ルブレフカチーム：ロシアの暗号通貨搾取作戦の解剖

Executive Summary

Insikt Groupは、「Rublevka Team」という名で活動する、大規模な暗号通貨窃盗を専門とする大規模なサイバー犯罪組織を特定した。この脅威グループは、2023年の設立以来、アフィリエイト主導のウォレット流出キャンペーンを通じて1,000万ドル以上を稼いでいます。Rublevka チームは、被害者のトラフィックを悪意のあるページに誘導する任務を負った数千人のソーシャル エンジニアリング専門家のネットワークで構成された「トラファー チーム」の一例です。トラファーチームの Marko Polo や CrazyEvil (以前は Insikt Group によって特定され、両チームともインフォスティーラーマルウェアを配布していた) が使用するような従来のマルウェアベースのアプローチとは異なり、Rublevka Team は、正規の暗号サービスになりすました偽のランディングページ経由でカスタム JavaScript スクリプトを展開し、被害者を騙してウォレットに接続させ、不正なトランザクションを承認させます。同社のインフラストラクチャは完全に自動化され、スケーラブルで、アフィリエイトに Telegram ボット、ランディング ページ ジェネレーター、回避機能へのアクセスを提供し、90 種類を超えるウォレット タイプのサポートも提供します。技術的な参入障壁を下げることで、Rublevka チームは、最小限の監視で大量の詐欺を実行できる、世界規模のアフィリエイトの広範なエコシステムを構築しました。

この構造は、暗号通貨プラットフォーム、フィンテックプロバイダー、および身元が偽装されているブランドにとって、ますます大きな脅威となっています。ブロックチェーン取引を促進する組織、特にフィンテック企業、取引所、ウォレットプロバイダーは、顧客がこれらの詐欺の被害に遭った場合、評判や法的リスクが高まります。被害者の情報漏洩/侵入が企業プラットフォームの外で発生した場合でも、なりすましのランディング ページや不正な紹介を検出できなければ、消費者の反発、信頼の喪失、顧客保護や顧客確認 (KYC) の実施に関する規制の監視を引き起こす可能性があります。 脅威グループの俊敏性は、頻繁にローテーションするドメインの使用、Solana (SOL) などの低コストのチェーンのターゲット設定、リモート プロシージャ コール (RPC) API の悪用などによって証明されており、従来の詐欺検知やドメイン削除の取り組みを弱体化させます。 彼らのモデルは、サービスとしてのランサムウェア (RaaS) の運用を反映しており、組織が顧客を保護して信頼を維持するために積極的に監視、妨害、防御する必要がある、スケーラブルなサービスベースのサイバー犯罪への広範な移行が続いていることを示しています。

主な調査結果

• Rublevka Team 詐欺の目的は、プロモーションやエアドロップ イベントなどの魅力的な SOL ベースのオファーを作成し、ソーシャル メディアや広告を通じてそのオファーへのトラフィックを生成し、ユーザーを騙してウォレットを Web サイトに接続させ、ウォレットを空にするトランザクションに署名させることです。
• 執筆時点では、Rublevka Team のメイン Telegram チャンネルには約 7,000 人のメンバーがいます。Rublevka チームの自動化された「利益」チャンネルには 24 万件を超えるメッセージが投稿されており、少なくとも 24 万件のウォレットからの資金流出が成功したことが示されている。取引額は 0.16 ドルから 2 万ドル以上に及んでいる。
• Rublevka チームは、ランディング ページに埋め込まれたカスタム JavaScript ドレインを提供しており、これは保有されているトークンをドレインすることで被害者の SOL 資産を盗み出します。ドレイナーは 90 種類以上の SOL ウォレットと互換性があります。
• 脅威グループのインフラストラクチャは Telegram ボットによって完全に自動化されており、ランディング ページの作成、キャンペーンの追跡、クローキング、分散型サービス拒否 (DDoS) 保護のためのツールをアフィリエイトに提供しています。
• 2023年から活動しているドレイナーキャンペーンは、Phantom、Bitget、Jitoなどの正規サービスの偽装版を利用して、ユーザーの信頼とコンバージョンを最大化しています。

背景

Insikt Group は、Exploit Forum で脅威グループの広告バナーを初めて発見した 2025 年 8 月から Rublevka Team を監視しています。「ルブレフカ・チーム」という名前は、ロシアのエリートビジネスマンや政府関係者が大勢住む、高級で裕福なモスクワ郊外のルブレフカ地区に由来していると思われる。Marko PoloやCrazy Evilなど、Insikt Groupが以前に報告した他のトラファーチームと同様に、Rublevka Teamは主にLolzTeamフォーラムで活動し、高レベルのExploitおよびXSSフォーラムでも小規模に活動している「cryptoscam」チームです。しかし、Insikt Group が以前報告したトラファーチームとは対照的に、Rublevka Team は被害者を狙うためにインフォスティーラーマルウェアに頼っていません。その代わりに、ランディングページに埋め込まれたドレインスクリプトを操作して、被害者の暗号通貨ウォレットに接続し、資金を吸い上げます。

図 1: Exploit Forum で見られる Rublevka Team の広告バナー (情報源: Recorded Future )

Insikt Groupの分析によると、Rublevka Teamは2023年にユーザー「denisssss_inactive」によってLolzTeamフォーラムに初めて登場して以来、活動しています。プライベートチャンネルで報告された収益を分析すると、執筆時点でRublevka Teamの生涯収益は1,000万米ドルを超えています。チームの戦術、 TTPs 、 TTPs （ TTPs ）は、2023年の活動開始以来進化しています。 当初、この脅威グループは偽の暗号通貨取引所を運営し、ユーザーにウォレットを接続して資金を入金するよう仕向け、Instagram、後にTikTokを通じてトラフィックを生成することに重点を置いていました。しかし、2024年に、Rublevkaチームはその戦術を根本的に転換し、ランディングページにカスタムJavaScriptベースの暗号通貨ウォレットドレインを導入し、暗号通貨トークンのエアドロップや景品を偽装しました。脅威グループは当初 The Open Network (TON) を標的としていましたが、2025 年春に SOL に移行しました。執筆時点でも継続中の最新キャンペーンは、総収益の大部分（約820万ドル）を生み出した。

ルブレフカチーム運営

アフィリエイト募集

Rublevka Team の LolzTeam フォーラムへの最新投稿は、2025 年 4 月 18 日に denisssss_inactive によって公開され、Rublevka Team の SOL ドレイナー詐欺プログラムを宣伝しています。Rublevka Teamが仮想通貨取引所詐欺とTONトークンキャンペーンを宣伝する最初の投稿以来、支払い率はアフィリエイトに有利な方向に大きく変化し、「経験豊富なユーザー」の場合は開始率がそれぞれ75%と80%となっている。新規アフィリエイトのコミッション率の増加は、脅威グループが達成した経済的成功に基づいて、チームの収益化戦略が時間とともに変化したことを示している可能性があります。つまり、個々のアフィリエイトから最大限の収入を引き出すよりも、従業員のプールを拡大する方が有利になっている可能性があります。

図 2: denisssss_inactive によって投稿された最新の SOL ドレイナー広告のスクリーンショット (情報源: LolzTeam フォーラム)。

この投稿では、操作を実行するための完全に自動化された Telegram ボット、ランディング ページ ジェネレーター、クローキング機能と分散型サービス拒否 (DDoS) 保護機能を備えた無料のドメインとホスティング サービスも宣伝されています。広告では、ランディングページで使用されているSOLドレイナーについても説明されています。このドレイナーは、90種類以上のウォレットタイプ、SOL、 Solana Program Library （SPL）トークン（SPL2022拡張トークンを含む）、非代替トークン（NFT）、 Native Stakeのドレイニング機能、ファントムウォレットのスプーフィングおよびバイパス機能、ドレイナーAPI、およびドレイナーと統合された35以上のすぐに使用できるランディングページをサポートしています。

投稿では将来のアフィリエイトに対する厳格な要件は指定されておらず、Telegram ボット [@]RublevkaTeam_Bot 経由でチームに応募するよう指示されています。申請は、Rublevka チームのリーダーである denisssss_inactive、または管理チーム (執筆時点では「Jesse Pinkman」と「Shell」) によって審査される可能性があります。

応募者が Rublevka チームに受け入れられると、次のプライベート チャネルに参加するように指示されます。

• 「[RublevkaTeam]チャット」：2024年5月まで遡るメッセージのある非公開のグループチャット。執筆時点でメンバー数は6,821人。
• 「[RublevkaTeam] Profits」：2024年6月まで遡るメッセージを持つ閉鎖されたチャンネル。この記事の執筆時点で登録者数は3,093人。
• 「[RublevkaTeam] Info」：ドレイナーとアフィリエイトプログラムの最新情報を投稿する情報チャンネル。脅威グループはこのチャンネルのロシア語版「[Rublevka Team] Инфо」も運営している。
• 「[RublevkaTeam] ランディングページ」：Rublevka Teamが使用する新しいランディングページのスクリーンショットのリポジトリ
• 「RublevkaTeam_bot（@RublevkaTeam_Bot）」：グループ申請を処理し、アフィリエイトキャンペーンの管理パネルとして機能します。
• 「Rublevka Utils（@RublevkaUtils_bot）」：トラフィック生成のためのカスタムランディングページとビデオコンテンツの生成に使用されます。

図 3: Rublevka チームのプライベートチャンネル（アフィリエイトのみがアクセス可能）（情報源: Telegram）

マニュアルウォークスルー

Rublevka チームは、ドメインrublevkateam[.]ccでアフィリエイト向けの情報マニュアルをホストしています。このマニュアルでは、Telegram ボットの使用方法、クリプトスカムの実行方法、ドレイナーの設定方法など、チームで作業するための手順について説明します。

Rublevka Team 詐欺の目的は、「ドレイナーベースのオファー」（通常はプロモーション、エアドロップ通知、KYC リクエストなど）を作成し、Web サイトへのトラフィックを誘導することです。被害者（「リード」と呼ばれる）の視点から見ると、被害者はウェブサイトにアクセスし、暗号通貨ウォレットをウェブサイトに接続し、暗号通貨取引を実行するためのオファーを受け取ります。取引を確認して署名すると、リードウォレットのすべての資産がウェブサイトの運営者に送金されます。

マニュアルによると、チームは、取引時間が速く、手数料が低いこと、そしてスマートコントラクト、分散型アプリ（dApps）、NFT をサポートしていることから、SOL を選択しました。マニュアルには、SOL をサポートし、Rublevka ドレインと互換性のある人気のウォレットの一覧表が含まれています。これには、Solflare、Phantom、Backpack、Coinbase、Bitget、OKX、Metamask などが含まれます。

特に、アフィリエイト キャンペーンの構成は [@]RublevkaTeam_bot 内で行われます。このボットは英語、ロシア語、中国語で利用でき、ほとんどの場合、サポート チームとのやり取りは必要ありません。これにより、アフィリエイトは独自のキャンペーンを完全に制御し、実行できるようになります。

ドメイン

Rublevka チームのアフィリエイトには、ランディング ページをホストするためのドメインを作成するときに 3 つのオプションがあります。

• 「共有ドメイン」 : このタイプのドメインは Rublevka チームによって提供され、複数のチーム メンバー間で共有されます。このオプションは無料ですが、ブロックされる可能性が高く、名前のプリセットリストが付属しています。このオプションを使用すると、ユーザーは、Rublevka チームによって管理され、管理者によって定期的にローテーションされる共有 Apex ドメインでホストされるカスタム サブドメインを選択します。共有ドメインのユーザーは、自分の Web サイトの IP アドレスを制御できません。このオプションは、2025 年 12 月から 2026 年にかけて継続的に中断されました。
• 「プライベートドメイン」 ：アフィリエイトが独自に購入し、設定するプライベートドメインを提供します。このオプションではブロックされるリスクが最小限に抑えられ、ユーザーは独自のホスティングを完全に制御できます。
• 「セルフホスト」 : このオプションを使用すると、アフィリエイトは、自分のプライベートにホストされている Web サイトからスクリプトを呼び出す目的で、Rublevka チームが運営するドメインで SOL ドレイナー バックエンドを無料でホストできます。

ユーザーは、ボットを使用してプライベート ドメインのサブドメインを登録することもできます。各サブドメインは完全に自律的なランディング ページとして機能します。

図4と図5: RublevkaTeam_bot にドメインとサブドメインを追加するオプション (情報源: Recorded Future )

ランディングページ

ドメインが作成されると、アフィリエイトはランディング ページを構成できます。ボット内で、ユーザーは、ドレイナーを含む「通常の」ページ、またはドレイナーを持たず、不正検知サービスを回避するために使用される「ホワイト」ページのいずれかを作成するオプションがあります。 ホワイト ページは、「Red Table Bypass」機能の一部として使用され、無害な Web ページを一時的に表示することで、Google によってブロックされたドメインのブロックを解除するように設計されています。どちらの場合も、ユーザーは事前に作成されたランディング ページの幅広い選択肢から選択することができます。

図 6: Rublevka チームのマニュアルに従って「通常の」ランディングページを選択するオプション (情報源: Recorded Future )

あるいは、ユーザーはテンプレートに基づいて独自のランディング ページを生成することもでき、そのページはユーザーが選択したトークンに合わせてカスタマイズできます。ボットに URL を提供することで既存の Web サイトを「コピー」することもできますが、執筆時点ではこの機能は壊れているようです。

図7と図8: エアドロップまたはトークン購入詐欺用のカスタムランディングページを生成するためのテンプレートオプションの2つ（情報源： Recorded Future ）

ランディング ページを生成することに加えて、Telegram ボットでは、ユーザーが自分のドメインの「クローキング設定」を構成することもできます。クローキングはサイバー犯罪者が使用するTTPsであり、被害者が Web サイトにアクセスした後に表示されるものとは異なる方法で Web サイトのコンテンツを検索エンジンに提示します。 ただし、Rublevka チームでは、特定の国、IP アドレス、インターネット サービス プロバイダー (ISP)、仮想プライベート ネットワーク (VPN)、またはプロキシ ユーザーからのユーザーに対するアクセス制限を説明するためにこの用語を使用しています。アフィリエイトは、プライマリドメインがブロックされている場合に被害者を別のランディングページにリダイレクトするためのリダイレクトロジックと CAPTCHA を Cloudflare 経由で設定することもできます。また、ボットをフィルタリングしてドメインがブロックされる可能性を減らすこともできます。また、Telegram ボットは、Telegram ベースのトラフィック スキーム用にユーザーのドメインのみを Telegram ミニ アプリとして開くことを許可する構成や、特定の「リード」(被害者) をブロックするオプションもサポートしています。

ドレイナーのロジックと構成

Rublevka チームの関連会社は、特定のニーズに合わせてドレイナーの設定を構成できます。ドレイナーは、アフィリエイトのランディング ページの内容に基づいて、SOL または偽のトークンを受け取るためのカスタム偽のトランザクションを表示でき、ウォレット上の各資産ドレイン操作の偽のクレジットを表示するように構成できます。アフィリエイトは、最低残高アラートを設定して、被害者がランディング ページで使用するために追加の SOL を購入するように誘導することもできます。

ドレイナーにはファントム ウォレット専用の追加設定があり、マニュアルによると、ファントム ウォレットは最も人気のある SOL ウォレットの 1 つであり、「トラフィック コンバージョン」を大幅に向上させることができます。ドレイナーは、以下のファントム ウォレット「モード」をサポートしています。これは、ユーザーのファントム ウォレットに接続して、ユーザーに悪意のあるドレイナー トランザクションに署名させる方法です。

• 「ハニーポット」 : このモードでは、偽の着信トークンまたは SOL 領収書を利用して、目に見えるドレイン トランザクションを開始する前にユーザーを準備します。ドレインは送信転送として表示されますが、Phantom はそれを危険としてフラグ付けしません。偽のレシートは、Phantom の UI を通じてインストール可能なトークン (任意のカスタム トークンではない) に対してのみ正しくレンダリングされます。モーダル ウィンドウは、流出した資産が 2 番目のトランザクションを通じて返還されると誤って主張します。
• 「Honeypot2」 : Honeypot2 は 2 つのトランザクションを必要とすることで Honeypot を拡張します。ユーザーはまず偽の着信転送を確認し、次にドレインを実行する後続のトランザクションを承認します。Crasher と組み合わせると、2 番目のトランザクションは明確なデビットではなくシミュレーション エラーとして表示される場合があります。Honeypot と同様に、モーダル ウィンドウは返金が行われると誤って主張します。
• 「偽の返金」 : ハニーポットとは異なり、このモードでは入金をシミュレートしません。代わりに、正当に見える単純な送金を表示します。ユーザーがトランザクションに署名すると、モーダル ウィンドウに、2 回目の「返却」トランザクションによって資産が払い戻されるという誤った表示が出されます。
• 「クラッシャー」 : これは、ユーザーレビューを最小限に抑えて 1 回のやり取りで完了するように設計された、ステルスに重点を置いたドレインです。Phantom は、正規のサイトでよく見られる一般的な警告を表示し、親しみやすさを通じて疑いを軽減します。偽のインバウンドアクティビティや払い戻しの説明はありません。このモードは実験的なものと考えられており、モバイル デバイスではハニーポットの動作に置き換えられます。
• 「ホワイトリスト」 : このモードは、Phantom によって明示的にホワイトリストに登録されたドメインを対象としており、他のモードと組み合わせて使用されます。ホワイトリストに登録されたドメインでアクティブになると、非表示のドレインと偽のインバウンド トークンの表示が有効になります。ホワイトリストに登録されていないドメインで Phantom を有効にすると、すべてのドレイン アクティビティがブロックされ、モードが無効になります。
• 「警告」 : 警告を抑制する他のモードとは異なり、このモードでは、ドレインの仕組みを隠しながらファントム警告バナーを意図的に表示し、ユーザーの警告疲れを利用することを目的としています。モーダル ウィンドウは、警告にもかかわらず続行するようにユーザーに指示します。デフォルトの警告は次のとおりです:
  • 「このdAppは悪意のあるものである可能性があります」
  • 「200件以上の取引を承認しています」
• 「Phantom を削除」 : このモードでは、ウォレット セレクターから Phantom ウォレットを非表示にしたり、接続試行をブロックしたりすることで、Phantom ウォレットの使用を制限します。

図9～11: 「ハニーポット」「クラッシャー」「フェイクリターン」モードのスクリーンショット (情報源: Recorded Future )

ユーザーは、Telegram で通知を設定して、ユーザーが自分の Web サイトにアクセスしたとき、出金リクエストを受け取ったとき、資金がないときなどに通知を受け取ることができます。さらに、「自動分割」機能を使用すると、デフォルトの動作であるスマートコントラクトや共有Rublevka Teamウォレットなどの仲介者をバイパスして、盗まれた資金を自分のプライベートウォレットに直接送金できます。この場合、利益はそのまま送信され、流出したトークンは変換されずに脅威アクターのウォレットに送信されます。

さらに、Rublevka チームは、JavaScript コード内のpiter変数に格納される API (PiterAPI) を提供し、より上級のユーザーがドレイナーの動作をさらにカスタマイズできるようにしています。この API には次の機能が含まれています。

• 「connect」: 被害者のウォレットに接続するためのモーダルウィンドウを開きます
• 「プロセス」: ユーザーにトランザクションに署名するよう促す
• 「onConnect」: ユーザーがウォレットを接続したときに呼び出される関数を設定します
• 「getBalance」「getAddress」: 被害者のウォレット情報を取得する
• 「setToken」: 特定のトークンをドレインするためのコンテキストを設定します。トークンのアカウントアドレス、ミント、被害者アドレス、価格、金額、SPL-2022トークンかどうかなどが含まれます。

ランディングページとコンテンツ

Rublevka チームは、Telegram ボットを通じて、アフィリエイトにキャンペーンで使用できるランディング ページの広範なカタログを提供しています。2025 年 10 月現在、 Insikt Group 、アフィリエイトに提供されている 50 個の固有のドレイナー ランディング ページと 11 個の「ホワイト」ランディング ページを特定しました。 それ以降、Telegram ボットに追加のランディング ページが追加された可能性があります。

ドレイナーのランディングページは、ミームコインやステーブルコイントークンのエアドロップ、トークンミント、分散型金融（DeFi）取引プラットフォーム、SOLステーキングサービスなどを偽装していました。ランディングページのほとんどは、Axiom、Bitget、Photon、Jito、Marinade などの既存の「正当な」サービスになりすましています。ランディングページでは、「Bonk」、「DogWifHat」、「Trump」、「Pengu」、「Fartcoin」など、エアドロップ用の既存のミームコインやソーシャルコイントークンも偽装しています。SOL 固有のサービス ページでは、通常、SOL 液体ステーキング、「燃焼」または「焼却」、蛇口、エアドロップ、スナイパー、および乗数について言及しています。一般的に、ランディング ページには、ソーシャル メディアや、偽装しているコインやサービスの実際の Web サイトへの情報リンクが含まれており、一見すると正当なものに見える可能性があります。

図12～17: Trump Coin、Jito、Marinede、Bitget、Jupiter を装った Rublevka Team の水抜きランディング ページのサンプル (情報元: Recorded Future )

ランディング ページ ジェネレーターには、悪意のあるページに接続するための暗号通貨ウォレットを選択するためのパネルも含まれており、ユーザーは既存のウォレットを接続するか、新しいウォレットを作成するかを選択できます。

図18： 「ウォレットを接続」ランディングページは、ユーザーにサポートされているウォレットをドレイナーに接続するよう促しています（情報源： Recorded Future ）

これらのランディングページは、被害者をウォレットに接続させるために使用され、その後、埋め込まれたドレインスクリプトindex.js実行される可能性が高い。ウォレットの保有資産を列挙し、ユーザーを騙して悪意のあるトランザクションに署名させ、保有資産をすべて流出させます。

JavaScript ドレイン分析

Insikt Group による悪意のあるランディング ページの分析に基づいて、各ページにファイルindex.js ( 9c21d538c2a556f4a5b351b29f3513097ac57643f291ff6d751400d8dbc69489 ) が含まれていることが確認されました。このファイルは高度に難読化されており、 Insikt Group 、作成者が、難読化解除ツールが利用できない無料のオープンソース JavaScript 難読化ツールであるjs-confuser を使用した可能性があると評価しています。 しかし、Insikt Group は、スクリプトの機能の一部を示唆する可能性のある指標を含む、コード内の興味深い文字列を特定することに成功しました。

ドレイナーには次の URL が含まれます。

• hxxps://mainnet[.]helius-rpc[.]com/?api-key=
• hxxps://mainnet[.]helius-rpc[.]com/?api-key=8e0e9a34-2648-421a-8f22-6460b4a68705
• hxxps://mainnet[.]helius-rpc[.]com/?api-key=55065729-bda8-4cf8-87a1-7bd64cf22726
• hxxps://mainnet[.]helius-rpc[.]com/?api-key=db25ae76-7277-45ce-b21a-5be1a61f2f04
• hxxps://mainnet[.]helius-rpc[.]com/?api-key=44b7171f-7de7-4e68-9d08-eff1ef7529bd
• hxxps://mainnet[.]helius-rpc[.]com/?api-key=bfd713ef-c9a7-404f-804c-e682c2bd0d3b
• hxxps://mainnet[.]helius-rpc[.]com/?api-key=f30d6a96-5fa2-4318-b2da-0f6d1deb5c83
• hxxps://mainnet[.]helius-rpc[.]com/?api-key=3b5315ac-170e-4e0e-a60e-4ff5b444fbcf
• hxxps://rpc[.]walletconnect[.]org/v1/?chainId=solana%3A5eykt4UsFv8P8NJdTREpY1vzqKqZKvdp&projectId=730eede4c040eafa7a928a503b6cd650
• hxxps://solana-rpc[.]publicnode[.]com
• hxxps://wallet-api[.]solflare[.]com

これらは、RPC プラットフォーム Helius および WalletConnect によって提供される Solana リモート プロシージャ コール (RPC) API エンドポイント、および PublicNode によって提供される無料の Solana RPC エンドポイントへの承認呼び出しである可能性があります。これらのエンドポイントは、悪意のあるドレイナートランザクションを実行するために使用される可能性があります。特に、Helius と WalletConnect の URL には API キーが含まれています。どちらのサービスもサインアップが必要で、さまざまなサービス レベルがあるためです。したがって、これらの API キーは Rublevka チームの開発者に属している可能性があります。Solflare エンドポイントは、被害者のウォレットに接続して列挙や流出を行うために使用される可能性があります。文字列には、ドメインefficient-endpoint[.]siteも含まれていました (以下の「ドメインとインフラストラクチャ」セクションで詳しく説明します)。

ドレイナー コードには、次の文字列も含まれています (そのまま)。

• SOLトランザクションおよびアドレス テーブルの構築に関連する文字列。以下が含まれます。
  • 「署名者アカウント数」
  • “programAddressIndex”
  • 「ルックアップテーブルアドレス」
  • “addressTableLookups”
  • “solana:101/nativeToken:501”
  • 「ソラナ：メインネット」
  • 「標準:接続」
  • “solana:signTransaction”
  • “solana:signAllTransactions”
  • 「solana:signMessage」
• ウォレット取引に関連する指示とエラー メッセージ:
  • 「取引は元に戻されます。アカウントを確認するためにすべての取引に署名してください。
  • 「Phantomは現在サポートされていません。別のウォレットを選択してください」
  • “You have an insufficient balance. Top-up your balance by at least {fee} SOL”
  • 「このDAppはあなたのウォレットに接続したいと考えています」
  • 「このDAppに許可を与えています」
  • 「ウォレットの残高とアクティビティを表示」
  • 「取引の承認をリクエストする」
  • 「確認なしで取引を実行する」
  • 「\n\n私たちのDAppへようこそ。署名は、接続しているウォレットの所有者があなたであることを実際に確認できる唯一の方法です。署名は安全でガス不要のトランザクションであり、ウォレットでトランザクションを実行する許可を当社に与えるものではありません。\n\nURI:https://”
  • 「ウォレットを使用すると、暗号通貨やNFTなどのデジタル資産を保存、送信、受信できます。」
• dApp が信頼できることを示すメッセージ:
  • 「このアプリケーションはまだ Phantom によってレビューされていませんが、信頼できるコミュニティが管理する安全性データベースにリストされています。安心してお使いいただけます。このアプリは安全であると認識されています。」
  • 「このdAppは、Phantomではまだ正しく表示されない、新しい最適化されたトランザクション配信方法を使用します。安心してお使いいただけます。このアプリは安全であると認識されています。」
  • 「この dApp は、プラットフォームの悪用を防ぐために悪用保護を使用しています。 取引履歴の簡単な確認を完了する必要があります。完全に安全で、数秒しかかかりません。」
• Telegram 統合に関連する文字列:
  • “TelegramWebview”
  • “TelegramWebviewProxy”
  • 「tgWebAppバージョン」
  • 「TelegramGameProxy」
  • 「[Telegram.WebView] <receiveEvent」
• サポートされているウォレットのカタログ。ウォレットの表示名、URI スキーム、iOS および Android パッケージ識別子、ディープリンクなどが含まれます。Arculus、Blockchain、Ledger、KuCoin、Atomic、CoinEx、Trezor などが含まれます。

Insikt Group はまた、ドレイナー内で SOL アドレスに類似した約 160 個の固有の文字列を特定しました。このうち約 30 件は、システム プログラムやトークン ミントを含む SOL エコシステム内の既知のアドレスに対応していました。残りの約 130 のアドレスは、公式の SOL 提携関係がなく、攻撃者のインフラストラクチャにリンクされたプライベート アドレスである可能性があります。これらのアドレスについては、以下の暗号通貨アドレスのセクションで詳しく説明します。

利益とトップの稼ぎ手

Rublevka Teamは、少なくとも2024年6月以来、非公開のTelegramチャンネル「[RublevkaTeam] Profits」で利益を追跡しています。各エントリには、ユーザーの「ワーカー」名（非表示の場合もあります）と、SOL（または前回のキャンペーン中はTON）およびUSDでの単一トランザクションからの利益が含まれます。この記事の執筆時点で、このチャンネルには 240,000 件を超えるメッセージと約 3,000 人の登録者がいます。Insikt Groupは、チャンネル開設以来アフィリエイトが生み出した利益の総額を分析したところ、2025年12月8日時点で総額約1,090万米ドルとなりました。個々の利益メッセージの合計額は、取引あたりわずか 0.16 ドルから 20,000 ドル以上にまで及びます。

図 19: Telegram チャンネル「[RublevkaTeam] Profit」に投稿されたメッセージ (情報源: Recorded Future )

メインチャットチャンネルによると、ルブレフカチームは「トップ所得者」が「限定」情報やランディングページを受け取れる、よりプライベートなチャンネルも運営しているという。2025 年 5 月現在、このチャンネルの資格要件は次のとおりです。

• 利益が10トン以上あること（当時チームはトンを目標としていた）
• 過去10日間の収入上位50人のリストに入っていること。これは[@]RublevkaTeam_botのコマンドを使用して確認できます。
• トラフィックの提供、チャットチャンネルへの貢献、サポートチームのメンバーとのコミュニケーションなど、14日間以上チーム内で活動していること
• Telegramのユーザー名を持つ

チャネル メッセージでは「ワーカー」の名前の多く (約 14%) が隠されていますが、 Insikt Group 、チャネルに投稿されたトランザクションの数と 1 人あたりの最高収益に基づいて、Rublevka チーム内で最も稼いでいる名前付きメンバーを特定することができました。 たとえば、「🇨🇦🇹🇷🇮🇷🇪🇪🇪🇺🇫🇮🇫🇷🇩🇪🇯🇵🇳🇱🇰🇷🇺🇸」という名前のワーカーは、収益チャンネルに合計 24,625 件の投稿を行っており、これは他のどの個人ユーザーよりも多く、Rublevka チーム在籍中に 292,033.85 ドルの総収入を得ています。その他のトップポスターには、「Zatecky Gus 🍎🩸🍎🩸🍎🩸🍎🩸🍎🩸🍎🩸🍎🩸🍎」（9,804件の投稿、価値95,106.91ドル）、「🍎🦮💥💥💥💥💥💥💥💥💥💥💥💥👀」（8,165件の投稿、価値76,228.84ドル）などがあります。

利益チャネルごとの最高獲得者はユーザー「hard working guy」です。このユーザーに関連付けられた取引はわずか 799 件ですが、その価値は 130 万ドルを超えています。「[RublevkaTeam]チャット」チャンネルの複数のユーザーは、このユーザーの高額な利益に驚きを示し、何人かのユーザーは「勤勉な男」にコラボレーションのためにメッセージを送るよう依頼したり、「勤勉な男」が1回の取引でこれほど高額な利益を生み出すためにどのようなトラフィックを使用しているのか推測したりした。しかし、「一生懸命働く人」はチャットチャンネル内で活動しておらず、このユーザーが実在するのか、それとも他のアフィリエイターに「もっと頑張れ」と動機付けるためにルブレフカチームの管理者が作成した偽のユーザーなのかについて、複数のユーザーが疑問を呈している。「考えてみて」というユーザーは「一生懸命働く人」に次いで多く、145件の取引で104万ドルの価値がありました。次に稼いだのは、「ミスター・「ゼレンスキー氏」（ウクライナ大統領とは無関係）は、195件の取引でわずか325,662.67ドルしか稼いでおらず、これらの収入層の間には大きな格差があることが分かる。これは、ルブレフカ・チームの個々の関係組織間のアプローチの違いを示している可能性があり、長期間にわたって個々の被害者から少額を搾取するか、より少ない取引で多額の金銭を搾取するかのいずれかです。

図 20: 脅威グループのTelegram収益チャンネルに基づく、2024年6月から2025年12月までのルブレフカ・チームのトップ収益者。「Hidden」ユーザーが最も多くの合計収益を獲得した（情報源： Recorded Future ）

ドメインとインフラストラクチャ

Insikt Group脅威グループにリンクされている Telegram ボットとチャンネルに基づいて、Rublevka Team に関連するドメインのサンプルを収集しました。 独自の情報源によると、Rublevka チームは、アフィリエイトの使用のための共有ページをホストするために使用されるドメインや、ドレイナーの側面をホストするためのその他のステージング インフラストラクチャなど、インフラストラクチャを絶えず変更およびローテーションしていることは明らかです。過去 1 年間に共有された Rublevka チームのドメインには次のものが含まれています。

• オープンソル[.]cc
• sol-galaxy[.]cc
• web-core[.]cc
• sol-hook[.]org
• ソルコイン[.]xyz

Insikt Group 、オープン情報源インテリジェンス（OSINT）ツールを使用して、 open-sol[.]ccと歴史的に関連付けられている約70の固有のサブドメインを特定しました。 sol-hook[.]orgに関連する400、300はsol-galaxy[.]ccに関連付けられており、web-core[.]ccに関連付けられた30、sol-coin[.]xyzに関連付けられた40、執筆時点。これらのドメインのホスティング情報をざっと分析したところ、Rublevka Team は主に Cloudflare の背後に共有インフラストラクチャを隠しており、レジストラはさまざまであることがわかりました (CNOBIN、Public Domain Registry、香港を拠点とする未指定のレジストラを使用)。特に、2025年11月と12月には、3つのドメイン（ sol-galaxy[.]cc 、web-core[.]cc 、およびsol-coin[.]xyz ）IPアドレス158[.]94[.]208[.]165に移行しました。「Lanedonet Datacenter」に登録されています（旧称「Metaspinner Net Gmbh」）。Insikt Group は最近、Metaspinner net GmbH が正当なドイツのソフトウェア会社を装って不正に登録されたホスティング ネットワークであることを確認しました。RIPE NCC の介入により、ネットワークは Lanedonet データセンターに再登録されました。Insikt Group は、Lanedonet Datacenter が脅威アクティビティ イネーブラー (TAE) である Virtualine Technologies によって運営されていると高い確信を持って評価しました。

図21～23: sol-galaxy[.]ccに関連付けられたサブドメインのサンプル。左から右へ：usdcoin.sol-galaxy[.]cc、rewards.sol-galaxy[.]cc,fortunawhee[.]sol-galaxy[.]cc(情報源: Recorded Future )

Insikt Groupは、Rublevka Teamの共有ドレイナーバックエンドホスティング（「セルフホスト」）サービスに使用されているいくつかのドメインも特定しました： g-app-d[.]cc 、fontmaxplugin[.]cc 、およびcommontechrepo[.]cc 。これらのドメインも Cloudflare の背後にあり、登録情報は難読化されています。g-app-d[.]c cの下に約60個の固有のサブドメインを特定しました。fontmaxplugin[.]ccの下に約20個、commontechrepo[.]ccの下には約40件あります。これらはすべて「[単語1]-[単語2].[ドメイン] .cc 」という命名規則に従っていました。ここで、「word1」と「word2」はランダムに選択された単語のように見えます。これは、Rublevka チームがドメインをローテーションする際に自動的にスピンアップするために使用する特定のドメイン生成アルゴリズム (DGA) によるものと考えられます。

、ドレイナーInsikt Group ファイル index.js 内に含まれるドメイン efficient-endpoint[.]site も特定しました。このドメインは 2025 年 9 月 24 日に登録され、2025 年 12 月 12 日まで Cloudflare でホストされていました。この日以降、WHOIS レコードには、Namecheap 経由で「Alexander Petrov」に登録され、住所は 742 Evergreen Drive, Springfield, OR (おそらく偽物)、電子メール アドレスは alex[.]petrov[.]domain[@]emailsecure[.]techであることが示されました。

Insikt Group は、この個人と電子メール アドレスに登録された追加のドメインを特定し、2025 年 4 月以降に 900 件以上が登録されました。これらのサブドメインは、最初に登録されて以来、「[単語 1]-[単語 2]-[単語 3]」や「[単語 1][単語 2][単語 3]」（各単語は分散型金融とテクノロジーをテーマにしている）、「[単語 1][単語 2]」、「[単語 1]-[単語 2]」など、いくつかの DGA パターンに従っています。彼らはトップレベルドメイン.xyz、.online、。サイト、。店、。空間、。オンライン、および .com。

OSINT情報源で観測された最初のウェブサイトは、メールアドレスalex[.]petrov[.]domain[@]emailsecure[.]techに登録されており、burn-shard-bridge[.]xyzである。 2025年4月15日に初めて観測されました。この頃、ウェブサイトには、Rublevka チームのランディング ページ ジェネレーターで確認されたものと同様の「ウォレットを接続」ウィンドウが表示され、ウェブサイトによる呼び出しの分析には/piter/visitと/piter/fetchが含まれており、これは Rublevka チームのマニュアルに記載されている「Piter」ドレイン API の名前と一致しています。類似した特徴を持ち、同じ電子メール アドレスに登録されている次の 5 つの追加ドメインを特定しました。

• public-proof[.]online
• プライベートピア[.]ストア
• highperformance-kit[.]online
• instant-automated-matrix[.]website
• highperformance-shard[.]online

これらの Web サイトはすべて、同じ「ウォレットを接続」ウィンドウの表示、PiterAPI 関数openModal()の呼び出し、Insikt Group が分析したドレイナーと非常によく似た JavaScript ファイルへの参照など、同様の動作を示しました。これらの Web サイトで確認された JavaScript ドレイナー ファイルのハッシュは、付録 Aに記載されています。

図 24: 2025年4月にburn-shard-bridge[.]xyzによって表示されたページ。このページは「piter」を参照するエンドポイントにHTTPリクエストを送信しました（情報源： Recorded Future ）。

Alexander Petrov に登録されたドメインは、Rublevka チームがドレイン操作のバックエンド機能をホストするために使用する自動生成されたインフラストラクチャである可能性があると評価しています。大量のドメインは、脅威グループがインフラストラクチャを頻繁にローテーションできるようにすることを目的としている可能性があります。

暗号通貨アドレス

Insikt Group 、Rublevka チームの活動に関連する一連の暗号通貨アドレスを特定しました。 SOL アドレスに類似する約 160 個の固有の文字列が、チームの悪意のあるランディング ページに添付された JavaScript ドレイナーから抽出されました。また、フォーラムや「[RublevkaTeam] Chat」Telegram チャンネルでの支払いの証拠を示すアフィリエイトのスクリーンショット内のトランザクションを追跡することで、他のいくつかの文字列も取得されました。さらなる分析のために、次のアドレスに焦点を当てました。

• EAsyxEjYKbDSVi6JbGYF1v9Jq1QyTSghRc8aqCeq7Ub3（「アドレスA」、取引履歴）
• EkaGjTVHDiRTYqSiup6TQs2QXfqSnEcrWN61dC8UVK21（「アドレスB」、取引履歴）
• CRnuwdpi3HGvFU5gGnvZAA9rV7AWe12v3sap8H3vXFY4（「アドレスC」、取引履歴）
• DD6vCVa4NEYRKA7K93rYZSKuY7REydFbqB3rog149ySx（「アドレスD」、取引履歴）
• 8e8kiGgEMCxYYx2vuSf2iPo859QjE7ojkY6yGWDez9pW（「住所E」、取引履歴）
• 4Ri6Rd7zN6M6H8jF3vPc6MqnmFioVcPaizZt3crLVGXd（「アドレスF」、取引履歴）

Insikt Group 、 Recorded Futureプラットフォームで上記のアドレスへの参照を17件特定した。そのすべては、ソーシャルメディアやテレグラムのユーザーによる、これらのアドレスから暗号資産が盗まれたという投稿を含んでおり、最も古い投稿は2025年7月10日のものであった。 そのような投稿の1つにはpumptoken[.]netという名前が付けられているトランザクションを開始したフィッシング Web サイトとして、 Insikt Group 、さらなる履歴分析を通じて、この Web サイトにリンクされた JavaScript ファイル ( b9157f6bff6a6ee6ba5932ebac2c8796836b21eb3c69df08fbeb102e9228ba15 ) を特定しました。このファイルは、同じ難読化TTPsや、記載されているアドレスの重複など、上記で分析したドレイナー ファイルと高い類似性があります。 これらのユーザーは Rublevka Team の被害者であった可能性が高いと評価しています。

図25～27: 暗号資産がアドレスCとアドレスEにルーティングされたと主張するユーザーによるソーシャルメディアの投稿（情報源： Recorded Future ）

アドレス A とアドレス B は両方とも、JavaScript ドレイナー コードに base64 でエンコードされた文字列として含まれており、脅威アクターがこれらの特定のアドレスをさらに難読化しようとしたことを示しています。一方、その他のアドレスはすべてプレーンテキストで利用可能でした。 SOLブロックチェーンデータに基づくと、アドレスAは、ドレイナーJavaScriptファイル内で特定されたアドレスのうち、関連トークンアカウント（ATA）に対応する31の「所有者」としてリストされています。そのため、これらの ATA は、ほぼ確実にドレイナー ロジックの一部として使用されます。さらに、このアドレスは、互換性のあるブロックチェーンで使用したり、互換性のあるブロックチェーンにスワップしたりするために、ラップされた SOL (wSOL) への変換を頻繁に行っているようです。Insikt Group は、2025 年秋にアドレス A が同じ日に多額の入出金を行うパターンを示し、数週間にわたって毎日 50,000 ドルから 80,000 ドルがウォレットを介して移動していることを確認しました。2025 年 10 月 6 日に、約 120 万ドル相当の資産がこのアドレスに送金されました。このパターンは、このウォレットが、盗んだ資金を換金する前に送金および洗浄するための手段として Rublevka チームによって使用された可能性が高いことを示唆しています。SOLブロックチェーンデータによると、このアドレスは2025年9月に初めて使用されるようになった。

図28: アドレスAの入出金の分析。同日に約120万ドルの入金と110万ドルの出金が行われたことが示されています（情報源：solscan[.]io）

図29: アドレスAの入出金に関する分析。2025年10月中の一連の当日高額取引を示しています（情報源：solscan[.]io）

Insikt Groupは、ユーザーが独自のミームコインを発行できるプラットフォームであるpump[.]fun上のアドレスAに関連付けられたアカウントも特定しました。このアカウントは 600 を超えるトークンの低残高を保持しており、2025 年 9 月 22 日の Fixed Float Exchange からの取引によって最初に資金が提供されました。

図30: pump[.]funのプロフィールアドレスAに関連付けられています（情報源：pump[.]fun）

アドレス B に関連付けられたアカウントは現在 100 を超えるトークンを保有しており、大量のトークン交換アクティビティに関連付けられています。注目すべきは、アドレス B の最初の資金提供者はアドレス C であり、これは 2025 年 7 月から 8 月の間にいくつかのソーシャルメディア投稿で悪意のあるウォレットとして言及されていたことです。これは2025年8月のRedditのスレッドでも言及されており、ユーザーらは資金が盗まれたことについて話し合っていた。あるユーザーは、Axiom にサインアップし、Phantom ウォレットをサービス Web サイトに接続したところ、認証後にサービス側がウォレットから 50 ドル相当の SOL を引き出し、アドレス C に送金したと述べています。ウォレット アドレスとTTPs (Axiom をテーマにしたランディング ページと Phantom ウォレットを使用) に基づいて、この人物は Rublevka Team の別の被害者である可能性が高いと評価しています。

図31: Redditユーザーが、Axiomサービスに接続した際に資金が盗まれたと述べています。これらの資金はアドレスCに送金されました（情報源：Reddit）

Insikt Group 、Rublevka Team の複数のアフィリエイトレビュー、具体的にはそれらのアドレスから個人のウォレットに資金が支払われた証拠を示す投稿で、アドレス D と E を特定しました。 これらのアドレスは、個々のアフィリエイトがチャットチャンネルに投稿した[@]RublevkaTeam_botの「利益」通知のスクリーンショットにも表示されており、その多くは被害者のウォレットIDを難読化していなかったため、Insikt Groupは取引を追跡することができました。これらの取引のいくつかは、アドレスDとEに直接行われました。これに基づいて、これらは盗難資産を収集し、その後、関連会社への分配に使用された「共有」Rublevkaアドレスの2つである可能性が高いと評価しています。また、アドレス E はアドレス D の最初の資金提供者であることにも注意してください。

図32: エクスプロイトユーザーが、アドレスDから個人ウォレットへの資金の流入を示すスクリーンショットを投稿（情報源： Recorded Future ）

上記に加えて、 Insikt Group 、2025 年 4 月から 10 月の間に行われた、他の公開情報ソース内のドレイナー ファイルに含まれる SOL アドレス (アドレス A から E を含む) の不正使用報告 28 件を特定しました。 ユーザーからは、これらのアドレスによって資金が流出したさまざまな詐欺行為が報告されています。これらの詐欺には、Telegram、ソーシャルメディア、暗号通貨投資アドバイスグループで共有されたウェブページが関係しており、ユーザーにウォレットを接続してトランザクションに署名するよう促し、結果としてすべての資金が失われました。これらのレポートに記載されているTTPsと時間枠は、Rublevka Team に関連するものと一致しており、これらのレポートは Rublevka Team の被害者によって作成された可能性が高いと評価しています。 注目すべきことに、少なくとも 1 件のレポートでは、ウォレットの資金が流出したことに加えて、個人データとアカウントの侵害を経験したとユーザーが報告しています。これは、Rublevka Team の関連会社の一部が、詐欺の一環として認証情報の盗難などの追加のフォローアップ活動を行っている可能性があることを示唆している可能性があります。これらのレポートに記載されているドメインと悪意のあるソーシャル メディア アカウントの完全なリストについては、付録 C を参照してください。

ドレイナー スクリプトから抽出された SOL アドレスの完全なリストは付録 Dに記載されています。このセクションでは、SOL システム プログラムおよび公式トークン ミントに対応するアドレスは除外されています。

今後の展望

Rublevka チームは、暗号通貨の脅威の状況において、サービスとしてのサイバー犯罪が成熟していることを象徴しており、洗練されたソーシャル エンジニアリングとスケーラブルなインフラストラクチャが、デジタル資産窃盗の主なツール セットとして、マルウェアに匹敵するようになったことを示しています。このアフィリエイト主導のドレイナーエコシステムが拡大し続けるにつれ、特にSOLなどの取引手数料が低く決済時間が速いブロックチェーンエコシステムや分散型プラットフォームに同様のモデルが普及すると予想されます。参入障壁の低さと金銭的インセンティブの高さが相まって、世界中のサイバー犯罪者を引きつけ続け、近い将来、暗号通貨を狙った詐欺の規模、複雑さ、地理的多様性が加速するでしょう。

今後、暗号通貨の流出業者に関連したブランドなりすましキャンペーンは、取引所、Web3 プラットフォーム、フィンテック プロバイダーにとって戦略的な評判リスクとなるでしょう。こうしたなりすましキャンペーン、特に正当なトークンのエアドロップや DeFi サービスを模倣したキャンペーンの有効性は、暗号通貨エコシステム全体に対するユーザーの信頼を損ない続けるでしょう。脅威アクターのような Rublevka チームがソーシャル エンジニアリング、RPC API の悪用、およびセンサーを回避するためのTTPsクローキングを改善するにつれて、より多くのプラットフォームが、責任を緩和するための積極的な監視、削除パートナーシップ、およびユーザー検証メカニズムの実装を求める規制圧力にさらされる可能性があります。

付録A：侵害を示す指標

Domains:
open-sol[.]cc
sol-galaxy[.]cc
web-core[.]cc
sol-hook[.]org
efficient-endpoint[.]site
g-app-d[.]cc
fontmaxplugin[.]cc
commontechrepo[.]cc
burn-shard-bridge[.]xyz
pumptoken[.]net
emailsecure[.]tech

Email Addresses:
alex.petrov.domain[@]emailsecure[.]tech

IP Addresses:
158[.]94[.]208[.]165

File Hashes:
9c21d538c2a556f4a5b351b29f3513097ac57643f291ff6d751400d8dbc69489
b9157f6bff6a6ee6ba5932ebac2c8796836b21eb3c69df08fbeb102e9228ba15
fcf1bbac7dae24b6e0357bee6e8e184dfd193ddf8b341feaa9a3d83265af8f0a
ea8e780d0c292bfd1a3ee6bd9b8d77900a545bd3be3105891816c8f561eeb302
78bfb193ba291e17360126796ec9b93acdfec75867619fc50c5d45d7081009b6
93288b95db8cba2b8d3f38246be46e383990a9fcdd06bf26417a5935a8fe0a27
af5bed914f5406e7c1a3f30f91dfe34d81c5b06c571c59417fe4e2bde966325c

URLs:
hxxps://mainnet[.]helius-rpc[.]com/?api-key=
hxxps://mainnet[.]helius-rpc[.]com/?api-key=8e0e9a34-2648-421a-8f22-6460b4a68705
hxxps://mainnet[.]helius-rpc[.]com/?api-key=55065729-bda8-4cf8-87a1-7bd64cf22726
hxxps://mainnet[.]helius-rpc[.]com/?api-key=db25ae76-7277-45ce-b21a-5be1a61f2f04
hxxps://mainnet[.]helius-rpc[.]com/?api-key=44b7171f-7de7-4e68-9d08-eff1ef7529bd
hxxps://mainnet[.]helius-rpc[.]com/?api-key=bfd713ef-c9a7-404f-804c-e682c2bd0d3b
hxxps://mainnet[.]helius-rpc[.]com/?api-key=f30d6a96-5fa2-4318-b2da-0f6d1deb5c83
hxxps://mainnet[.]helius-rpc[.]com/?api-key=3b5315ac-170e-4e0e-a60e-4ff5b444fbcf
hxxps://rpc[.]walletconnect[.]org/v1/?chainId=solana%3A5eykt4UsFv8P8NJdTREpY1vzqKqZKvdp&projectId=730eede4c040eafa7a928a503b6cd650
hxxps://solana-rpc[.]publicnode[.]com
hxxps://wallet-api[.]solflare[.]com

Appendix B: MITRE ATT&CK Techniques

付録C：ルブレフカ関連の暗号通貨アドレスの詐欺報告に含まれるドメイン

ドメイン:
 minordao[.]coトークン[.]ポンプローンチ[.]楽しいevents-dege[.]comソルドロップ[.]ソルボルト[.]wscheck[.]me-fnd[.]comvwa[.]latluna-memex[.]comラグチェッカー[.]楽しいsol-chey[.]comポンプ財団[.]xyzクレーム[.]juplter[.]appソーシャル メディア チャネル:
 t[.]me/暗号アービトラージシグナル
t[.]me/solanadropper_bot/getrewardsol
 x[.]com/Alien2Solana

付録D: Rublevka Team SOL Drainerに含まれる未帰属の暗号通貨アドレス