Black contre black : Méfiez-vous du risque de vol de jetons via l'application Safew en cas de fausse nouvelle monnaie.

Rédaction : Bitrace

Safew est une application de messagerie privée principalement similaire à Telegram, basée sur la technologie de cryptage de Telegram (protocole MTProto). Les messages, voix, vidéos et fichiers sont entièrement cryptés durant leur transmission, seuls les deux interlocuteurs peuvent voir le contenu, le serveur ne pouvant pas le lire. Certaines entreprises, pour des raisons de confidentialité, optent même pour un déploiement privé afin de contrôler totalement leurs données ou d’échapper aux contrôles réglementaires.

En raison de la coopération accrue de Telegram avec les autorités et des blocages de communautés, la plus grande plateforme d’échange de cryptomonnaies illégale en Asie du Sud-Est — Xinbi担保 — tente de migrer ses groupes publics vers Safew. Cela a entraîné une prolifération d’applications Safew frauduleuses, mettant en danger la sécurité des fonds cryptographiques des acteurs du secteur noir et gris, principalement des groupes commerciaux publics.

Cet article vise à dévoiler partiellement cette situation de piratage mutuel.

Chronologie

Le 13 mai 2025, heure de Beijing, deux des plus grandes plateformes d’échange de cryptomonnaies illégales en Asie du Sud-Est — Haowang担保 et Xinbi担保 — ont été sanctionnées par Telegram. De nombreux comptes officiels de service client et groupes commerciaux publics ont été directement bloqués, interrompant temporairement leurs activités et provoquant une panique généralisée dans le secteur noir et gris.

Les deux entités ont réagi différemment —

Le matin du 13 mai, Haowang担保 a annoncé la cessation de ses activités et a transféré tous ses groupes publics à Tudou担保, une entité liée à Haowang担保 ayant investi 30 % auparavant. Par une liquidation de façade, Haowang担保 a réussi à se défaire de ses responsabilités, rebaptisée Tudou担保, poursuivant ses activités illégales.

Le 14 mai, Xinbi担保 a mis à jour le contenu de sa page d’accueil xinbi[.]com, annonçant la mise en service officielle de groupes publics Safew pour contourner le blocage de ses groupes illégaux par Telegram. Bien que le contenu du site soit désormais inactif, des outils d’archivage web permettent encore d’en percevoir des traces.

Rapidement, la communauté du secteur noir et gris a commencé à dénoncer Xinbi担保 pour avoir lancé Safew, accusant cette initiative de voler les actifs cryptographiques des utilisateurs. Ces discussions négatives ont culminé début 2026, lorsque Tudou担保 a complètement fermé, et que Xinbi担保 a accéléré la migration de ses groupes publics.

Sites Safew contrefaits en abondance

Malgré les rappels répétés de Xinbi担保 sur la bonne adresse de téléchargement de Safew et ses affirmations que l’application est disponible sur l’App Store iOS, de nombreux groupes frauduleux ont créé des sites de contrefaçon non officiels, polluant les moteurs de recherche pour leur promotion.

Prenons l’exemple du lien non officiel safew-x[.]com. Lors d’une analyse avec l’outil de sandboxing en ligne ANY.RUN, des comportements malveillants ont été détectés.

Après exécution, le fichier a lancé une version de Gh0stRAT SweetSpecter (un cheval de Troie à accès à distance complet), établissant une communication avec un serveur C2, déclenchant les règles de menace émergente suivantes :

ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Ce cheval de Troie possède des capacités de contrôle à distance, d’enregistrement de clavier, de vol de fichiers, etc. Une fois infecté, l’attaquant peut prendre le contrôle total de la machine, y compris le bureau à distance en temps réel, la surveillance de la caméra/microphone, le vol et l’envoi de fichiers, l’exécution de commandes arbitraires et le déploiement d’outils malveillants supplémentaires. La menace persiste à long terme, permettant une dissimulation et un vol de données sensibles. Il est classé comme un cheval de Troie à accès à distance (RAT) à haut risque.

Pour les groupes publics et utilisateurs utilisant massivement des portefeuilles cryptographiques pour leurs activités illicites, ce type de logiciel malveillant cible clairement les clés privées stockées sur leurs appareils.

Analyse des activités des groupes publics Xinbi担保 et Safew

Bitrace surveille depuis longtemps les flux financiers de Xinbi担保. Une étude des adresses de dépôt sur le groupe Safew montre qu’en mai 2025, Xinbi担保 a lancé le groupe Safew, mais ce n’est qu’en août de la même année qu’une adresse dédiée a été attribuée, avec un volume d’activité faible et en baisse mensuelle.

Jusqu’à la fin 2025 et début 2026, avec la faillite successive de Huishang Pay et Tudou担保, Xinbi担保 a intensifié la promotion de ses groupes Safew, atteignant brièvement un flux mensuel supérieur à 32 millions USDT en janvier 2026, puis diminuant chaque mois.

Après avoir analysé toutes les adresses de dépôt de Xinbi担保, il apparaît que le volume de dépôt mensuel via Safew ne représente qu’une journée d’activité sur Telegram, confirmant que Telegram reste la plateforme privilégiée des acteurs du secteur noir et gris.

Conclusion

En réalité, la pratique du piratage et du vol entre acteurs du secteur noir et gris est très courante, allant de faux portefeuilles à de fausses applications Telegram, en passant par des attaques physiques ou des manipulations sociales en ligne. Ces groupes, en dehors du cadre légal, deviennent des cibles privilégiées.

Après la faillite de Tudou担保, Xinbi担保 est devenue la plus grande plateforme d’échange de cryptomonnaies illégale en Asie du Sud-Est. La campagne de phishing contre les groupes Safew n’est pas un début, et loin de là.

Bitrace continuera de surveiller activement la situation.