Black comiendo a black: Precaución con el riesgo de robo de monedas en la aplicación Safew falsa que garantiza nuevas monedas

Escrito por: Bitrace

Safew es una aplicación de mensajería privada similar a Telegram, basada en la tecnología de cifrado de Telegram (protocolo MTProto). Los mensajes, llamadas de voz, videos y archivos están cifrados durante toda la transmisión, solo los interlocutores pueden ver el contenido, y los servidores no pueden leerlo. Algunas empresas, por motivos de privacidad, incluso optan por desplegarla en entornos privados para controlar completamente los datos o evadir auditorías regulatorias.

Debido a la creciente colaboración de Telegram con las autoridades y a la prohibición de comunidades, la mayor plataforma de intercambio ilegal de criptomonedas en el sudeste asiático, Xinbi Baozhang, está intentando migrar sus grupos públicos a Safew. Esto ha provocado una proliferación de aplicaciones falsas de Safew, poniendo en riesgo la seguridad de los fondos encriptados de los actores del mercado negro y gris, principalmente comerciantes de grupos públicos.

Este artículo busca revelar parcialmente esta situación de conflicto entre actores ilícitos.

Línea de tiempo

El 13 de mayo de 2025, hora de Beijing, las dos mayores plataformas ilegales de intercambio de criptomonedas en el sudeste asiático, Haowang Baozhang y Xinbi Baozhang, fueron sancionadas por Telegram. Muchas cuentas oficiales de atención al cliente y grupos públicos de negocios fueron bloqueados, deteniendo sus operaciones temporalmente y generando pánico en la comunidad del mercado negro y gris.

Ambas entidades respondieron de manera diferente:

El 13 de mayo por la mañana, Haowang Baozhang anunció que cesaba sus operaciones y entregaba todos sus grupos públicos a Tudou Baozhang, una entidad relacionada que anteriormente había recibido una inversión del 30%. Mediante un cierre aparente, Haowang Baozhang logró escapar de la situación, renovando su marca a Tudou Baozhang y continuando sus actividades ilícitas.

El 14 de mayo, Xinbi Baozhang actualizó la página principal de xinbi[.]com, anunciando la activación oficial de grupos públicos en Safew para evitar el bloqueo de sus grupos ilegales en Telegram. Aunque el contenido del sitio web dejó de estar activo, aún se pueden detectar indicios mediante archivos en la web.

Inmediatamente, la comunidad del mercado negro y gris empezó a denunciar que Xinbi Baozhang lanzaba Safew para robar los activos encriptados de los usuarios. Estas discusiones negativas alcanzaron su punto máximo a principios de 2026, tras el cierre completo de Tudou Baozhang y la aceleración en la migración de grupos públicos de Xinbi Baozhang.

Sitios web falsos de Safew proliferan

A pesar de que Xinbi Baozhang insiste en que la dirección correcta para descargar Safew es oficial y que la aplicación ya está en la tienda de iOS, muchos grupos criminales crean sitios falsos que imitan la descarga oficial y manipulan palabras clave en buscadores para promocionarlos.

Por ejemplo, el enlace no oficial safew-x[.]com. Al analizarlo con la herramienta de sandboxing en línea ANY.RUN, se detectaron comportamientos maliciosos.

El archivo ejecutado libera una variante de Gh0stRAT SweetSpecter (un troyano de acceso remoto completo) y establece comunicación con un servidor C2, activando reglas de amenazas emergentes como:

ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Esta variante permite control remoto completo del dispositivo infectado, incluyendo escritorio remoto, registro de teclas, robo de archivos, monitoreo de cámaras y micrófonos, extracción y envío de archivos, ejecución de comandos arbitrarios y despliegue de herramientas maliciosas adicionales. Una vez infectado, el actor de amenazas puede permanecer oculto y extraer datos sensibles a largo plazo. Se clasifica como un troyano de acceso remoto (RAT) de alto riesgo.

Para los comerciantes y usuarios que utilizan billeteras de criptomonedas en grupos públicos, este malware representa una amenaza clara para las claves privadas almacenadas en sus dispositivos.

Análisis de la actividad de los grupos públicos de Xinbi Baozhang en Safew

Bitrace ha monitoreado durante mucho tiempo las actividades financieras de Xinbi Baozhang. La investigación sobre las direcciones de depósito en los grupos de Safew muestra que, aunque Xinbi Baozhang lanzó los grupos en mayo de 2025, solo en agosto de ese año asignó una dirección de negocio independiente, con un volumen relativamente bajo y en disminución mensual.

Hasta finales de 2025 y principios de 2026, tras el cierre de Wuiwang Pay y Tudou Baozhang, Xinbi Baozhang promovió intensamente sus grupos en Safew, alcanzando un pico de entrada de fondos de más de 32 millones de USDT en enero de 2026, para luego disminuir mes a mes.

Tras analizar todas las direcciones de depósito de Xinbi Baozhang, se encontró que el volumen de depósitos en Safew en un mes equivale solo a un día de actividad en Telegram, demostrando que Telegram sigue siendo la plataforma preferida para los actores del mercado negro y gris.

Conclusión

En realidad, las actividades ilícitas de los actores del mercado negro y gris son frecuentes, desde wallets falsos hasta Telegram falso, ataques físicos y ingeniería social en línea. Este grupo que opera fuera de la ley se ha convertido en un objetivo constante de ataques.

Tras el cierre de Tudou Baozhang, Xinbi Baozhang se ha consolidado como la mayor plataforma ilegal de intercambio de criptomonedas en el sudeste asiático. La campaña de phishing contra los grupos públicos de Safew no ha hecho más que comenzar y aún no termina.

Bitrace continuará monitoreando esta situación.