Threat Intelligence Pig Butchering OSINT Crypto Scam Mayo 2026 ~30 min de lectura

Red de Estafa "Pig Butchering" — Fake Crypto Exchange Multi-Dominio

Investigación técnica completa de una red de estafa tipo Pig Butchering que opera un falso exchange de criptomonedas con rotación rápida de dominios, WebSocket con Workerman PHP, API con captcha roto y certificados falsos. Incluye IoCs, diagramas de infraestructura y análisis de cada componente.

/índice_de_la_investigación +
  1. Resumen Ejecutivo
  2. Pig Butchering: Contexto Global
  3. Fase 1: Captación
  4. Infraestructura Técnica
  5. Sistema de Chat WebSocket
  6. El Ciclo Completo de la Estafa
  7. Indicadores de Compromiso (IoCs)
  8. Sistema de Rotación de Dominios
  9. Estado de Detección y Bloqueo
  10. Recomendaciones

00. Resumen Ejecutivo

Se ha identificado y analizado una red de estafa tipo "Pig Butchering" que opera una plataforma falsa de intercambio de criptomonedas dirigida a usuarios hispanohablantes. La infraestructura utiliza rotación rápida de dominios para evadir bloqueos, WebSocket con Workerman PHP para chat fraudulento en tiempo real, y una API que expone claves de validación de captcha al cliente.

La red está compuesta por al menos 7 dominios alojados en Google Cloud Platform (Hong Kong/Singapur), de los cuales 3 ya están bloqueados por múltiples servicios de threat intelligence (OpenDNS, Hagezi Threat Feed, DNS4EU, OPSWAT).

Clasificación: MALICIOSO - Red de estafa activa

Fecha del informe: 2026-05-26. La infraestructura sigue operativa con dominios rotativos. Se recomienda bloqueo inmediato de todos los IoCs listados en este artículo.

01. Pig Butchering: El Contexto Global de una Epidemia

El término "Pig Butchering" describe una modalidad de estafa donde la víctima es "engordada" durante semanas o meses antes del sacrificio financiero. A diferencia de otros fraudes, aquí el estafador invierte tiempo en construir una relación de confianza con la víctima a través de mensajes no solicitados, conversaciones persistentes y la promesa de inversiones altamente rentables en criptomonedas.

Según el informe del FBI de 2024, las estafas de inversión en criptomonedas representaron pérdidas superiores a 3.900 millones de dólares en Estados Unidos, siendo el Pig Butchering la categoría de mayor crecimiento. El Departamento de Justicia de EE.UU. ha desmantelado operaciones que utilizaban infraestructura en el sudeste asiático, donde complejos enteros operan como fábricas de estafas con personal traficado y forzado a ejecutar estos esquemas. En 2025, Europol coordinó la Operación Dogger, que resultó en la detención de más de 200 personas vinculadas a redes de Pig Butchering que operaban desde Camboya, Laos y Myanmar, con pérdidas estimadas en más de 400 millones de euros solo en Europa.

La FTC reportó que en el primer semestre de 2024, las pérdidas por task scams y estafas de inversión alcanzaron los 220 millones de dólares solo en Estados Unidos, con un patrón consistente: pequeños pagos iniciales para generar confianza, seguidos de una exigencia de "inversión" que nunca se recupera. En 2023, el Departamento de Justicia de EE.UU. incautó más de 112 millones de dólares en criptomonedas vinculadas a esquemas de Pig Butchering, en una de las mayores confiscaciones de activos digitales relacionadas con fraudes de inversión hasta la fecha.

Este caso guarda paralelismos directos con la investigación que documenté anteriormente sobre la red de estafa piramidal global mapeada con VirusTotal, donde un número sudafricano iniciaba el contacto ofreciendo trabajos de clasificación de hoteles. En aquella ocasión, la infraestructura de los estafadores también se alojaba en Hong Kong, utilizaba exchanges falsos y reciclaba plantillas sin ofuscar. La metodología de OSINT y mapeo de infraestructura que desarrollé en ese caso —documentado en detalle en la Threat Hunter Recollection— es exactamente la que apliqué aquí. La diferencia es que esta red de Pig Butchering es más sofisticada técnicamente: tiene rotación de dominios automatizada, WebSocket en tiempo real y una API que, irónicamente, está peor asegurada que la de los task scams.

Conexión con Investigaciones Previas

Este análisis es la continuación directa de la metodología que apliqué en el mapeo de la red de estafa piramidal. En aquel caso, los estafadores operaban con task scams y un falso exchange llamado VCIMP. En este, utilizan Pig Butchering con un exchange llamado bybsusd.com. En ambos casos, la infraestructura está alojada en Hong Kong, los certificados son falsos, y el código fuente revela más de lo que los atacantes creen. Si no has leído esa investigación, está completa en la Threat Hunter Recollection. La misma pereza operacional —dejar fugas de información por malas configuraciones— es la que documenté en el caso cmdxcapital, donde un appDebug:true en Laravel expuso consultas SQL y tokens del servidor.

02. Fase 1: Captación — El Mensaje Inicial

Todo comienza con un mensaje no solicitado. En este caso, la captura evidencia el primer contacto recibido a través de Facebook Messenger el 16 de marzo de 2026 a las 2:30. El remitente es un perfil con el nombre hispano "Irene Sanchez", una identidad probablemente falsa o comprometida para generar confianza inicial.

Mensaje de engaño inicial con credenciales y enlace al exchange falso
pig-butchering_cryptoScam-Facebook-4.png — El mensaje de captación recibido por Facebook Messenger. A pesar del nombre hispano del remitente, el texto está en ruso. Incluye un balance ficticio de 5.7 millones de USDT, credenciales preconfiguradas (Cuenta: hhh699, Contraseña: aaa259) y el enlace directo al frontend fraudulento bybsusd.com.

El texto del mensaje, escrito en ruso a pesar del nombre en español del perfil, contiene todos los elementos del anzuelo:

Táctica de Ingeniería Social

El mensaje combina varios disparadores psicológicos: una suma de dinero enorme (codicia), credenciales "exclusivas" (sentido de oportunidad única), y un tono formal bancario ("Por favor, guarde esto de forma segura"). La víctima no necesita registrarse: ya tiene una cuenta "precargada" esperándola. Solo tiene que iniciar sesión.

03. Infraestructura Técnica de la Estafa

Arquitectura General

El siguiente diagrama detalla la arquitectura técnica global utilizada por los ciberdelincuentes y cómo interactúa la víctima con cada componente, así como los servicios de seguridad que intentan mitigarla.

Diagrama de infraestructura de la red de estafa Pig Butchering
pig-butchering_cryptoScam-Facebook-0.png — Diagrama de red completo. Servicios de seguridad (OpenDNS, Hagezi, DNS4EU, OPSWAT) bloqueando proactivamente. Capa de rotación de dominios con Vue 3 + Vant UI. Servidor WebSocket en Google Cloud Hong Kong. Backend API con endpoints de carrusel, login, certificados falsos y captcha roto.

Frontend: Vue 3 + Vant UI + Vite

El frontend está construido con Vue 3 usando Vite como bundler y Vant UI como librería de componentes móviles. El código está ofuscado y dividido en múltiples chunks. Los módulos específicos de la estafa revelan todas las funcionalidades del exchange falso:

Backend API: api.japfc.top

El núcleo lógico de la estafa reside en api.japfc.top (IP 156.254.5.40). Los endpoints descubiertos incluyen:

Vulnerabilidad Crítica: Captcha Roto

El endpoint /index/verify devuelve tanto la imagen del captcha como la clave de validación en la misma respuesta: {"img": "data:image/jpeg;base64,...", "captcha_key": "abc123..."}. La clave de validación viaja al cliente, permitiendo ataques de replay, bypass del captcha y reutilización de tokens. El backend externaliza la validación y confía en la clave que el propio cliente le devuelve. Este patrón de validación delegada al cliente es el mismo error de autorización que documenté en la auditoría a la Web API financiera con IDOR por validación incompleta de JWT: el backend confía en lo que el cliente le devuelve sin verificarlo.

04. Sistema de Chat WebSocket Fraudulento

El chat en tiempo real es el componente clave para la manipulación psicológica de la víctima. Utiliza Workerman PHP v5.2.0, un framework asíncrono legítimo, sobre Nginx como proxy inverso en Google Cloud Hong Kong.

Componentes del sistema de chat fraudulento
pig-butchering_cryptoScam-Facebook-3.png — Arquitectura del sistema de chat. Servidor WebSocket con Nginx + Workerman PHP en Google Cloud Hong Kong. Panel de control del estafador para enviar mensajes y consultar saldos. Base de datos con datos de víctimas, historial de mensajes y sesiones de chat.
Secuencia de conexión WebSocket fraudulenta
pig-butchering_cryptoScam-Facebook-2.png — Diagrama de secuencia del tráfico WebSocket. Login contra api.japfc.top, establecimiento del chat contra chat.cionusdt.com, y loop de comunicación donde el estafador monitorea en tiempo real los depósitos de la víctima para ajustar su discurso.

El flujo es quirúrgico: la víctima inicia sesión, recibe un token, y establece una conexión WebSocket persistente. El estafador, desde su panel de control, monitorea en tiempo real el saldo y los depósitos de la víctima para ajustar su discurso de ingeniería social. El mensaje típico: "Sr. Juan, veo que invirtió $500. Le recomiendo aumentar a $5000 para mayores ganancias..."

Esta técnica de manipulación en tiempo real mediante WebSocket es una evolución directa de lo que documenté en la Threat Hunter Recollection con los task scams operados desde Sudáfrica. En aquel caso, la comunicación era asíncrona por Telegram. Aquí, los estafadores implementaron un canal persistente que les permite ver en tiempo real cada acción de la víctima sobre la plataforma. La sofisticación técnica es mayor, pero el patrón de ingeniería social es idéntico: generar confianza, mostrar ganancias ficticias, y bloquear el retiro.

05. El Ciclo Completo de la Estafa

Flujo completo de la estafa Pig Butchering en cuatro fases
pig-butchering_cryptoScam-Facebook-1.png — Las cuatro fases del Pig Butchering: Captación (contacto no solicitado y sitio falso), Generar Confianza (registro, chat WebSocket, certificados falsos), El Robo (depósitos, ganancias ficticias, error al retirar), y Abandono (rotación de dominio y desaparición).

El diagrama de secuencia ilustra las cuatro fases cronológicas del ciclo de vida de la estafa. La víctima pasa de recibir un mensaje no solicitado a depositar criptomonedas reales en una plataforma que nunca le permitirá retirar. Cuando intenta hacerlo, el sistema exige el pago de supuestos "impuestos o comisiones". Una vez consumado el robo, los estafadores desaparecen y rotan la infraestructura a un nuevo dominio.

06. Indicadores de Compromiso (IoCs)

Dominios Maliciosos

DominioIPUbicaciónEstado
bybsusd.com156.254.5.40Hong KongBloqueado
api.japfc.top156.254.5.40Hong KongBloqueado
chat.cionusdt.com34.150.85.92Hong KongBloqueado
chat.bnc-a.com0.0.0.0-Caído
bhonso.com156.254.5.40Hong KongActivo
bholos.com34.150.85.92Hong KongActivo
xoiunc.com156.254.5.115 / 34.142.203.77Hong Kong / SingapurActivo
xinusdt.com34.87.125.55SingapurActivo

IPs Maliciosas

156.254.5.40 → bybsusd.com, api.japfc.top, bhonso.com
34.150.85.92 → chat.cionusdt.com, bholos.com
156.254.5.115 → xoiunc.com
34.142.203.77 → xoiunc.com
34.87.125.55 → xinusdt.com

Endpoints Maliciosos

api.japfc.top/api/Carousel/getList → Banners de ofertas falsas
api.japfc.top/api/site/getsite → Configuración del sitio fraudulento
api.japfc.top/index/index/verify → Captcha con fuga de claves
api.japfc.top/index/login → Autenticación de víctimas
api.japfc.top/uploads/cert/ → Certificados falsos (jpg)
chat.cionusdt.com/ → WebSocket para chat fraudulento

07. Sistema de Rotación de Dominios

La red emplea rotación rápida de dominios para evadir bloqueos. El patrón identificado muestra 4 dominios en 22 días:

2026-05-04 → xinusdt.com (Singapur)
2026-05-08 → bholos.com (Hong Kong)
2026-05-17 → bhonso.com (Hong Kong)
2026-05-20 → xoiunc.com (Hong Kong/Singapur)
2026-05-26 → bybsusd.com (Hong Kong)

Los nombres son semi-aleatorios (byb, bhon, bhol, xoin, xin) pero todos terminan en usd o usdt para asociarse con criptomonedas. Las IPs rotan entre Hong Kong y Singapur, pero el backend (api.japfc.top) permanece constante, siendo el eslabón más débil de la infraestructura.

08. Estado de Detección y Bloqueo

Serviciobybsusd.comapi.japfc.topchat.cionusdt.com
OpenDNSPhishing BlockPhishing BlockPhishing Block
Hagezi Threat FeedSinkholedSinkholedSinkholed
DNS4EUMaliciousMaliciousMalicious
OPSWAT--Confirmed Threat

09. Recomendaciones

Para Investigadores

El backend api.japfc.top es el punto más estable de la infraestructura. Monitorear sus certificados SSL, nuevos dominios apuntando a la misma IP, y cambios en los endpoints puede revelar nuevos dominios de la campaña antes de que sean utilizados activamente. Esta técnica de pivoting sobre infraestructura es la misma que apliqué en el mapeo de la red de estafa piramidal documentado en la Threat Hunter Recollection. La metodología de infraestructura ofuscada que utilizo para este tipo de investigaciones —desde un entorno blindado con WireGuard y proxy residencial— está documentada en la guía de túnel ofuscado.

/¿Te interesa el threat intelligence aplicado a fraudes financieros?

Esta investigación es parte de una serie de casos reales de threat hunting que abarcan OSINT, ingeniería inversa de malware y deconstrucción de infraestructura criminal. Cada caso revela un patrón: la pereza operacional del adversario es la mejor aliada del cazador.

Threat Hunter Recollection → Operación FakeWealth → Campañas de Phishing →

10. Referencias