Las autoridades confiscaron la infraestructura que impulsaba cuatro botnets que Secuestró un total de tres millones de dispositivos. y lanzaron más de 300.000 ataques DDoS en conjunto, dijo el jueves el Departamento de Justicia.

Las botnets (Aisuru, Kimwolf, JackSkid y Mossad) permitieron a los operadores vender acceso a los dispositivos infectados para diversos delitos cibernéticos. Las consecuencias abarcaron miles de ataques, incluidos algunos que exigían pagos de extorsión a las víctimas, dijeron los funcionarios.

La operación coordinada globalmente, ayudada por acciones policiales dirigidas a los operadores de botnets en Canadá y Alemania, interrumpió la infraestructura de comando y control de las cuatro botnets. Dos de las botnets establecieron récords antes de su eliminación, atrayendo la atención generalizada de investigadores y proveedores de seguridad.

La botnet Kimwolf, una variante de Android de Aisuru, se propagó como la pólvora después de que sus operadores descubrieron cómo abusar de las redes de proxy residenciales para el control local, según Sythient. Finalmente se hizo cargo más de 2 millones Dispositivos Android TV para enero. En septiembre, justo cuando Kimwolf se estaba formando, Cloudflare registró que la botnet Aisuru alcanzó un récord. Ataque DDoS de 29,7 terabits por segundo que duró 69 segundos.

En última instancia, los funcionarios atribuyeron aproximadamente 200.000 ataques DDoS a Aisuru, 90.000 a JackSkid, 25.000 a Kimwolf y alrededor de 1.000 comandos de ataque DDoS a la botnet Mossad. Sin embargo, los ataques DDoS de atacantes con motivaciones financieras suelen ser una distracción o una mala dirección.

«A menudo, un ataque DDoS es simplemente publicidad del tamaño de la botnet de un operador», dijo a CyberScoop Zach Edwards, investigador de amenazas de Infoblox. Los operadores de botnet obtienen dinero alquilando estos dispositivos controlados a ciberdelincuentes para abuso de cuentas, ataques de restablecimiento de contraseñas, esquemas de fraude publicitario y nodos proxy residenciales, añadió.

Los dispositivos infectados por las cuatro botnets incluyen grabadoras de vídeo digitales, cámaras web, enrutadores Wi-Fi y decodificadores de TV. Cientos de miles de estos dispositivos se encuentran en Estados Unidos, dijeron los fiscales federales.

Las autoridades no nombraron a las personas involucradas ni anunciaron formalmente ningún arresto. Sin embargo, describen la operación en términos casi concluyentes, afirmando que la acción interrumpió la infraestructura de comunicaciones de las botnets (dominios, servidores virtuales y otros sistemas) para evitar una mayor infección y limitar o eliminar la capacidad de las botnets de lanzar futuros ataques.

«Los ciberdelincuentes se infiltran en la infraestructura más allá de las fronteras físicas y el Servicio de Investigación Criminal de Defensa participa en operaciones internacionales para ayudar a salvaguardar la huella global del Departamento», dijo en un comunicado Kenneth DeChellis, agente especial a cargo de la oficina cibernética DCIS del Departamento de Defensa. Algunos de los ataques DDoS atribuidos a estas botnets alcanzaron direcciones IP propiedad de la Red de Información del Departamento de Defensa.

Las botnets a menudo compiten por dispositivos que infectar y oportunidades de escalar. A medida que Kimwolf se extendió y alcanzó esos objetivos, captó un gran interés por parte de investigadores, autoridades y proveedores capaces de ayudar a detenerlo.

Kimwolf fue la botnet DDoS más grande jamás detectada, según Tom Scholl, vicepresidente de Amazon Web Services, que ayudó en la operación. «La escala de esta botnet es asombrosa», dijo en un publicación en LinkedIn.

«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets», añadió Scholl. «A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf aprovechó un nuevo vector de ataque: las redes proxy residenciales».

Según este mecanismo, cualquier organización con dispositivos vulnerables conectados a Internet podría, sin saberlo, convertir esos dispositivos en un nodo para una botnet o un punto de apoyo para un ataque dirigido.

“Esto no es sólo un problema que tiene su primo porque compró una caja de TV barata que le prometía canales de televisión gratuitos”, dijo Edwards. Infoblox dijo anteriormente casi el 25% de los clientes tenía al menos un dispositivo terminal en un servicio de proxy residencial objetivo de Kimwolf.

Si bien es intelectualmente interesante cuando una botnet alcanza un tamaño extraordinario, también es un «triste recordatorio de que muchas veces la seguridad pasa a un segundo plano frente a la conveniencia y el costo», dijo Edwards.

«Las botnets están creciendo porque cada vez más personas compran cosas raras conectadas a Internet», añadió. «Nada en este mundo es gratis».

Los desmantelamientos marcan la continuación de una ofensiva constante y continua contra botnets de gran escala, mercados de delitos cibernéticos, malware, ladrones de información y otras herramientas de delitos cibernéticos. Algunas de las redes maliciosas obstaculizadas o que dejaron de funcionar debido a interrupciones y arrestos durante el año pasado incluyen: DanaBot, Rapper Bot, Lumma Stealer, AVCheck y SocksEscort.

Más de 20 empresas y organizaciones ayudaron con la interrupción coordinada, incluidas las fuerzas del orden de los Países Bajos y Europol. Los esfuerzos para detener las botnets continuarán a medida que estas redes maliciosas proliferen en nuevos lugares y de nuevas maneras.

«Vivimos en un tiovivo de dispositivo comprometido: botnet DDOS y aunque muchos de nosotros deseamos que algo pueda ralentizarlo, los desafíos continúan creciendo», dijo Edwards. «Este sigue siendo un mal día para los actores de amenazas graves, y cualquier día como ese es algo que todos deberíamos celebrar».

El Departamento de Justicia de EE. UU. (DoJ) anunció el jueves la interrupción de la infraestructura de comando y control (C2) utilizada por varias botnets de Internet de las cosas (IoT) como AISURU, Kimwolf, JackSkidy el Mossad como parte de una operación policial autorizada por el tribunal.

En el esfuerzo también las autoridades de Canadá y Alemania apuntaron a los operadores detrás de estas botnets, con una serie de empresas del sector privado, incluidas Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B y QiAnXin XLab ayudando en los esfuerzos de investigación.

«Las cuatro botnets lanzaron ataques distribuidos de denegación de servicio (DDoS) dirigidos a víctimas de todo el mundo», dijo el Departamento de Justicia. dicho. «Algunos de estos ataques midieron aproximadamente 30 Terabits por segundo, que fueron ataques sin precedentes».

En un informe del mes pasado, Cloudflare atribuyó a AISURU/Kimwolf a un ataque DDoS masivo de 31,4 Tbps que ocurrió en noviembre de 2025 y duró solo 35 segundos. Hacia finales del año pasado, también se estima que la botnet participó en ataques DDoS hipervolumétricos que tenían un tamaño promedio de 3 mil millones de paquetes por segundo (Bpps), 4 Tbps y 54 millones de solicitudes por segundo (Mrps).

El periodista independiente de seguridad Brian Krebs también rastreado el administrador de Kimwolf de Jacob Butler (también conocido como Dort), de 23 años, de Ottawa, Canadá. Butler le dijo a Krebs que no ha usado la personalidad de Dort desde 2021 y afirmó que alguien se está haciendo pasar por él después de comprometer su antigua cuenta.

Butler también dijo que «la mayor parte del tiempo se queda en casa y ayuda a su madre en las tareas del hogar porque lucha contra el autismo y la interacción social». De acuerdo a krebsel otro principal sospechoso es un joven de 15 años que reside en Alemania. No se han anunciado arrestos.

La botnet ha reclutado a más de 2 millones de dispositivos Android en su red, la mayoría de los cuales son televisores Android de otra marca comprometidos. En total, se estima que las cuatro botnets han infectado nada menos que 3 millones de dispositivos en todo el mundo, como grabadoras de vídeo digitales, cámaras web o enrutadores Wi-Fi, de los cuales cientos de miles se encuentran en EE.UU.

«Las botnets Kimwolf y JackSkid están acusadas de atacar e infectar dispositivos que tradicionalmente están ‘protegidos’ del resto de Internet. Los dispositivos infectados fueron esclavizados por los operadores de las botnets», dijo el Departamento de Justicia. «Los operadores utilizaron luego un modelo de ‘cibercrimen como servicio’ para vender el acceso a los dispositivos infectados a otros ciberdelincuentes».

Estos dispositivos infectados se utilizaron luego para realizar ataques DDoS contra objetivos de interés en todo el mundo. Los documentos judiciales alegan que las cuatro variantes de la botnet Mirai han emitido cientos de miles de comandos de ataque DDoS.

• AISURU – >200.000 comandos de ataque DDoS
• Kimwolf: >25.000 comandos de ataque DDoS
• JackSkid: >90.000 comandos de ataque DDoS
• Mossad: >1.000 comandos de ataque DDoS

«Kimwolf representó un cambio fundamental en la forma en que operan y escalan las botnets. A diferencia de las botnets tradicionales que escanean la Internet abierta en busca de dispositivos vulnerables, Kimwolf aprovechó un nuevo vector de ataque: las redes proxy residenciales», dijo Tom Scholl, vicepresidente e ingeniero distinguido de AWS, dicho en una publicación compartida en LinkedIn.

«Al infiltrarse en las redes domésticas a través de dispositivos comprometidos, incluidos decodificadores de TV y otros dispositivos IoT, la botnet obtuvo acceso a redes locales que normalmente están protegidas de amenazas externas por enrutadores domésticos».

Akamai dijo que las botnets hipervolumétricas generaron ataques que superaban los 30 Tbps, 14 mil millones de paquetes por segundo y 300 Mrps, y agregó que los ciberdelincuentes aprovecharon estas botnets para lanzar cientos de miles de ataques y exigir pagos de extorsión a las víctimas en algunos casos.

«Estos ataques pueden paralizar la infraestructura central de Internet, causar una degradación significativa del servicio para los ISP y sus clientes intermedios, e incluso abrumar los servicios de mitigación basados ​​en la nube de alta capacidad», dijo la empresa de infraestructura web. dicho.

Un hombre de 27 años de Carolina del Norte fue encontrado culpable de seis cargos de extorsión por una serie de delitos que cometió mientras trabajaba como contratista de análisis de datos para una empresa de tecnología internacional con sede en DC, dijo el jueves el Departamento de Justicia.

Cameron Nicholas Curry, también conocido como “Loot”, robó una gran cantidad de datos corporativos, incluida información confidencial sobre empleados y compensaciones, que utilizó para extorsionar a su empleador, según registros judiciales. Curry finalmente se llevó aproximadamente 2,5 millones de dólares de la organización víctima en enero de 2024.

El ataque interno subraya los riesgos inconmensurables que las empresas aceptan cuando los empleados o contratistas asignados a puestos por una empresa de contratación externa, como fue el caso de Curry, pueden acceder a datos confidenciales en una computadora portátil propiedad de la empresa. Los funcionarios no nombraron la empresa.

Curry utilizó su acceso a la red de la empresa para eliminar datos corporativos con fines de extorsión mientras trabajaba para la empresa entre agosto y diciembre de 2023. Inmediatamente después de su último día de empleo en la empresa, Curry comenzó a enviar correos electrónicos amenazantes a sus empleados y exigió un rescate para no filtrar ni destruir los datos.

Los funcionarios dijeron que envió más de 60 correos electrónicos a varios empleados y ejecutivos durante un período de seis semanas, amenazando con revelar los datos de nómina de la compañía, alegando que mostraban una importante desigualdad salarial en toda la fuerza laboral. En esos correos electrónicos, Curry enmarcó el ataque de extorsión por robo de datos como un esfuerzo por implementar la transparencia salarial.

«Loot y nuestros socios tienen como objetivo garantizar que todos reciban el pago correspondiente, brindando a los empleados la influencia que merecen y al mismo tiempo cumpliendo con las regulaciones del gobierno federal sobre actos protegidos», escribió Curry en uno de los correos electrónicos, según la acusación.

Curry incluyó archivos adjuntos en los correos electrónicos que contenían capturas de pantalla de hojas de cálculo que enumeraban la información de identificación personal de los empleados de la empresa. Los funcionarios dijeron que también advirtió a la compañía que proporcionaría a los empleados instrucciones sobre cómo abordar la discriminación salarial a través de la mediación, la Comisión de Igualdad de Oportunidades en el Empleo o una demanda colectiva.

Algunos de los correos electrónicos de extorsión se volvieron personales, incluida una afirmación de que una persona del equipo legal no recibía una bonificación, mientras que la mayoría de los empleados en puestos de alto nivel sí recibían bonificaciones. Curry también amenazó con informar la violación a la Comisión de Bolsa y Valores, citando reglas que requieren que las empresas públicas revelen rápidamente los ciberataques.

La empresa que cotiza en bolsa notificó al FBI sobre la infracción el 14 de diciembre de 2023 y pagó la demanda de rescate de Curry casi un mes después.

Múltiples errores de seguridad operativa ayudaron a las autoridades a identificar y construir un caso contra Curry con bastante rapidez. Usó datos personales y verificables para establecer una nueva cuenta de Coinbase, y dos de las tarjetas de débito vinculadas a la cuenta que Curry estableció para recibir un rescate pertenecían a su madre y su hermana.

Las autoridades registraron el apartamento, los dispositivos digitales y el vehículo de Curry en Charlotte, Carolina del Norte, pocas semanas después de que se pagara el rescate. Fue arrestado y puesto en libertad bajo fianza a finales de enero de 2024.

Los funcionarios dijeron que Curry inició su plan de extorsión después de enterarse de que su contrato con la empresa no sería renovado. Se enfrenta a hasta 12 años de prisión en el momento de la sentencia.

Puede leer la acusación completa a continuación.

Un hombre de 41 años del sur de Florida está acusado de realizar al menos 10 ataques de ransomware y extorsionar por un total combinado de 75,25 millones de dólares en pagos de rescate mientras trabajaba como negociador de ransomware para DigitalMint.

Cinco de las presuntas víctimas de Angelo John Martino III contrataron a DigitalMint, que asignó a Martino para llevar a cabo negociaciones sobre ransomware en nombre de sus clientes, colocándolo en una posición para jugar en ambos lados, como el criminal responsable del ataque y el negociador principal de sus presuntas víctimas, según registros judiciales federales revelados el miércoles.

Martino supuestamente obtuvo una cuenta de afiliado en ALPHV, también conocida como BlackCat, y conspiró con otros exprofesionales de ciberseguridad para irrumpir en las redes de las víctimas, robar y cifrar datos y extorsionar a las empresas para pedir rescates durante un período de seis meses en 2023.

Martino fue un cómplice anónimo en una acusación presentada en noviembre de 2025 contra Kevin Tyler Martin, otro exnegociador de ransomware en DigitalMint, y Ryan Clifford Goldberg, exgerente de respuesta a incidentes en Sygnia. Goldberg y Martin se declararon culpables en diciembre de participar en una serie de ataques de ransomware y su sentencia está programada para el 30 de abril.

Los fiscales acusan a Martino de proporcionar información confidencial sobre negociaciones de ransomware a los co-conspiradores de ALPHV para maximizar el pago del rescate. Su abogado no respondió de inmediato a una solicitud de comentarios.

Las cinco víctimas con sede en EE. UU. que contrataron a DigitalMint y, sin saberlo, recurrieron a Martino para supuestamente llevar a cabo negociaciones de ransomware con él y sus co-conspiradores incluyen una organización sin fines de lucro y empresas de las industrias hotelera, de servicios financieros, minorista y médica. Las cinco víctimas pagaron un rescate.

Goldberg y Martin no fueron nombrados específicamente como co-conspiradores en esos ataques. Los fiscales dijeron anteriormente que solo extorsionaron con éxito un pago financiero de una de sus víctimas por casi 1,3 millones de dólares.

Firma de ciberseguridad que contrató a Martino responde

DigitalMint dijo que suspendieron el acceso de Martino a los sistemas cuando el Departamento de Justicia notificó a la compañía que lo estaban investigando el 3 de abril y lo despidió al día siguiente. La compañía, que no está acusada de ningún conocimiento o participación en los delitos, agregó que no tenía conocimiento de que Martino y Martin ya estuvieran involucrados en esquemas relacionados con ransomware antes de ser contratados.

«Condenamos enérgicamente el comportamiento criminal de estos ex empleados, que violaron nuestros valores, estándares éticos y la ley», dijo el director ejecutivo de DigitalMint, Jonathan Solomon, en una declaración a CyberScoop.

«DigitalMint ha cooperado plenamente con las autoridades desde el principio y no espera más cargos», añadió Solomon. «Si bien ninguna organización puede eliminar por completo el riesgo interno, nos tomamos incidentes como este extremadamente en serio y hemos reforzado las salvaguardas y los controles internos para reducir aún más la probabilidad de conductas similares».

DigitalMint no respondió directamente a las preguntas sobre si reembolsó a sus clientes que supuestamente fueron víctimas de Martino. «No podemos discutir relaciones específicas con clientes o acuerdos de honorarios debido a obligaciones de confidencialidad», dijo un portavoz en un comunicado. «Seguimos comprometidos con nuestros clientes y hemos abordado cualquier asunto comercial directamente con esas partes».

La compañía también se negó a describir las circunstancias bajo las cuales fue contratada y asignó a Martino para llevar a cabo negociaciones de ransomware sobre los ataques que supuestamente cometió. Sin embargo, en una declaración señaló: “Los documentos de acusación no alegan que Martino haya remitido o llevado a estas víctimas a DigitalMint”.

El caso contra Martino muestra un ejemplo extremo, aunque raro, del punto más oscuro de la negociación de ransomware como práctica. Los peligros de la negociación de ransomware son excesivos y estas negociaciones de canal secundario, que en gran medida no se analizan, pueden salir mal por varias razones.

Las autoridades confiscan alrededor de 12 millones de dólares en activos y fijan una fianza de 500.000 dólares

Martino está acusado de conspiración para interferir con el comercio mediante extorsión y enfrenta hasta 20 años de prisión. Está previsto que se declare culpable el 19 de marzo.

Las autoridades confiscaron casi 9,2 millones de dólares en cinco tipos de criptomonedas de 21 carteras controladas por Martino. Otros artículos incautados a Martino incluyen un Nissan Skyline de 1999, un Polaris RZR de 2024, un remolque de 2023 y una embarcación de 29 pies fabricada en 2023.

Los funcionarios también confiscaron dos propiedades propiedad de Martino en Nokomis, Florida, incluida una casa frente a la bahía con un valor estimado de 1,68 millones de dólares y una segunda casa unifamiliar con un valor estimado de 396.000 dólares. La casa frente a la bahía fue reportada como la Segunda transacción inmobiliaria más grande de la semana. cuando Martino y su esposa compraron la casa por $1,791 millones en febrero de 2024.

Martino se entregó a los alguaciles estadounidenses en Miami el martes y fue liberado con una fianza de 500.000 dólares. Tiene restringido viajar fuera del Distrito Sur de Florida y tiene prohibido trabajar en la industria de la ciberseguridad.

ALPHV/BlackCat era un notorio grupo de ransomware y extorsión vinculado a una serie de ataques a proveedores de infraestructura crítica. La variante de ransomware apareció por primera vez a finales de 2021 y luego se utilizó en decenas de ataques a organizaciones del sector de la salud.

El grupo detrás de la cepa de ransomware también se atribuyó la responsabilidad del ataque de febrero de 2024 a la filial de UnitedHealth Group, Change Healthcare, que pagó un rescate de 22 millones de dólares y se convirtió en la mayor filtración de datos de atención médica registrada, comprometiendo los datos de alrededor de 190 millones de personas.

Dos de las presuntas víctimas de Martino pagaron rescates aún mayores en 2023, según los fiscales, incluido un pago de casi 26,8 millones de dólares de la organización sin fines de lucro no identificada y un pago de casi 25,7 millones de dólares de la empresa de servicios financieros no identificada.

Puede leer los cargos formales que los fiscales presentaron contra Martino a continuación.

OpenAI comenzó a implementarse el viernes Seguridad del Códiceun agente de seguridad impulsado por inteligencia artificial (IA) diseñado para encontrar, validar y proponer soluciones a vulnerabilidades.

La función está disponible en una vista previa de la investigación para los clientes de ChatGPT Pro, Enterprise, Business y Edu a través de la web del Codex con uso gratuito durante el próximo mes.

«Crea un contexto profundo sobre su proyecto para identificar vulnerabilidades complejas que otras herramientas agentes pasan por alto, lo que muestra hallazgos de mayor confianza con correcciones que mejoran significativamente la seguridad de su sistema y le evitan el ruido de errores insignificantes», dijo la compañía. dicho.

Codex Security representa una evolución de Aardvark⁠, que OpenAI presentó en versión beta privada en octubre de 2025 como una forma para que los desarrolladores y equipos de seguridad detecten y corrijan vulnerabilidades de seguridad a escala.

Durante los últimos 30 días, Codex Security ha escaneado más de 1,2 millones de confirmaciones en repositorios externos durante el transcurso de la versión beta, identificando 792 hallazgos críticos y 10,561 hallazgos de alta gravedad. Estos incluyen vulnerabilidades en varios proyectos de código abierto como OpenSSH⁠, GnuTLS⁠, GOGS⁠, Thorium⁠, libssh, PHP y Chromium, entre otros. Algunos de ellos se enumeran a continuación:

• GnuPG-CVE-2026-24881, CVE-2026-24882
• GnuTLS: CVE-2025-32988, CVE-2025-32989
• GOGS-CVE-2025-64175, CVE-2026-25242
• Torio – CVE-2025-35430, CVE-2025-35431, CVE-2025-35432, CVE-2025-35433, CVE-2025-35434, CVE-2025-35435, CVE-2025-35436

Según la empresa de inteligencia artificial, la última versión del agente de seguridad de aplicaciones aprovecha las capacidades de razonamiento de sus modelos de frontera y las combina con validación automatizada para minimizar el riesgo de falsos positivos y ofrecer soluciones prácticas.

Los escaneos de OpenAI en los mismos repositorios a lo largo del tiempo han demostrado una precisión cada vez mayor y una disminución de las tasas de falsos positivos, cayendo estas últimas en más del 50% en todos los repositorios.

En una declaración compartida con The Hacker News, OpenAI dijo que Codex Security está diseñado para mejorar la relación señal-ruido al conectar el descubrimiento de vulnerabilidades en el contexto del sistema y validar los hallazgos antes de mostrárselos a los usuarios.

Específicamente, el agente trabaja en tres pasos: analiza un repositorio para controlar la estructura del sistema relevante para la seguridad del proyecto y genera un modelo de amenaza editable que captura lo que hace y dónde está más expuesto.

Una vez creado el contexto del sistema, Codex Security lo utiliza como base para identificar vulnerabilidades y clasifica los hallazgos en función de su impacto en el mundo real. Los problemas marcados se someten a pruebas de presión en un entorno aislado para validarlos.

«Cuando Codex Security se configura con un entorno adaptado a su proyecto, puede validar problemas potenciales directamente en el contexto del sistema en ejecución», dijo OpenAI. «Esa validación más profunda puede reducir aún más los falsos positivos y permitir la creación de pruebas de concepto funcionales, brindando a los equipos de seguridad evidencia más sólida y un camino más claro hacia la remediación».

La etapa final implica que el agente proponga las soluciones que mejor se alineen con el comportamiento del sistema para reducir las regresiones y hacerlas más fáciles de revisar e implementar.

Las noticias sobre Codex Security llegan semanas después de que Anthropic lanzara Claude Code Security para ayudar a los usuarios a escanear una base de código de software en busca de vulnerabilidades y sugerir parches.

El Departamento de Justicia de EE. UU. (DoJ) anunció esta semana la incautación de Tether por valor de 61 millones de dólares que supuestamente estaban asociados con esquemas falsos de criptomonedas conocidos como matanza de cerdos.

Los fondos confiscados se rastrearon hasta direcciones de criptomonedas utilizadas para el lavado de ingresos derivados de delitos robados a víctimas de estafas de inversión en criptomonedas, añadió el departamento.

«Los actores criminales y los blanqueadores de dinero profesionales utilizan esquemas de fraude cibernéticos para estafar a sus víctimas y ocultar sus ganancias mal habidas», dicho Agente especial interino a cargo de HSI Charlotte, Kyle D. Burns.

«Los agentes especiales de HSI trabajan diligentemente para rastrear el producto ilícito del crimen en todo el mundo para desmantelar y desmantelar las organizaciones criminales transnacionales que buscan defraudar a los trabajadores estadounidenses».

Como es norma en este tipo de operaciones de delitos cibernéticos, se sabe que los actores de amenazas atacan a personas cultivando relaciones románticas después de acercarse a ellas a través de aplicaciones de citas y mensajería de redes sociales. Estas actividades son llevadas a cabo por personas que son traficadas hacia complejos fraudulentos que operan principalmente en el Sudeste Asiático con promesas de empleos bien remunerados.

Los sindicatos de delitos cibernéticos detrás de las estafas luego confiscan sus pasaportes y se ven obligados a estafar a las víctimas en línea haciéndose pasar por extraños encantadores o corredores en plataformas de inversión, o enfrentar consecuencias brutales. El objetivo final es convencer a los usuarios desprevenidos para que se deshagan del dinero que tanto les costó ganar en esquemas fraudulentos de inversión en criptomonedas.

Según el Departamento de Justicia, las plataformas falsas mostraban carteras de inversión inventadas que mostraban rendimientos inusualmente altos en un intento deliberado de hacer que las víctimas invirtieran más de sus fondos. La realidad llega cuando los usuarios intentan retirar sus fondos, momento en el que se les pide que paguen una tarifa adicional como una forma de extraer aún más dinero de ellos.

«Una vez que el dinero de las víctimas se transfirió a una billetera de criptomonedas bajo el control de los estafadores, los delincuentes rápidamente enviaron ese dinero a través de muchas otras billeteras para ocultar la naturaleza, fuente, control y propiedad de ese dinero robado», agregó el departamento.

En un anuncio coordinado, Tether dicho ha congelado alrededor de 4.200 millones de dólares en activos vinculados a actividades ilícitas hasta la fecha, incluidos casi 250 millones de dólares relacionados con redes de estafa solo desde junio de 2025.