Rublevka Team — российская drainer-операция, обокравшая 240,000 кошельков

Kit Rublevka, согласно анализу Recorded Future, автоматизирует полный drainer-воркфлоу:

1. **Генерация фишинговых сайтов**: kit создаёт поддельные сайты проектов — споофнутые Solana NFT минты, фиктивные airdrop-заявки, поддельные DEX frontend-ы — брендированные под имитацию легитимных проектов. Сайты используют approve()-промпты, которые при подписании жертвой выдают атакующему кошельку permit-2 доступ spender к токенам жертвы.

2. **Инъекция wallet-connect**: kit взаимодействует с Phantom, Solflare и другими Solana-кошельками через протокол WalletConnect. Жертва подписывает то, что считает подтверждением транзакции; подпись является предоставлением permit-2.

3. **Автоматический drain**: после того как permit-2 grant подписан, backend kit-а автоматически инициирует вызовы transferFrom, перемещающие токены жертвы на кошельки под контролем атакующего. Drain автоматизирован, завершается за секунды и не требует дальнейшего взаимодействия с пользователем.

4. **Маршрутизация кэшаута**: слитые токены обмениваются через агрегатор Jupiter в SOL или USDC, затем бриджируются в Ethereum или BNB Chain через Wormhole или Portal Bridge, затем выводятся через депозиты на CEX или сервисы мгновенного обмена (ChangeNOW, FixedFloat, StealthEX, SimpleSwap).

Экономика: при разделении выручки с аффилиатом 75–80% аффилиат, зарабатывающий $50,000 в месяц на drain-ах, получает $37,500–$40,000. Доля оператора kit в 20–25%, применённая к расчётным 100+ активным аффилиатам, даёт оператору месячный доход в верхней части шестизначного диапазона.

Rublevka Team — одна из примерно шести коммерчески значимых drainer-операций, активных в 2026 году.

**Inferno Drainer** — полностью операционален несмотря на «закрытие» в 2023 году. Check Point Research задокументировал более 30,000 новых жертв и 1,190 аффилиатных адресов с сентября 2024 по март 2025 года, при этом в указанном шестимесячном окне было похищено около $9 миллионов. Inferno споофил более 100 крипто-брендов на более чем 16,000 уникальных доменах. Kit использует одноразовые краткоживущие смарт-контракты, зашифрованные on-chain конфиги и прокси-коммуникации. По имеющимся данным, Inferno передаёт управление kit-ом команде Angel Drainer — эволюция, которую Check Point зафиксировал в начале 2026 года.

**Angel Drainer** — наследует инструментарий Inferno. Теперь поддерживает TRON и TON в дополнение к базовому EVM и Solana. Миграция с Inferno на Angel является наиболее значимым событием преемственности на уровне операторов в экосистеме drainer с 2023 года.

**Sector Drainer** — коммерчески запущен 17–18 марта 2026 года согласно алерту Brinztech. Kit позиционируется для «быстрого развёртывания злоумышленниками с низким уровнем технических навыков», нацеленными на EVM-цепочки. Маркетинг делает акцент на простоте использования; подразумеваемая целевая аудитория — аффилиаты с ограниченными техническими возможностями, желающие управлять drainer без существенной операционной экспертизы.

**Eleven Drainer** — активен с февраля 2026 года согласно Recorded Future, работает по модели синдиката phishing-as-a-service. Модель Eleven объединяет drainer kit-ы с хостингом фишинговых сайтов и клиентской поддержкой через Telegram, ещё больше снижая операционный барьер.

**Riddance Drainer** — ориентирован на Solana. Активен в январе–феврале 2026 года. Адрес сбора `8YauSj…`, адрес комиссии `G8Zot3kvzPVriX4bwLkgM384jPUyiCUMvbd2VnofziNT`. Работает по схеме разделения выручки 90/10 (аффилиат/оператор) — ещё более выгодной для аффилиата, чем у Rublevka.

Смежное: AiTM-фишинг-kit-ы (Tycoon 2FA, Mamba 2FA, Sneaky 2FA) функционируют в тех же форумных экосистемах, но нацелены на учётные данные Web2. По данным раскрытия Microsoft в марте 2026 года, Tycoon 2FA обеспечивал около 62 процентов всех фишинговых попыток, заблокированных компанией, до совместного уничтожения Microsoft и Europol 330 доменов Tycoon в марте 2026 года. Отраслевые репорты апреля–мая 2026 года фиксируют возврат Tycoon-class kit-ов к рабочему состоянию в течение нескольких дней после уничтожения. Рынок drainer kit-ов аналогичного обвала не претерпел — предложение остаётся эластичным.

Отчёт Recorded Future назвал Rublevka Team. Операторы видны на форумах LolzTeam, XSS и Exploit. Псевдонимы операторов публичны. Цены на kit публично рекламируются. Разделение выручки с аффилиатами публично задокументировано.

Тем не менее по состоянию на 15 мая 2026 года ни одному оператору Rublevka не предъявлено уголовных обвинений. Причины структурные.

**Первое: операторы находятся в России.** Покрытие договора об экстрадиции между США и Россией фактически отсутствует в нынешних геополитических условиях. Операторы не несут реального риска ареста в США, если только не выедут в страну, имеющую договор об экстрадиции с США, — ошибка, которую опытные операторы не совершают.

**Второе: пропускная способность правоохранительных органов США сосредоточена на более приоритетных целях.** Преследования DPRK Lazarus, уклонение от санкций через российский коридор (Garantex, Grinex), иранское правоприменение (заморозка $344 миллиона 23 апреля) и разгромы составных pig butchering-операций (конфискация $15 миллиардов у Чэнь Чжи) поглощают ресурс. Drainer-операторы, приносящие $10 миллионов в год, — реальный ущерб, но на более низком уровне в прокурорской иерархии.

**Третье: аффилиатная модель распределяет ответственность.** Операторы kit-ов продают инструменты; аффилиаты их используют. Обычное уголовное преследование операторов kit-ов вынуждено преодолевать разграничение «сговор vs предоставление инструмента», которое вскрыли дела Шторма и Перцева. Аффилиатные операторы — фактически осуществляющие drain — разбросаны, индивидуально невелики и операционно анонимны.

**Четвёртое: модель drainer-as-a-service сама по себе является структурным продуктом.** Даже если бы операторы Rublevka Team были деанонимизированы и арестованы завтра, на форуме LolzTeam имеется несколько конкурирующих kit-ов, готовых поглотить аффилиатную долю рынка. Переход Inferno→Angel — наиболее свежий пример бесшовной передачи управления между операторами. Идентификация на уровне kit-а важна меньше, чем идентификация на уровне аффилиата.

В 2026 году существуют три операционных ответа.

**Антидрейнерский UI на стороне wallet**. MetaMask, Phantom, Rabby, Frame и Trust Wallet внедрили функции обнаружения permit-2 approve-промптов к неканоническим контрактам. Функции либо блокируют подпись, либо выводят предупреждение. Охват неоднороден — кошельки для опытных пользователей внедряют их агрессивнее, чем массовые продукты, — но тренд улучшается.

**Маркировка кошельков при screening**. Sanctuary, Chainalysis, TRM Labs и Elliptic ведут базы данных известных адресов drainer hot-wallet. Кошельки, интегрирующие screening API, могут отклонять permit-2 grants на адреса с оценкой Critical по `drainer_hot_wallet_2026_q2`. Это последний рубеж защиты.

**Спринт-операции типа Operation Atlantic**. Проведённая в марте 2026 года Operation Atlantic (US Secret Service + UK NCA + Canada OPP + OSC) выявила более 20,000 мошеннических кошельков, заморозила $12 миллионов и изъяла 120 мошеннических доменов за одну координированную неделю. Операция не называла Rublevka конкретно — но нарушила смежную инфраструктуру. Повторяющиеся спринт-операции являются операционным эквивалентом планомерного давления на экосистему drainer без получения арестов.

В отношении Rublevka конкретно никакого действия в духе Operation Atlantic не объявлено. Отчёт Recorded Future является разведданными; он не повлёк (публично) операционных последствий.

Для screening Sanctuary экосистема drainer формирует чёткий операционный конвейер:

- **Hot wallets аффилиатов** помечаются `drainer_affiliate_2026` с субкатегоризацией по идентификатору kit-а (Rublevka, Angel, Sector, Eleven, Riddance). Метки распространяются на нижестоящие адреса консолидации на настраиваемой глубине хопов. - **Адреса инфраструктуры kit-а** — кошельки сбора комиссий под управлением оператора — помечаются `drainer_kit_operator_2026` с более высоким весом достоверности. Таких адресов меньше по числу, но они представляют структурный узкий проход. - **Адреса кэшаута** в сервисах мгновенного обмена и депозиты на CEX помечаются через перекрёстную ссылку между исходящими потоками drainer-кластера и паттернами депозитов мгновенного обмена. Депозитные адреса ChangeNOW, FixedFloat, StealthEX и SimpleSwap, стабильно получавшие входящие потоки, атрибутированные drainer, несут повышенный риск.

Кластер Rublevka конкретно помечен с провенансом `recorded_future_insikt_feb_2026`. Метка распространяется на 240,000 кошельков жертв (их следы drain информируют расширение кластера) плюс граф аффилиатов и консолидации, который выявил анализ Recorded Future.

Для бирж и поставщиков wallet: интеграция screening drainer-кластера даёт измеримое снижение экспозиции к approval phishing. Цена — API-вызов. Цена отсутствия интеграции — быть площадкой кэшаута для drain с флагом Critical.

Четверть миллиона слитых кошельков. $10 миллионов выручки операторов. Форумная атрибуция. Ноль арестов.

Экосистема drainer в 2026 году — структурный продукт юрисдикционной асимметрии (операторы в России) плюс пропускной способности правоохранителей (фокус США на более приоритетных целях) плюс устойчивости модели (kit-and-affiliate распределяет ответственность). Уголовным преследованием в одиночку её не решить.

Операционный ответ — screening в масштабе. Sanctuary и смежные вендоры ведут кластеры кошельков. Поставщики wallet интегрируют API. Биржи проверяют депозиты кэшаута. Экосистема давит на screening, а не на прокуроров.

Для конечных пользователей: цепочка фиксирует, кто вас опустошил. Screening останавливает следующую жертву. До изменения правовой базы screening — это и есть защита.