с черепом и скрещёнными костями). В руководстве говорится, что нужно изменить одно поле в журналах на «арестованное лицо» и «немедленно сообщить менеджеру или региональному руководителю».
В документах используется система кодирования для отслеживания мулов и мошенников, которая демонстрирует масштаб и изощрённость. Отмыватели денег классифицируются по префиксу «X» с последующим числом. Мошенники группируются примерно по географическому признаку. EZ3 описывает группу, специализирующуюся на поиске жертв в Европе. US26 — группу, ориентированную на США. Huione International Pay также вела учёт жертв, в некоторых случаях даже сохраняя данные их банковских счетов. Записи об операциях на Тайване настолько подробны, что включают в себя заметки о вымышленных целях, которые мошенники указывали для своих банковских переводов. В одном случае речь шла о массовых заказах корма для домашних животных. Харрис Чен, прокурор Тайваня, специализирующийся на расследованиях киберпреступлений, сказал, что он может сопоставить детали, содержащиеся в документах, по крайней мере с двумя делами на Тайване, в результате которых были вынесены обвинительные приговоры за отмывание денег.
Агентство Bloomberg сопоставило данные о ряде лиц в документах с данными, полученными в ходе расследований в США, проводимых Федеральным бюро расследований и Секретной службой, которые обладают юрисдикцией в отношении финансовых преступлений, а также отвечают за охрану президента.
К ним относится дело Дарена Ли, имеющего двойное гражданство Китая и Сент-Китса и Невиса, который признал себя виновным в США в отмывании более 73 миллионов долларов, заработанных в результате мошенничества с инвестициями в криптовалюты. Американские чиновники, которые изъяли телефон Ли, утверждают, что он общался с сообщниками в Telegram под псевдонимом KG71777. Международные платежные документы Huione содержат записи с тем же именем пользователя, что и в его WhatsApp. Согласно документам, Ли получал комиссионные в размере около 9% за свою работу. (Huione не фигурировал в открытых документах, представленных в суде).
Одной из жертв, фигурирующих в журналах, является Шаши Айер, проживающий в США. Согласно документам американского суда, в конце 2022 года Айер получил на свой телефон странное уведомление: «Вы были автоматически добавлены в группу в Telegram». Когда он спросил модераторов, почему это произошло, они ответили, что группа предназначена для криптоинвесторов, заинтересованных в торговле парными опционными контрактами с бостонской финансовой компанией. Айер, регулярно просматривавший группы в Telegram в поисках инвестиционных возможностей, решил попробовать, соблазнившись обещанной прибылью от 50% до 95%.
«Это была ловушка», — сказал он.
После того, как Айер почти удвоил свои деньги и без проблем вывел прибыль, его пригласили в небольшую группу в Telegram для тех, кто хотел инвестировать более крупные суммы, в его случае около 40 000 долларов. Он вложил больше денег, но при попытке вывести их обнаружил, что инвестиционная компания никогда не существовала, и подал заявление о киберпреступлении в правительство США. В прошлом году Секретная служба подала гражданский иск в Теннесси от имени пострадавших, включая Айера. Huione в иске не упоминался. В конечном итоге суд постановил вернуть часть денег.
Согласно судебному документу, жертвы перевели в общей сложности несколько миллионов долларов на банковские счета, открытые подставными компаниями в Evolve Bank & Trust в Мемфисе. Представитель Evolve Bank & Trust отказался комментировать это дело, но подчеркнул, что компания «полностью привержена соблюдению самых высоких стандартов соблюдения нормативных требований, финансовой целостности и борьбы с отмыванием денег».
В журналах Huione International Pay Айер и две другие жертвы иска из Теннесси учтены вплоть до временных меток их банковских переводов, номеров банковских счетов и назначенной им группы по отмыванию денег: X3.
Защита от контроля.
Небольшие данные о камбоджийских предприятиях Huione, включая Huione Pay и Haowang Guarantee, свидетельствуют о том, что ими руководят китайские менеджеры и влиятельные местные жители – распространённый симбиоз в Камбодже, где в последние годы приток китайского капитала преобразил страну. Проезжая сегодня по Пномпеню, вы увидите вывески на китайском языке на многих строительных площадках. По словам бывшего сотрудника, в офисах Huione Pay чаще можно услышать мандаринский диалект, чем кхмерский, основной язык Камбоджи.
Хун То, который был указан директором ныне расформированной Huione Pay в реестре предприятий Камбоджи, — двоюродный брат премьер-министра Камбоджи, Хун Манета. Дом Хун То в Пномпене — это крепость с толстой цементной стеной и сетками, подвешенными над территорией, возможно, для того, чтобы не дать экзотическим птицам-носорогам сбежать. Много лет назад, во время расследования под названием «Операция «Иллипанго»», австралийские власти, по сообщениям местных СМИ, вели против него расследование по факту контрабанды наркотиков в лесоматериалах. Он отрицал обвинения, и в конечном итоге ему не было предъявлено обвинение. Австралийская комиссия по уголовной разведке заявила, что не может оказать содействие в расследовании по этому вопросу.
Попытки связаться с Хун То по электронной почте, связанной с тремя компаниями, в которых он является директором, не увенчались успехом. Аппарат Совета министров, исполнительный орган Камбоджи, возглавляемый премьер-министром, не ответил на запросы о комментариях. Хун То всегда отрицал какую-либо причастность своего бизнеса к кибермошенничеству, и нет никаких признаков того, что он осведомлен о деятельности Huione International Pay.
Хэ Яньмин, владелец Huione Crypto в Польше, указан в реестре предприятий Камбоджи как директор Panda Commercial Bank Plc, крупного финансового учреждения страны. Хун То и Ли Сюн, занимавший пост директора как минимум четырёх предприятий Huione, входили в совет директоров банка до своей отставки в октябре прошлого года.
Ли и Хэ не ответили на запросы о комментариях по поводу электронных писем, связанных с другими компаниями, директорами которых они числятся. Нет никаких указаний на то, что кто-либо из них ранее был в курсе предполагаемой незаконной деятельности внутри конгломерата. Panda Bank не ответил на запрос о комментарии.
По словам иностранных чиновников, осведомленных о конгломерате, предприятия Huione были изолированы от слишком пристального внимания внутри Камбоджи. Однако в сентябре прошлого года Центральный банк страны отозвал лицензию Huione Pay. Несколько месяцев спустя, когда эта новость стала достоянием общественности, клиенты поспешили в главный офис компании в Пномпене, чтобы снять средства, а Huione Pay временно повысила процентные ставки по всем депозитам в USDT, стейблкоине, обеспеченном долларом, разработанном Tether, с 2% до 7,3%.
Но паника была лишь небольшой вспышкой. Компания быстро объявила в одном из своих каналов в социальных сетях о переносе платежных и блокчейн-сервисов в Японию и Канаду, где подразделения Huione ранее имели лицензии на ведение бизнеса.
Финансовый регулятор Японии отказался комментировать, находится ли под следствием какой-либо филиал Huione, но заявил, что у конгломерата нет действующего разрешения на оказание платежных услуг. По словам Эрики Констант, представителя финансового регулятора страны, регистрация Huione Pay в Канаде как поставщика финансовых услуг истекла в конце 2023 года. Она отказалась комментировать, предоставляли ли правоохранительные органы разведданные о компании ее организации. Во время недавнего визита по адресу, связанному с польским подразделением Huione Crypto — четырехэтажному жилому дому в зеленом жилом районе Варшавы — ответивший на домофон человек сообщил, что комплекс представляет собой «виртуальный офис». Когда репортер Bloomberg представился журналистом, тот повесил трубку. Польский регулятор виртуальных валют не ответил на запрос о комментарии.
После действий Центрального банка Камбоджи, компания Huione Pay продолжает работать под названием HPay, сообщают два источника, знакомые с деятельностью этого подразделения. Согласно реестру компаний страны, компания HPay была зарегистрирована в Камбодже в октябре прошлого года. Согласно информации на их сайте, штаб-квартира компании находится в том же здании, что и филиал Panda Bank. HPay не ответила на запрос о комментарии.
Даже блокирование доступа Huione к американской финансовой системе, как это пытается сделать Министерство финансов США, может оказаться не такой большой угрозой, как кажется. Как правило, для онлайн-мошенничества не требуется физического контакта, а отмыватели денег умело перемещают деньги через мул-счета.
Huione также имеет другой уровень защиты: собственную валюту.
Исторически сложилось так, что многие платежи производились в USDT. Но затем Tether начал замораживать подозрительные кошельки, использующие Huione. Так, в прошлом году Huione Crypto создала стабильную монету USDH.
USDH «освобождён от традиционных нормативных ограничений», говорится в архивном заявлении, опубликованном на сайте, и «гарантирует, что активы пользователей не будут произвольно заморожены».
Чэнь Яньюй, тайваньский исследователь киберпреступности, провела несколько месяцев в Камбодже, общаясь с предполагаемыми отмывателями денег, мошенниками и их боссами. По её словам, эта взаимосвязанная сеть участников научилась мастерски находить обходные пути, будь то использование недостатков финансовой системы Камбоджи или использование благоприятных нормативных актов в других странах.
«Киберпреступность уже глубоко укоренилась в функционировании мирового капитализма, изымая ресурсы по всему миру», — сказала Чэнь. «Её невозможно просто так уничтожить».