DeFi-protocol clonenetwerk uitschakeling
Een gecoördineerd netwerk van 27 clonekanalen die een groot DeFi-protocol imiteerden, gedurende 6 weken ongeveer $ 340.000 van gebruikers aftappend voordat neutralisatie plaatsvond.
Bedreigingslandschap
Een geavanceerde bedreigingsactor had 27 Telegram-clonekanalen ingezet in 5 verschillende gebruikersnaamvarianten, die elk de officiële branding, vastgezette berichten en beheerderslijst van het project weerspiegelden. De clones waren georganiseerd in een getrapte trechter: niveau-1-kanalen zonden valse airdrop-aankondigingen uit, niveau-2-ondersteuningsbots verzamelden wallet-goedkeuringen en niveau-3-privégroepen hostten betaalde 'whitelist'-oplichting. De communitymanagers van het protocol werden buitengesloten van het officiële kanaal via een SIM-swap-aanval op het primaire beheerdersaccount.
Opdrachttijdlijn
Dag 1
Intake & Triage
Klantbriefing ontvangen. Volledig clonenetwerk in kaart gebracht via kanaaloverschrijdende vermeldingsanalyse en metadata-scraping.
Dag 2-3
Infrastructuur in kaart brengen
Identificatie van 5 C2-Telegram-accounts gebruikt voor coördinatie, 3 gelinkte Fragment-accounts en een beheerde VPS die botinfrastructuur host.
Dag 4-6
Multi-vector uitschakeling
Gecoördineerde massamelding uitgevoerd met bewijspakketten. Escalatie naar Telegram via vertrouwd melderskanaal. Geautomatiseerde antwoordbots ingezet om nieuwe deelnemers te onderscheppen.
Dag 7-10
Verificatie & Overdracht
Alle 27 kanalen bevestigd geneutraliseerd. Beheerderstoegang hersteld voor het originele team. Post-operatie monitoring gestart voor 30 dagen.
Gebruikte tactieken
Resultaten
Terug naar Casestudy's