Safew est une application de communication privée principalement similaire à Telegram, basée sur la technologie de cryptage de Telegram (protocole MTProto). Les messages, voix, vidéos et fichiers sont entièrement cryptés durant leur transmission, seuls les deux interlocuteurs peuvent voir le contenu, le serveur ne pouvant pas le lire. Certaines entreprises, pour des raisons de confidentialité, optent même pour une déploiement privé afin de contrôler totalement leurs données ou d’échapper aux contrôles réglementaires.

En raison des collaborations accrues de Telegram avec les autorités et des blocages de communautés, la plus grande plateforme de garantie de transactions cryptographiques illégales en Asie du Sud-Est — Xinbi Guarantee — tente de migrer ses groupes publics vers Safew. Cela a entraîné une prolifération d’applications frauduleuses de Safew, mettant en danger la sécurité des fonds cryptographiques des acteurs du marché noir et gris, principalement des groupes publics.

Cet article vise à dévoiler partiellement cette situation de piratage mutuel.

Chronologie

Le 13 mai 2025, à Pékin, les deux plus grandes plateformes de transactions cryptographiques illégales en Asie du Sud-Est, Haowang Guarantee et Xinbi Guarantee, ont été sanctionnées par Telegram. De nombreux comptes de service client officiels et groupes publics ont été immédiatement bloqués, interrompant temporairement leurs activités et provoquant une panique généralisée dans le milieu noir et gris.

Les deux entités ont réagi différemment —

Le matin du 13 mai, Haowang Guarantee a annoncé la cessation de ses activités et a transféré toutes ses opérations de groupes publics à Potato Guarantee, une entité liée à Haowang ayant investi 30 % dans cette dernière. Par une faillite apparente, Haowang Guarantee a réussi à se défaire de son identité précédente, en se rebaptisant Potato Guarantee, poursuivant ses activités illégales.

Le 14 mai, Xinbi Guarantee a mis à jour la page d’accueil de son site xinbi[.]com, annonçant l’activation officielle de groupes publics Safew pour contourner le blocage de ses groupes illégaux par Telegram. Bien que le contenu du site soit désormais inactif, des archives web permettent encore de déceler des indices.

Rapidement, la communauté du marché noir et gris a commencé à critiquer Xinbi Guarantee, accusant Safew d’être une tentative de voler les actifs cryptographiques des utilisateurs. Ces discussions négatives ont culminé début 2026, lorsque Potato Guarantee a complètement fermé, accélérant la migration vers Safew, qui a atteint son apogée.

Sites frauduleux de Safew en circulation

Malgré les affirmations répétées de Xinbi Guarantee concernant la bonne adresse de téléchargement de Safew et sa disponibilité sur l’App Store iOS, de nombreux groupes frauduleux ont créé des sites imitant Safew, polluant les moteurs de recherche pour leur promotion.

Prenons l’exemple du lien non officiel safew-x[.]com. Lors d’une analyse avec l’outil de sandboxing en ligne ANY.RUN (lien de téléchargement : [.].com/_dl.php?t=win), une activité malveillante a été détectée.

Après exécution, le fichier a lancé une version de Gh0stRAT SweetSpecter (un cheval de Troie à accès à distance complet), établissant une communication avec un serveur de commande et de contrôle, déclenchant les règles de détection suivantes :

• ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)
• ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Ce cheval de Troie possède des capacités de contrôle à distance, d’enregistrement de clavier, de vol de fichiers, etc. Une fois infecté, l’attaquant peut prendre le contrôle total de la machine, y compris le bureau à distance en temps réel, la surveillance de la caméra/microphone, le vol et l’envoi de fichiers, l’exécution de commandes arbitraires, et le déploiement d’outils malveillants supplémentaires. La présence de ce malware constitue une menace sérieuse, notamment pour les portefeuilles cryptographiques stockés sur l’appareil, car il cible directement les clés privées.

Analyse des activités de groupe Xinbi Guarantee sur Safew

Bitrace surveille depuis longtemps les flux financiers de Xinbi Guarantee. Une enquête sur les adresses de dépôt sur le groupe Safew montre qu’en mai 2025, Xinbi Guarantee a lancé le groupe Safew, mais n’a attribué une adresse dédiée qu’en août de la même année, avec une activité limitée qui a diminué mois après mois.

À la fin de 2025 et début 2026, après la faillite successive de Huishang Pay et Potato Guarantee, Xinbi a intensifié la promotion de ses groupes Safew. En janvier 2026, le volume de fonds déposés a brièvement dépassé 32 millions de USDT en un mois, avant de diminuer progressivement.

Après analyse de toutes les adresses de dépôt de Xinbi Guarantee, il apparaît que le volume de dépôt mensuel via Safew ne représente qu’une journée d’activité sur Telegram, confirmant que Telegram reste la plateforme privilégiée pour les acteurs du marché noir et gris.

Conclusion

En réalité, la pratique du piratage et de la fraude entre acteurs du marché noir et gris est très courante, allant des faux portefeuilles aux faux Telegram, en passant par des attaques physiques ou des manipulations sociales en ligne. Ce groupe, en dehors de toute légalité, devient une cible privilégiée.

Après la faillite de Potato Guarantee, Xinbi Guarantee est devenue la plus grande plateforme de garantie de transactions cryptographiques illégales en Asie du Sud-Est. La campagne de phishing ciblant les groupes Safew n’est pas une nouveauté, et la situation ne fait que commencer.

Bitrace continuera de surveiller activement la situation.