Safew es una aplicación de comunicación privada similar a Telegram, basada en la tecnología de cifrado de Telegram (protocolo MTProto). Los mensajes, llamadas de voz, videos y archivos están cifrados durante todo el proceso de transmisión, solo los interlocutores pueden ver el contenido, y los servidores no pueden leerlo. Algunas empresas, por motivos de privacidad, incluso optan por desplegarla de forma privada para controlar completamente los datos o evadir auditorías regulatorias.

Debido a la creciente colaboración de Telegram con las autoridades y a la prohibición de comunidades, la mayor plataforma de intercambio de criptomonedas ilegales en el sudeste asiático, Xinbi Guarantee, está intentando migrar sus grupos públicos a Safew. Esto ha provocado una proliferación de aplicaciones falsas de Safew, poniendo en riesgo la seguridad de los fondos encriptados de los actores del mercado negro y gris, principalmente grupos comerciales públicos.

Este artículo busca revelar parcialmente esta situación de conflicto interno.

Línea de tiempo

El 13 de mayo de 2025, hora de Beijing, las dos mayores plataformas de intercambio de criptomonedas ilegales en el sudeste asiático, Haowang Guarantee y Xinbi Guarantee, fueron sancionadas por Telegram. Muchas cuentas oficiales de atención al cliente y grupos públicos de negocios fueron bloqueados, causando una interrupción temporal en sus operaciones y generando pánico en la comunidad del mercado negro y gris.

Ambas entidades respondieron de manera diferente:

El 13 de mayo por la mañana, Haowang Guarantee anunció que cesaba sus operaciones y entregaba todos sus grupos públicos a Tudou Guarantee, una entidad relacionada que anteriormente había recibido una inversión del 30% de Haowang. A través de un cierre formal, Haowang Guarantee logró desvincularse y cambió su marca a Tudou Guarantee, continuando sus actividades ilegales.

El 14 de mayo, Xinbi Guarantee actualizó el contenido de su página principal xinbi[.]com, anunciando oficialmente la activación de grupos públicos Safew para evitar el bloqueo de sus grupos ilegales por parte de Telegram. Aunque el contenido del sitio web dejó de estar activo, aún se pueden encontrar rastros mediante archivos web.

Inmediatamente, la comunidad del mercado negro y gris empezó a denunciar que Xinbi Guarantee lanzaba Safew con el objetivo de robar los activos encriptados de los usuarios. Estas discusiones negativas alcanzaron su punto máximo a principios de 2026, tras el cierre completo de Tudou Guarantee y la aceleración en la migración de grupos públicos por parte de Xinbi Guarantee.

Sitios falsos de Safew en circulación

Aunque Xinbi Guarantee reiteró que la dirección correcta para descargar Safew era la oficial y afirmó que la aplicación ya estaba en el mercado de iOS, muchos grupos criminales crearon sitios falsos que imitaban la descarga oficial y manipularon palabras clave en buscadores para promocionarlos.

Por ejemplo, el enlace no oficial safew-x[.]com. Al analizarlo con la herramienta de sandboxing en línea ANY.RUN, se detectaron comportamientos maliciosos.

El archivo ejecutado liberó una variante de Gh0stRAT SweetSpecter (un troyano de acceso remoto completo) y estableció comunicación con un servidor C2, activando reglas de amenazas emergentes como:

• ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)
• ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Esta variante tiene capacidades de control remoto, grabación de teclado, robo de archivos, y más. Tras infectar un dispositivo, el atacante puede tomar control total del equipo, incluyendo escritorio remoto en tiempo real, monitoreo de cámara/micrófono, robo y transmisión de archivos, ejecución de comandos arbitrarios y despliegue de herramientas maliciosas adicionales. Una vez infectado, el actor de amenazas puede permanecer oculto y extraer datos sensibles a largo plazo. Se clasifica como un troyano de acceso remoto (RAT) de alto riesgo.

Para los grupos comerciales y usuarios que manejan billeteras de criptomonedas en sus actividades ilícitas, este malware apunta claramente a las claves privadas almacenadas en los dispositivos.

Análisis del negocio de grupos públicos Safew de Xinbi Guarantee

Bitrace ha monitoreado durante mucho tiempo las actividades financieras de Xinbi Guarantee. La investigación sobre los depósitos en los grupos Safew muestra que, aunque Xinbi Guarantee lanzó estos grupos en mayo de 2025, solo en agosto de ese año asignó una dirección de negocio independiente para este servicio, con un volumen relativamente bajo que fue disminuyendo mes a mes.

Hasta finales de 2025 y principios de 2026, tras el colapso de Huiwang Pay y Tudou Guarantee, Xinbi Guarantee promovió intensamente sus grupos Safew, y la actividad en esas direcciones aumentó. En enero de 2026, alcanzó brevemente un flujo mensual de fondos superior a 32 millones de USDT, pero luego decayó mes a mes.

Tras analizar todas las direcciones de depósito de Xinbi Guarantee, se encontró que el volumen de depósitos en un solo mes a través del canal Safew equivale solo a un día de actividad en Telegram, demostrando que Telegram sigue siendo la plataforma preferida por los actores del mercado negro y gris en Xinbi Guarantee.

Conclusión

De hecho, las actividades ilícitas en el mercado negro y gris son muy frecuentes, desde billeteras falsas hasta Telegram falsos, ataques físicos y ingeniería social en línea. Este grupo que opera fuera de la ley se ha convertido en un objetivo constante de ataques.

Tras el colapso de Tudou Guarantee, Xinbi Guarantee se ha consolidado como la mayor plataforma de garantía de criptomonedas ilegales en el sudeste asiático. La campaña de phishing contra los grupos públicos de Safew no ha hecho más que comenzar y aún no termina.

Bitrace continuará monitoreando la situación.