美國財政部稱,這家柬埔寨集團為包括北韓駭客和跨國犯罪集團在內的客戶洗錢超過 40 億美元。
新廣告提示音接踵而至。想要假幣?洗錢服務?黑客技術?只要你懂中文、懂黑話——「料主」 指持有贓物或銀行資訊的人,「狗推」 指詐騙園區員工——所有這些,甚至更多的東西,都在這個世界上最大的非法商品交易市場的角落裡出售。
撰文:Kai Schultz,彭博社|編譯:Luffy,Foresight News
要找到它並不難。相關資訊主要發佈在匯旺集團(Huione Group)營運的公共聊天室。這家柬埔寨企業集團在當地華語社區家喻戶曉,以銷售保險、貨幣兌換和金融服務聞名。它的線上銀行部門「匯旺支付」(Huione Pay)自稱「柬埔寨的支付寶」。餐廳和街角小店隨處可見印著匯旺二維碼的紅色貼紙,人們可以用它掃碼支付。
但匯旺旗下公司提供的全套服務其實卻陰暗得多。儘管匯旺關聯企業多次否認參與任何犯罪活動,但美國財政部稱,匯旺為詐騙和加密貨幣盜竊所得洗錢至少40 億美元。
本文基於對政府官員、公司內部人士、據稱的受害者的20 多次採訪,以及內部文件,詳細揭示了匯旺如何助力亞洲網路詐騙產業膨脹為價值數十億美元的龐然大物。
「匯旺就像罪犯的亞馬遜,」 網路威脅調查員、前駭客Ngo Minh Hieu 如此評價,他正研究這家企業集團的網路足跡。 「他們的業務組織方式和產品範圍,讓我震驚。」Ngo 的結論與一些監管機構的看法不謀而合。
不斷變形的運作模式
匯旺的企業歷史極度不透明。存檔網頁顯示其2014 年在柬埔寨成立,但香港記錄顯示其2018 年才在當地註冊。它似乎從未公開財務披露,也沒有員工或辦公室。本質上,它只是一個關聯企業網路的空殼。這些分支機構的董事經常重疊,但各部門之間的關係模糊不清。
美國財政部特別點名三個實體,稱它們在幫助犯罪集團轉移非法資金中發揮了作用:匯旺支付(Huione Pay)、加密貨幣交易所Huione Crypto,以及線上交易平台營運商「浩旺擔保」(Haowang Guarantee,前身為匯旺擔保)。財政部稱,這三家實體與母公司「實質上是一回事」。今年5 月,美國財政部宣布計劃將匯旺完全排除在美國金融體系之外,同時指出匯旺的客戶包括跨國犯罪組織和北韓駭客「 Lazarus 集團」。財政部稱,「由於缺乏有效的反洗錢/ 客戶身分識別(AML/KYC)政策和程序」,匯旺與非法行為者及交易的關聯所帶來的風險「進一步加劇」。
其他國家也在加強遏制。與柬埔寨接壤的泰國6 月宣布,正調查匯旺集團涉嫌處理非法賭博和詐騙所得資金。商業領域,即時通訊應用程式Telegram 已關閉數十個匯旺相關的聊天群組。穩定幣發行商Tether 發言人表示,已凍結與浩旺擔保相關的錢包中近3000 萬美元的USDT,並補充稱,若執法部門標記更多與浩旺擔保相關的錢包,公司將立即採取行動。
這些措施已產生一些公開影響。據柬埔寨央行稱,浩旺擔保和Huione Crypto 均已宣布關閉,匯旺支付也於6 月清算。柬埔寨國家銀行在給彭博社的聲明中表示,匯旺支付因「嚴重違反適用法規」 被吊銷執照,已被勒令關閉辦公室並停止所有業務,且該過程已於6 月19 日全部完成。然而,在看似終止營運三週後,匯旺支付卻在給彭博社的電子郵件聲明中稱,正「致力於與美國官員及其他當局建設性接觸」,以促進金融體系的安全與透明。在對美國財政部的公開回應中,匯旺支付表示「正全力解決合規問題並採取補救措施」。
儘管歷史上這些實體曾宣稱彼此存在直接關聯(匯旺支付舊版網站稱其“源自匯旺集團”;去年年底,浩旺擔保在社交媒體帖子中稱匯旺集團是其“戰略合作夥伴和股東” 之一),但目前沒有任何獨立實體公開承認與匯旺集團有關聯。
但網路活動和兩名熟悉業務運作的人士表示,這三個部門似乎仍在以某種形式繼續運營,透過更改名稱或將客戶引導至關聯企業來規避中斷和監管壓力。
例如,在浩旺擔保宣布關閉後的幾週內,區塊鏈分析公司Chainalysis 識別出的與匯旺實體相關的加密貨幣交易量實際上有所增加。 Telegram 上一個大型浩旺擔保群組仍可公開存取且表現活躍,同時管理員也將客戶引向「馬鈴薯擔保」(Tudou Guarantee)。根據兩家公司的聲明,浩旺擔保近期收購了該平台30% 的股份。
土豆擔保沒有公開電子郵件或電話號碼。其Telegram 上的客服人員稱,無人能回應媒體問題。浩旺保證拒絕了採訪請求,稱其已停止運營,且與任何匯旺實體無關。該公司先前否認在協助網路犯罪中扮演任何角色。 Telegram 發言人表示,「我們會逐案評估舉報,堅決反對一刀切禁令」,並補充稱該應用程式致力於保護用戶隱私和財務自主權。
在Huione Crypto 的網站上,一個聊天機器人會引導客戶註冊名為Kex 的新服務提供者。 Kex 註冊於英屬維京群島,無法聯絡。一位不願透露姓名(出於安全考慮)的知情人士稱,Kex 由曾任職Huione Crypto 的員工經營。 Ngo 補充說,Kex 的定製網站模板與Huione Crypto 相同。彭博社寄至Huione Crypto 和Kex 官方信箱的郵件都被退回。
匯旺企業集團的持續存在,凸顯了關閉去中心化市場的難度,也體現了匯旺架構的韌性,以及該集團善於尋找變通方案的能力。內部文件顯示,其所謂的「錢騾」(負責洗錢的人)已將目標鎖定至少12 個國家的受害者。企業文件顯示,匯旺部分部門在波蘭、加拿大和日本設有分公司。
「當複雜的犯罪金融網絡真正紮根後,公開關閉往往只是表面文章,」Chainalysis 國家安全分析主管Andrew Fierman 表示。美國財政部借鑒了該公司的研究,得出匯旺是「洗錢者重要管道」 的結論。 「真正的基礎設施(他們的洗錢管道)仍在表面之下運作,暢通無阻地處理數十億美元資金。」
隱密的核心
匯旺內部,這項基礎設施的就位於一個神秘的部門「匯旺國際支付」(Huione International Pay)。據兩位不願透露姓名(出於安全考慮)的知情人士稱,該部門是日常協助詐騙業務的主要運作地。彭博社看到的公司文件和這兩位人士均表示,除了在Telegram 等即時通訊應用程式上管理線上犯罪市場外,員工還直接為詐騙者與錢騾牽線搭橋並收取費用。
據稱,匯旺國際支付的員工曾在金邊匯旺支付總部二樓辦公,他們內部使用化名,也協助建立洗錢者網路之間的聯繫。彭博社看到的文件包含數千名受害者的詳細會計記錄,這些受害者是不同團體利用Huione International Pay 服務實施詐騙的。雖然幾乎不可能核實每一起事件,但彭博社已將一些細節和身分資訊與美國法院正在審理的案件進行比對。
匯旺支付稱,其與匯旺國際支付無任何關聯,也不知道該名稱所指的實體或個人。美國金融犯罪執法網絡在5 月的報告中稱,匯旺國際支付是「匯旺支付的一部分」,並為浩旺擔保促成「與洗錢活動相關的交易」。
產業爆發式成長
早在個人電腦普及之前,網路犯罪就已存在,可以說自19 世紀30 年代就有了:當時一對法國兄弟利用光學電報系統,搶先取得巴黎的股市數據。但2010 年代,網路勒索行為才真正爆發,其中許多活動源自東南亞國家(如柬埔寨、緬甸、寮國)新出現的詐騙園區,這些園區開始詐欺全球受害者。
許多園區由華人主導的犯罪集團經營,工作人員是被販賣的人員,他們被迫詐騙美國、德國和日本等國的受害者。在許多情況下,目標對像被哄騙參與虛假的加密貨幣投資計劃或虛假的戀情,即所謂的「殺豬盤」。
電詐行業成長迅猛。 Chainalysis 數據顯示,2024 年「殺豬盤」 詐騙收入較前一年激增近40%。隨著產業擴張,全球執法官員的疑問也越來越多:犯罪頭目是如何取得工具(如假護照、惡意軟體、人臉辨識軟體、錢騾)以實現如此快速的成長?答案是一批新的線上交易市場。與「絲路」等用戶需突破技術障礙才能進入的西方同類平台不同,這些新平台就在明面上運作。
匯旺管理的Telegram 群組(多達數千個)中,許多看似無傷大雅,其功能大致相當於貨幣兌換或房地產買賣的分類資訊頁面。但據追蹤該平台的聯合國毒品和犯罪問題辦公室分析師稱,在緬甸一個名為「全光擔保」(Fully Light Guarantee,與任何匯旺無已知關聯)的地下市場被關閉後,匯旺擔保上的氛圍變得陰暗起來。匿名用戶開始在貼文中使用更多暗示非法交易的黑話,而用戶廣告也不再刻意掩飾非法意圖。大多數廣告以中文撰寫,顯示主要客戶並非柬埔寨人。
中國外交部雖未直接評論匯旺,但表示中國與包括柬埔寨在內的周邊國家積極進行執法安全合作,並將持續深化國際執法合作,打擊網路詐騙等跨國犯罪活動。
彭博查閱的一則2023 年廣告,兜售能通過驗鈔機的假人民幣。其他廣告則推銷走私iPhone、被駭電腦,或提供解凍銀行帳戶的服務。有幾則廣告直接兜售與詐騙產業相關的商品:使用「殺豬」 等中文詞彙,出售偽造加密貨幣投資網站的服務,宣傳使用電棍和催淚瓦斯來控制「逃亡的狗」,這顯然是指虐待被販賣的員工。大多數廣告要求用加密貨幣支付。
「全光擔保的倒閉成為其他交易平台的主要催化劑,」 前聯合國毒品和犯罪問題辦公室威脅分析師John Wojcik 表示,「匯旺擔保幾乎一夜之間從幾千用戶增長到數萬、數十萬用戶,」 因為全光擔保的前用戶在尋找替代平台。
隨著匯旺擔保的影響力擴大,區塊鏈調查人員開始深入挖掘,試圖估算其真實規模。最大的調查公司之一Elliptic 1 月發布研究報告,結論是至少240 億美元流經匯旺擔保及其商家使用的加密貨幣錢包。區塊鏈情報公司TRM Labs 的估計更高,達810 億美元。無論哪種估計,都意味著匯旺擔保的規模遠超其最大的前身—— 被美國和德國官員關閉的俄羅斯運營的「九頭蛇市場」(Hydra Market)。
資料來源:Elliptic
「它們比任何同類平台都大幾倍,」Elliptic 首席科學家Tom Robinson 說。
浩旺擔保在2 月的聲明中否認在協助網路犯罪中扮演任何角色,並表示其Telegram 群組中的所有業務均由第三方提供。
複雜的運作
彭博社查閱了匯旺國際支付2022 至2023 年部分內部文件,這些文件主要以中文書寫,記錄了數千名受害者和數千萬美元的交易。文件顯示,員工直接參與監控交易和處理糾紛,且平台定期從交易中抽取佣金。文件還顯示,匯旺國際支付深度參與運營,甚至向表現優異的洗錢團隊提供大額信貸額度。
其中一份文件是匯旺國際支付交易部門編寫的多頁手冊,列出了為美國、歐洲和澳洲「客戶」(即受害者)填寫日誌的規則。這份2022 年的報告描述如何處理「從輕微到嚴重」 的風險,包括當受害者報警或錢騾被當局拘留時的情況。手冊稱,在日誌中把某一欄改為「人員被逮捕」,並「立即向經理或區域負責人報告」。
匯旺國際支付交易部門編寫的文件截圖,顯示為受害者(稱為「客戶」)填寫日誌的規則
這些文件使用編碼系統來追蹤錢騾和詐騙者,顯示出其覆蓋範圍和複雜性。洗錢者以「X」 為前綴加數字編號分類。詐騙者大致按目標地區分組:EZ3 指專注於歐洲受害者的團夥;US26 指針對美國的團夥。匯旺國際支付還記錄受害者訊息,有時甚至儲存他們的銀行帳戶詳情。針對台灣地區的操作記錄極為詳細,包括詐騙者為電彙編造的理由備註。例如,某案例中寫的是「大量訂購寵物食品」。台灣專門負責網路犯罪調查的檢察官Harris Chen 表示,他能將文件中的細節與台灣至少兩起洗錢定罪案件配對。
彭博社將文件中多名人員的詳細資訊與美國聯邦調查局和特勤局(負責金融犯罪管轄及總統保護)主導的調查中的資訊進行配對。
其中包括李達倫(Daren Li,擁有中國和聖基茨和尼維斯雙重國籍)的案件,他在美國承認透過加密貨幣投資詐騙洗錢逾7,300 萬美元。美國官員查獲了他的手機,稱他在Telegram 上以“KG71777” 為暱稱與同夥溝通。匯旺國際支付的文件中不僅有該用戶名的記錄,還有他的WhatsApp 帳號。文件顯示,李從中賺取約9% 的佣金。 (匯旺未出現在該案公開法庭文件中。)
日誌中出現的一位受害者是美國居民Shashi Iyer。美國法庭文件顯示,2022 年末,Iyer 手機收到奇怪的提醒:你已被自動加入一個Telegram 群組。當他詢問管理員原因時,對方稱該群組供對波士頓某金融服務公司的加密貨幣交易對選擇權合約感興趣的投資者使用。 Iyer 經常在Telegram 群組中尋找投資機會,在50% 至95% 的盈利承諾的誘惑下,他決定嘗試一下。
「那是個蜜糖陷阱,」 他在訪談中說。
在資金幾乎翻倍並順利提現後,Iyer 被邀請加入一個僅限高額度投資者的小型Telegram 群組,他投入了約4 萬美元。當他試圖套現時,才發現那家投資公司根本不存在,於是向美國政府報案。美國特勤局去年在田納西州為包括Iyer 在內的受害者提起民事訴訟(匯旺未被提及),法庭最終下令返還部分資金。
法庭文件顯示,受害者總共向孟菲斯Evolve 銀行信託公司的空殼公司帳戶轉帳數百萬美元。 Evolve 銀行信託公司發言人拒絕對此案置評,但強調該機構「全力致力於維持最高標準的合規監管、財務誠信和反洗錢控制」。
在匯旺國際支付的日誌中,記錄了Iyer 和另外兩名田納西州受害者的信息,精確到電匯時間戳、銀行帳號,以及負責他們的洗錢團夥編號:X3。
規避審查
匯旺在柬埔寨的業務(包括匯旺支付和浩旺擔保)的有限記錄顯示,這些業務由中國管理人員和當地權力者共同領導,這在柬埔寨是一種常見的共生關係。近年來,大量中國資本湧入該國,改變了這個國家。如今駕車穿過金邊,許多建築工地都掛著中文招牌。據一位前員工稱,在匯旺支付辦公室內,聽到普通話的頻率高於柬埔寨主要語言高棉語。
Hun To 曾在柬埔寨商業登記處被列為現已解散的匯旺支付的董事,他是柬埔寨首相洪瑪奈(Hun Manet)的表親。 Hun To 在金邊的家像座堡壘,圍著厚厚的水泥牆,地面上方掛著網,可能是為了防止一群外來的犀鳥逃跑。根據當地媒體報道,多年前在澳洲「伊利潘戈行動」 調查中,官員曾懷疑他利用木材運輸走私毒品。他否認了指控,最終未被起訴。澳洲犯罪情報委員會表示無法協助提供相關查詢。
記者透過Hun To 擔任董事的三家公司的關聯郵箱聯繫他,但未獲回應。柬埔寨首相領導的內閣辦公室也未回應置評請求。 Hun To 始終否認其業務參與網路詐騙,且沒有跡象顯示他知道匯旺國際支付的運作。
匯旺的關聯企業,資料來源:美國財政部、公司文件及彭博社通報
Huione Crypto 在波蘭登記的所有者何艷明(He Yanming),在柬埔寨商業登記處被列為該國主要金融機構熊貓商業銀行(Panda Commercial Bank Plc)的董事。 Hun To 和曾擔任匯旺至少四家企業董事的李雄(Li Xiong),在去年10 月辭職前一直是該銀行的董事會成員。
記者透過李雄和何艷明擔任董事的其他公司的關聯郵箱請求置評,但未獲回應。沒有跡象顯示兩人先前已知曉該企業集團內所謂的非法活動。熊貓銀行也未回應置評請求。
據了解該企業集團的外國官員稱,匯旺的業務在柬埔寨境內並未受到過多審查。然而,去年9 月,柬埔寨央行吊銷了匯旺支付的執照。幾個月後,消息公開時,客戶紛紛湧向該公司在金邊的主要辦公室提款,匯旺支付隨後將所有USDT 存款的利率從2% 暫時上調至7.3%。
但這場恐慌只是小插曲。該公司很快在一個社群媒體帳號上宣布,將把支付和區塊鏈服務轉移到日本和加拿大,匯旺旗下單位先前在這兩個國家持有營業執照。
日本金融監管機構拒絕對匯旺任何分支機構是否接受調查置評,但表示該企業集團沒有有效的支付服務許可。加拿大金融監管機構發言人Erica Constant 稱,匯旺支付在加拿大的貨幣服務提供者註冊已於2023 年底到期。她拒絕對執法部門是否已向其機構分享有關該公司的情報置評。近期,記者前往Huione Crypto 在波蘭的辦公地址—— 華沙一個綠樹成蔭的居民區的一棟四層公寓大樓,對講機那頭的人說這裡是「虛擬辦公室」。當記者表明身份後,對方掛斷了電話。波蘭虛擬貨幣監管機構未回應置評請求。
據兩位知情人士稱,在柬埔寨央行採取行動後,匯旺支付以「HPay」 的名義繼續營運。根據柬埔寨商業登記處信息,HPay 於去年10 月在該國註冊,其官方網站顯示總部與熊貓銀行的一家分行位於同一棟建築物。 HPay 未回應置評請求。
即便美國財政部試圖將匯旺排除在美國金融體系之外,其威脅可能也沒有看起來那麼大。一般來說,網路詐騙不需要物理距離,而洗錢者擅長透過錢騾帳戶轉移資金。
匯旺還有另一層保護:自己的貨幣。
歷史上,許多交易以USDT 進行。但當Tether 開始凍結使用匯旺的可疑錢包後,Huione Crypto 去年推出了自己的穩定幣USDH。
匯旺官網存檔聲明稱,USDH “不受傳統監管約束”,並“確保用戶資產不會被任意凍結”。
台灣研究網路犯罪的學者陳燕玉在柬埔寨花了數月時間,與據稱的洗錢者、詐騙者及其頭目交談。她說,這個相互關聯的利益網絡已熟練掌握各種變通方法,無論是利用柬埔寨金融體系的漏洞,或是藉助其他國家的有利法規。
「網路犯罪已深度嵌入全球資本主義運作中,從世界各地掠奪資源,」 陳燕玉說,「它不可能被輕易瓦解。」
加密貨幣屬於高風險投資,本網站內容均不構成任何投資建議與責任。
掌握虛擬貨幣、區塊鏈大小事
