Uma rede de mercados online em língua chinesa operando no Telegram tornou-se silenciosamente um dos motores financeiros mais poderosos por trás do cibercrime global. Essas plataformas, conhecidas como mercados de "garantia" ou dānbǎo (担保), usam um modelo de confiança baseado em escrow para ajudar criminosos a comprar e vender credenciais roubadas, kits de fraude e serviços ilícitos.
Descoberta e escopo do problema
A escala é impressionante, e o alcance agora se estende bem além do Sudeste Asiático para ambientes corporativos ocidentais. No centro dessa economia subterrânea está um sistema surpreendentemente familiar. O modelo de mercado de garantia espelha a mecânica de escrow usada pelo Alipay e Xianyu, plataformas que treinaram centenas de milhões de usuários de internet chineses a associar transações mediadas por plataforma com segurança.
Criminosos pegaram esse modelo confiável e o reaproveitaram para comprar e vender dados roubados, identidades falsas, serviços de deepfake e ferramentas de lavagem de dinheiro. Analistas da Flare identificaram e rastrearam essas plataformas, descobrindo que a maior, Huione Guarantee, processou mais de 27 bilhões de dólares em criptomoeda entre 2021 e 2025.
A Flare disse em um relatório compartilhado com o Cyber Security News que a Huione se tornou o maior mercado online ilícito já registrado, com a concorrente Xinbi Guarantee lidando com pelo menos 8,4 bilhões de dólares em um período semelhante. Ambas as plataformas operavam no Telegram antes de serem banidas em maio de 2025.
O que mudou agora
Esses mercados operam como empresas profissionais. Cada plataforma é gerenciada por um operador de estilo corporativo com marca pública, equipe de atendimento ao cliente e programa de fornecedores em camadas. Os operadores seguram os fundos dos compradores em escrow e só liberam o pagamento uma vez que o comprador confirma a entrega. Os fornecedores pagam um depósito de segurança em criptomoeda USDT para listar sob o nome da plataforma, e se eles enganarem um comprador, esse depósito é confiscado, dando à "garantia" um peso financeiro real.
Até mesmo após o banimento do Telegram em maio de 2025 e as sanções do Tesouro dos EUA, o ecossistema se recuperou rapidamente. Mais de trinta mercados sucessores surgiram em meses, com a Tudou Guarantee vendo um aumento de quase setenta vezes nas entradas diárias. Os operadores estão agora construindo plataformas de mensagens proprietárias para escapar do Telegram inteiramente, um sinal claro de que essa economia subterrânea está se adaptando mais rápido do que a aplicação da lei pode conter.
Vetor e exploração
O negócio principal dessas plataformas é o comércio ativo de ativos digitais roubados e fraudulentos. Listagens em mercados de garantia baseados no Telegram incluem credenciais corporativas roubadas, documentos de identidade falsos, cartões SIM, kits de fraude de relé NFC e ferramentas de falsificação corporativa. Esses produtos se movem através de sistemas automatizados por bot, com escrow mantido em USDT até que o comprador confirme o recebimento.
O que torna esse modelo especialmente perigoso é que ele alimenta diretamente ameaças dentro de organizações ocidentais. Fundos roubados de golpes de "porco assado" entram através de carteiras controladas pela vítima, são convertidos em USDT e fluem através de serviços de lavagem de fornecedores para a folha de pagamento do complexo de golpes e a próxima onda de ferramentas de ataque.
Impacto e alcance
O FBI registrou 5,8 bilhões de dólares em perdas relatadas de fraude de investimento em criptomoeda nos Estados Unidos em 2024 sozinho, a única maior categoria de perdas de cibercrime naquele ano. As plataformas também negociam PII de funcionários e ativos de falsificação de marca implantáveis diretamente contra redes corporativas.
Centenas de milhares de mensagens fluem diariamente através de mais de trinta canais ativos, tornando isso uma das superfícies de inteligência de ameaças mais ativas que a maioria das equipes de segurança ocidentais atualmente ignora. O modelo de garantia sobreviveu a designações do Tesouro dos EUA, banimentos coordenados do Telegram e sanções de bilhões de dólares, e continua a se expandir.
Medidas de mitigação recomendadas
As equipes de segurança precisam tratar esses mercados como uma ameaça operacional direta, não uma curiosidade regional distante. A Flare recomenda monitorar canais do Telegram em língua chinesa para credenciais corporativas roubadas, PII de funcionários e ativos de falsificação de marca sendo negociados ativamente todos os dias. A maioria dos programas de inteligência de ameaça ocidentais não coleta contra essa superfície, criando uma lacuna significativa e explorável para as organizações.
As organizações também devem tratar a fraude de investimento e os golpes de "porco assado" como um risco empresarial. Funcionários que caem em esquemas de romance-investimento podem ser coagidos a fornecer acesso corporativo ou mover fundos de negócios, efetivamente transformando-os em vetores de ameaça interna. As equipes de segurança devem rastrear a migração de infraestrutura em tempo real, conforme os operadores continuam a se rebranding e começam a construir plataformas de mensagens privadas inteiramente fora do Telegram.
Implicações regulatórias e operacionais
Para executivos de risco, a implicação é que a inteligência de ameaças tradicional precisa ser expandida para incluir superfícies de língua chinesa e plataformas de mensagens não tradicionais. A conformidade com a LGPD pode ser desafiada se dados de funcionários forem roubados e vendidos nesses mercados. A monitoração proativa desses canais é essencial para prevenir violações de dados.
Perguntas frequentes
Os mercados de garantia são ilegais? Sim, o comércio de credenciais roubadas e ativos ilícitos é ilegal. A estrutura de "garantia" é uma fachada para facilitar transações criminosas.
Como as empresas podem se proteger? Monitorar canais do Telegram em língua chinesa, educar funcionários sobre golpes de investimento e implementar controles de acesso robustos são passos críticos. A inteligência de ameaças deve incluir essas superfícies.