سيفوي هو تطبيق تواصل خاص يركز على الخصوصية، ويشبه بشكل رئيسي تطبيق تيليجرام، ويعتمد على تقنية التشفير الخاصة بتيليجرام (بروتوكول MTProto). يتم تشفير الرسائل والصوت والفيديو والملفات طوال عملية النقل، بحيث يمكن فقط للمحادثتين رؤية المحتوى، ولا يمكن للخادم قراءته. بعض الشركات، نظرًا لاعتبارات الخصوصية، تقوم حتى بنشر التطبيق بشكل خاص بالكامل للتحكم في البيانات أو للهروب من التدقيق التنظيمي.

نظرًا لتزايد التعاون مع السلطات وحظر المجتمعات على تيليجرام، تحاول أكبر منصة ضمان معاملات العملات الرقمية غير القانونية في جنوب شرق آسيا — “ضمان العملات الجديدة” — نقل مجموعاتها العامة على تيليجرام إلى سيفوي، مما أدى إلى انتشار تطبيقات مزيفة لسيفوي، وتهديد أمن أموال التشفير الخاصة بالمجرمين من أصحاب الأنشطة غير المشروعة الذين يعتمدون على المجموعات العامة.

تهدف هذه المقالة إلى الكشف جزئيًا عن هذا الوضع من استغلال بعضه البعض.

الجدول الزمني

في 13 مايو 2025 بتوقيت بكين، تعرض أكبر منصتين غير قانونيتين لتداول العملات الرقمية في جنوب شرق آسيا — “ضمان هاوون” و"ضمان العملات الجديدة" — لعقوبات من قبل فريق تيليجرام الرسمي، حيث تم حظر العديد من حسابات خدمة العملاء والمجموعات العامة، مما أدى إلى توقف الأعمال مؤقتًا وإثارة حالة من الذعر في دائرة الأنشطة غير المشروعة.

ردًا على ذلك، اتخذت الكيانان استراتيجيات مختلفة —

في صباح 13 مايو، أعلن “هاوون ضمان” عن توقفه عن العمل وتسليم جميع أعمال المجموعات العامة إلى “بطاطس ضمان”، وهي شركة مرتبطة كانت قد تلقت استثمارًا بنسبة 30% من قبل “هاوون ضمان” سابقًا. من خلال إعلان إفلاس شكلي، تمكن “هاوون ضمان” من التملص من المسؤولية، وتغير علامته التجارية إلى “بطاطس ضمان”، واستمر في إدارة أنشطته غير القانونية.

وفي 14 مايو، قام “ضمان العملات الجديدة” بتحديث محتوى صفحته الرئيسية على xinbi[.]com، معلنًا عن تفعيل مجموعة سيفوي العامة رسميًا لتجنب حظر تيليجرام لمجموعاته غير القانونية. على الرغم من أن المحتوى على الموقع أصبح غير فعال، إلا أن أدوات أرشفة الويب لا تزال تظهر أدلة على ذلك.

على الفور، بدأ مجتمع الأنشطة غير المشروعة في التعبير عن استياءه من إطلاق “ضمان العملات الجديدة” لمجموعة سيفوي بهدف سرقة أصول المستخدمين المشفرة، وبلغت هذه النقاشات السلبية ذروتها مع انهيار “بطاطس ضمان” تمامًا في أوائل 2026، وتسريع “ضمان العملات الجديدة” لعملية نقل المجموعات، حتى وصلت إلى أقصى حد.

انتشار مواقع مزيفة لسيفوي

على الرغم من تأكيد “ضمان العملات الجديدة” مرارًا وتكرارًا على صحة روابط تحميل سيفوي، وادعائها أن التطبيق متاح على متجر تطبيقات iOS، إلا أن مجموعات من المحتالين أنشأت العديد من المواقع المزيفة غير الرسمية، وقامت بالترويج عبر كلمات مفتاحية في محركات البحث.

على سبيل المثال، الموقع غير الرسمي safew-x[.]com. عند تحليل العينة باستخدام أداة sandbox الأمنية عبر الإنترنت ANY.RUN (رابط التحميل: [.].com/_dl.php?t=win)، تم اكتشاف سلوك خبيث.

بعد تشغيل العينة، أطلقت نسخة من برنامج Gh0stRAT SweetSpecter (تروجان وصول عن بعد كامل الوظائف)، وأنشأت اتصالًا مع خادم C2 للتحكم، مما أدى إلى تفعيل قواعد التهديدات الناشئة التالية:

• ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)
• ET DROP Spamhaus DROP Listed Traffic Inbound group 2

هذه النسخة من البرنامج الخبيث تمتلك قدرات التحكم عن بعد في سطح المكتب، وتسجيل لوحة المفاتيح، وسرقة الملفات، وعند إصابة الجهاز، يمكن للمهاجم السيطرة الكاملة على الجهاز المصاب، بما في ذلك التحكم في سطح المكتب عن بعد، وتسجيل لوحة المفاتيح، ومراقبة الكاميرا/الميكروفون، وسرقة الملفات وإرسالها، وتنفيذ أوامر عشوائية، ونشر أدوات خبيثة أخرى. بمجرد الإصابة، يمكن للجهة المهاجمة البقاء مخفية لفترة طويلة وسرقة البيانات الحساسة، وتعتبر تهديدًا عالي الخطورة.

أما بالنسبة للعديد من مجموعات المستخدمين والتجار الذين يعتمدون على محافظ العملات المشفرة في أنشطتهم غير القانونية، فإن الهدف الواضح من هذا البرمجيات الخبيثة هو سرقة مفاتيح محافظهم الخاصة.

تحليل أعمال مجموعة سيفوي على منصة ضمان العملات الجديدة

تراقب شركة Bitrace بشكل مستمر أنشطة التمويل الخاصة بـ"ضمان العملات الجديدة"، وأظهرت التحقيقات في عناوين المجموعات العامة على سيفوي أنه على الرغم من أن “ضمان العملات الجديدة” أطلق مجموعة سيفوي في مايو 2025، إلا أنه لم يُخصص عنوانًا مستقلًا لهذه الخدمة إلا في أغسطس من نفس العام، وكان حجم النشاط منخفضًا وتناقص شهريًا.

حتى نهاية 2025 وبداية 2026، بعد انهيار “汇旺支付” و"بطاطس ضمان"، بدأ “ضمان العملات الجديدة” في الترويج بشكل مكثف لمجموعته العامة على سيفوي، وارتفع النشاط في العناوين، حيث حقق تدفقًا ماليًا شهريًا مؤقتًا يزيد عن 32 مليون USDT في يناير 2026، ثم بدأ يتناقص تدريجيًا.

بعد إحصاء جميع عناوين الإيداع على “ضمان العملات الجديدة”، تبين أن حجم الإيداع الشهري عبر قناة سيفوي يعادل فقط يومًا واحدًا من نشاط قناة تيليجرام، مما يدل على أن تيليجرام لا يزال الخيار الأول للمجموعات العامة غير القانونية على “ضمان العملات الجديدة”.

ختامًا

في الواقع، ظاهرة استغلال المجرمين لبعضهم البعض في الأنشطة غير المشروعة شائعة جدًا، من المحافظ المزيفة إلى تيليجرام المزيف، ومن الهجمات المادية إلى الهندسة الاجتماعية عبر الإنترنت، وهذه الجماعات الخارجة عن القانون أصبحت هدفًا للهجمات.

بعد انهيار “بطاطس ضمان”، أصبح “ضمان العملات الجديدة” أكبر منصة ضمان معاملات غير قانونية في جنوب شرق آسيا. هذه ليست البداية، ولا تزال الهجمات على مجموعات سيفوي الاحتيالية مستمرة.

شركة Bitrace ستواصل مراقبة الوضع.