Safewは、Telegramに似たプライバシー重視の通信アプリであり、Telegramの暗号化技術(MTProtoプロトコル)を基盤としています。メッセージ、音声、動画、ファイルは送信中全て暗号化され、チャットの双方だけが内容を閲覧でき、サーバーは内容を読み取ることができません。一部の企業はプライバシー保護の観点から、さらにプライベートな展開を行い、データを完全に管理したり、規制の回避を試みたりしています。Telegramの法執行協力やコミュニティの封鎖が頻繁になる中、東南アジア最大の違法暗号通貨取引保証プラットフォームである新币担保は、Telegramの公式グループをSafewに移行させようと試みており、その結果、偽Safewアプリの氾濫や、主に公衆グループの業者を狙った暗号資産の安全性に脅威をもたらしています。本稿は、この闇市場の現状の一端を明らかにするものです。タイムライン===2025年5月13日、中国時間、東南アジア最大の違法暗号通貨取引プラットフォームである好旺担保と新币担保は、Telegram公式からの制裁を受け、多数の公式カスタマーサポートアカウントと業務用グループが封鎖され、短期間で事業が停止し、闇市場関係者の間に大きな混乱が生じました。両者はそれぞれ異なる対応を取りました——5月13日の午前中、好旺担保は営業停止を発表し、すべてのグループ業務を土豆担保に譲渡しました。土豆担保は好旺担保の早期出資比率30%の関連企業です。名義上の倒産を装うことで、好旺担保は実質的に逃げ切り、ブランド名を土豆担保に変更し、違法事業を継続しました。5月14日、新币担保は公式サイトxinbi[.]comのトップページを更新し、Safewの公式グループを正式に導入したと発表しました。Telegramの封鎖を回避するためです。公式サイトの内容は既に無効化されていますが、ウェブアーカイブを使えば痕跡を確認できます。その後、闇市場コミュニティでは、新币担保がSafewを導入したのはユーザーの暗号資産を盗むためだとの批判が噴出し、2026年初に土豆担保が完全に倒産し、新币担保のグループ移行が加速したことで、最大規模に達しました。偽Safewサイトの乱立=============新币担保はSafewの正規ダウンロード先を繰り返し強調し、iOSアプリストアに既に掲載されていると宣伝していますが、多数の偽Safewグループが非公式のダウンロードサイトを大量に作成し、検索エンジンのキーワードを汚染して宣伝しています。例として、非公式リンクsafew-x[.]comを挙げます。ANY.RUNのオンラインセキュリティサンドボックスでサンプル(ダウンロードリンク:[.]com/_dl.php?t=win)を分析した結果、悪意のある挙動が検出されました。サンプル実行後、Gh0stRAT SweetSpecterの亜種(全機能リモートアクセス型トロイの木馬)が解放され、C2サーバーと通信を確立し、以下のEmerging Threatsルールをトリガーしました。* ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter) * ET DROP Spamhaus DROP Listed Traffic Inbound group 2この亜種はリモートデスクトップ、キーロギング、ファイル窃盗などの機能を持ち、感染した端末は攻撃者による完全なリモート制御が可能となります。リアルタイムのリモートデスクトップ、キーロギング、カメラ・マイク監視、ファイルの窃取・外部送信、任意コマンドの実行、さらなるマルウェアの展開も行えます。一度感染すると、長期間にわたり潜伏し、敏感なデータを窃取し続ける高リスクのリモートアクセス型トロイの木馬(RAT)です。この種のマルウェアは、暗号通貨ウォレットを使用する公衆グループの業者やユーザーにとって、ウォレットの秘密鍵を狙った攻撃となります。新币担保 Safewグループの事業分析=================Bitraceは長期にわたり新币担保の資金動向を監視しており、Safewグループの押し資産調査から、2025年5月にSafewグループが導入されたものの、その年8月に独立した事業アドレスを割り当てられ、規模は小さく、月ごとに縮小していたことが判明しています。2025年末から2026年初頭にかけて、汇旺支付と土豆担保が次々と倒産し、新币担保はSafewグループの推進を強化。アドレスの活動も増加し、2026年1月には一時的に月間資金流入が3,200万USDTを超えましたが、その後は縮小傾向にあります。すべての押し資産アドレスを分析した結果、Safewの押し資産規模はTelegramの一日の取引量に相当し、現状ではTelegramが依然として新币担保の闇市場グループの主要なプラットフォームであることが示されました。最後に====実際、闇市場の関係者による「黒を白にする」行為は非常に頻繁であり、偽のウォレットや偽Telegram、オフラインの攻撃からオンラインの社会工学まで、法の枠外で活動するこの集団は攻撃対象となっています。土豆担保の倒産後、新币担保は東南アジア最大の違法暗号通貨取引保証プラットフォームとなりました。今回のSafewグループを狙ったフィッシング活動は始まりに過ぎず、終わりは見えていません。Bitraceは今後も監視を続けていきます。
ブラックイーティングブラック:偽の新通貨を担保にしたSafewアプリによるコイン盗難のリスクに注意
Safewは、Telegramに似たプライバシー重視の通信アプリであり、Telegramの暗号化技術(MTProtoプロトコル)を基盤としています。メッセージ、音声、動画、ファイルは送信中全て暗号化され、チャットの双方だけが内容を閲覧でき、サーバーは内容を読み取ることができません。一部の企業はプライバシー保護の観点から、さらにプライベートな展開を行い、データを完全に管理したり、規制の回避を試みたりしています。
Telegramの法執行協力やコミュニティの封鎖が頻繁になる中、東南アジア最大の違法暗号通貨取引保証プラットフォームである新币担保は、Telegramの公式グループをSafewに移行させようと試みており、その結果、偽Safewアプリの氾濫や、主に公衆グループの業者を狙った暗号資産の安全性に脅威をもたらしています。
本稿は、この闇市場の現状の一端を明らかにするものです。
タイムライン
2025年5月13日、中国時間、東南アジア最大の違法暗号通貨取引プラットフォームである好旺担保と新币担保は、Telegram公式からの制裁を受け、多数の公式カスタマーサポートアカウントと業務用グループが封鎖され、短期間で事業が停止し、闇市場関係者の間に大きな混乱が生じました。
両者はそれぞれ異なる対応を取りました——
5月13日の午前中、好旺担保は営業停止を発表し、すべてのグループ業務を土豆担保に譲渡しました。土豆担保は好旺担保の早期出資比率30%の関連企業です。名義上の倒産を装うことで、好旺担保は実質的に逃げ切り、ブランド名を土豆担保に変更し、違法事業を継続しました。
5月14日、新币担保は公式サイトxinbi[.]comのトップページを更新し、Safewの公式グループを正式に導入したと発表しました。Telegramの封鎖を回避するためです。公式サイトの内容は既に無効化されていますが、ウェブアーカイブを使えば痕跡を確認できます。
その後、闇市場コミュニティでは、新币担保がSafewを導入したのはユーザーの暗号資産を盗むためだとの批判が噴出し、2026年初に土豆担保が完全に倒産し、新币担保のグループ移行が加速したことで、最大規模に達しました。
偽Safewサイトの乱立
新币担保はSafewの正規ダウンロード先を繰り返し強調し、iOSアプリストアに既に掲載されていると宣伝していますが、多数の偽Safewグループが非公式のダウンロードサイトを大量に作成し、検索エンジンのキーワードを汚染して宣伝しています。
例として、非公式リンクsafew-x[.]comを挙げます。ANY.RUNのオンラインセキュリティサンドボックスでサンプル(ダウンロードリンク:[.]com/_dl.php?t=win)を分析した結果、悪意のある挙動が検出されました。
サンプル実行後、Gh0stRAT SweetSpecterの亜種(全機能リモートアクセス型トロイの木馬)が解放され、C2サーバーと通信を確立し、以下のEmerging Threatsルールをトリガーしました。
ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)
ET DROP Spamhaus DROP Listed Traffic Inbound group 2
この亜種はリモートデスクトップ、キーロギング、ファイル窃盗などの機能を持ち、感染した端末は攻撃者による完全なリモート制御が可能となります。リアルタイムのリモートデスクトップ、キーロギング、カメラ・マイク監視、ファイルの窃取・外部送信、任意コマンドの実行、さらなるマルウェアの展開も行えます。一度感染すると、長期間にわたり潜伏し、敏感なデータを窃取し続ける高リスクのリモートアクセス型トロイの木馬(RAT)です。
この種のマルウェアは、暗号通貨ウォレットを使用する公衆グループの業者やユーザーにとって、ウォレットの秘密鍵を狙った攻撃となります。
新币担保 Safewグループの事業分析
Bitraceは長期にわたり新币担保の資金動向を監視しており、Safewグループの押し資産調査から、2025年5月にSafewグループが導入されたものの、その年8月に独立した事業アドレスを割り当てられ、規模は小さく、月ごとに縮小していたことが判明しています。
2025年末から2026年初頭にかけて、汇旺支付と土豆担保が次々と倒産し、新币担保はSafewグループの推進を強化。アドレスの活動も増加し、2026年1月には一時的に月間資金流入が3,200万USDTを超えましたが、その後は縮小傾向にあります。
すべての押し資産アドレスを分析した結果、Safewの押し資産規模はTelegramの一日の取引量に相当し、現状ではTelegramが依然として新币担保の闇市場グループの主要なプラットフォームであることが示されました。
最後に
実際、闇市場の関係者による「黒を白にする」行為は非常に頻繁であり、偽のウォレットや偽Telegram、オフラインの攻撃からオンラインの社会工学まで、法の枠外で活動するこの集団は攻撃対象となっています。
土豆担保の倒産後、新币担保は東南アジア最大の違法暗号通貨取引保証プラットフォームとなりました。今回のSafewグループを狙ったフィッシング活動は始まりに過ぎず、終わりは見えていません。
Bitraceは今後も監視を続けていきます。