Immagina di ricevere un messaggio privato su X (quello che una volta si chiamava Twitter) da un account che sembra super professionale: “Ehi, siamo Pollens AI, una startup innovativa nell’IA. Ti paghiamo in crypto per testare il nostro software!”. Sembra un colpo di fortuna, no? Un lavoretto facile, pagato in Bitcoin o Ethereum. Ma dietro quel messaggio si nasconde una trappola elaborata, che ha già prosciugato milioni da wallet di ignari utenti. Darktrace, azienda leader in cybersecurity con il suo AI Antigena, ha analizzato questa campagna attiva dal dicembre 2024 e ancora in corso nel 2026, fingendosi aziende tech del futuro come Pollens AI, Swox, Buzzu o Eternal Decay.
Pensa a un film di spionaggio: i truffatori non sono sprovveduti, ma professionisti organizzati in gruppi chiamati “traffer” come CrazyEvil, attivi dal 2021 e con una gerarchia precisa, dal “chairman” che gestisce tutto, ai “developer” che creano il malware, fino ai “closer” che chiudono le vendite dei dati rubati. Hanno incassato milioni, e il loro segreto? Social engineering puro: manipolano la tua curiosità e avidità umana.
Come ti catturano, dal DM all’asta dei tuoi dati
Tutto inizia con un contatto innocuo su X, Telegram o Discord. L’account fasullo posta contenuti convincenti, meme su crypto, annunci di assunzioni, persino negozi online con magliette brandizzate e ha un sito professionale su Notion o GitHub, completo di whitepaper, roadmap e “team” con foto LinkedIn rubate. “Scarica la nostra app Electron per Windows o il file DMG per Mac, verifica con Cloudflare e ricevi il pagamento”, ti dicono. Sembra tutto ok: il sito ha un design pulito, parla di AI collaborativa o gaming Web3, e cita conferenze immaginarie.
Ma una volta scaricato, l’app è un lupo in veste di agnello. Finte schermate di “verifica” nascondono script maliziosi: sul Mac, un bash offuscato con base64 e XOR si infila in /tmp, usa AppleScript per persistere come LaunchAgent e spia le tue app; su Windows, un MSI silenzioso evade antivirus con certificati rubati. Il risultato? Stealer come Atomic o Realst rubano tutto: cookie browser, chiavi wallet (Phantom, MetaMask), documenti con seed phrase. I dati finiscono all’asta su forum russi o server C2 come 45.94.47.167, venduti al miglior offerente.
Non è fantascienza: nel 2025, queste scam di social engineering hanno causato 340 milioni di dollari di perdite su 2.3 miliardi totali in crypto rubati. E nel 2026? Le tattiche evolvono, sovrapponendosi a campagne come Meeten, con malware cross-platform per Mac e Windows.
Le startup fittizie, un castello di carta digitale
Prendiamo Pollens AI (@pollensapp su X): promette “AI collaborativa per immagini”, con sito pollens.app. Hash del malware Windows: 02a5b35be82c59c55322d2800b0b8ccc. O Swox (@SwoxApp, swox.io), un “social Web3” che spinge Atomic Stealer su Mac. Eternal Decay finge un gioco blockchain metaverso, Buzzu è solo un rebrand di Pollens. Hanno follower comprati, siti con whois anonimi, e persino “merch” su Shopify fasulli. Un inganno curato nei minimi dettagli, per farti abbassare la guardia.
Darktrace ha identificato diverse di queste fake startup:
Pollens AI
X: @pollensapp, @Pollens_app
Website: pollens.app, pollens.io, pollens.tech
Windows: 02a5b35be82c59c55322d2800b0b8ccc
Notes: Posing as an AI software company with a focus on “collaborative creation”.
Buzzu
X: @BuzzuApp, @AI_Buzzu, @AppBuzzu, @BuzzuApp
Website: Buzzu.app, Buzzu.us, buzzu.me, Buzzu.space
Windows: 7d70a7e5661f9593568c64938e06a11a
Mac: be0e3e1e9a3fda76a77e8c5743dd2ced
Notes: Same as Pollens including logo but with a different name.
Cloudsign
X: @cloudsignapp
Windows: 3a3b13de4406d1ac13861018d74bf4b2
Notes: Claims to be a document signing platform.
Swox
X: @SwoxApp, @Swox_AI, @swox_app, @App_Swox, @AppSwox, @SwoxProject, @ProjectSwox
Website: swox.io, swox.app, swox.cc, swoxAI.com, swox.us
Windows: d50393ba7d63e92d23ec7d15716c7be6
Mac: 81996a20cfa56077a3bb69487cc58405ced79629d0c09c94fb21ba7e5f1a24c9
Notes: Claims to be a “Next gen social network in the WEB3”. Same GitHub code as Pollens.
KlastAI
X: Links to Pollens X account
Website: Links to pollens.tech
Notes: Same as Pollens, still shows their branding on its GitHub readme page.
Wasper
X: @wasperAI, @WasperSpace
Website: wasper.pro, wasper.app, wasper.org, wasper.space
Notes: Same logo and GitHub code as Pollens.
Lunelior
Website: lunelior.net, Lunelior.app, lunelior.io, lunelior.us
Windows: 74654e6e5f57a028ee70f015ef3a44a4
Mac: d723162f9197f7a548ca94802df74101
BeeSync
X: @BeeSyncAI, @AIBeeSync
Website: beesync.ai, beesync.cc
Notes: Previous alias of Buzzu, Git repo renamed January 2025.
Slax
X: @SlaxApp, @Slax_app, @slaxproject
Website: slax.tech, slax.cc, slax.social, slaxai.app
Solune
X: @soluneapp
Website: solune.io, solune.me
Windows: 22b2ea96be9d65006148ecbb6979eccc
Eternal Decay
X: @metaversedecay
Website: eternal-decay.xyz
Windows: 558889183097d9a991cb2c71b7da3c51
Mac: a4786af0c4ffc84ff193ff2ecbb564b8
Dexis
X: @DexisApp
Website: dexis.app
Notes: Same branding as Swox.
NexVoo
X: @Nexvoospace
Website: nexvoo.app, Nexvoo.net, Nexvoo.us
NexLoop
X: @nexloopspace
Website: nexloop.me
NexoraCore
Notes: Rename of the Nexloop Git repo.
YondaAI
X: @yondaspace
Website: yonda.us
Perché funziona ancora oggi (e come fermarli)
Funziona perché sfrutta il nostro desiderio di opportunità facili in un mondo crypto volatile. Ma Darktrace lo ferma con AI che rileva anomalie comportamentali: un DM sospetto, un download improvviso, dati in uscita – tutto bloccato autonomamente, senza regole rigide.
Cosa puoi fare tu, passo per passo:
- Verifica sempre: Su X, controlla follower/following (pochi o sospetti? Mhmmm). Usa whois.net o Companies House per il sito.
- Non scaricare mai da DM: Opportunità vere non arrivano così. Usa solo store ufficiali.
- Proteggi il wallet: Hardware come Ledger/Trezor con air-gapping e multi-sig.
- Strumenti extra: Estensioni anti-phishing (come Pocket Universe), 2FA hardware (YubiKey), antivirus aggiornato.
- Segnala: IoC come mrajhhosdoahjsd.com o IP 45.94.47.167 a X, Chainabuse o forum crypto.
In un’era di AI e deepfake, la vigilanza è la tua superpotenza.
Informatics, ski racer, loves travels, Finland, Norway, mountains, squash, photography, Drones and RC Helicopter
RSS - Articoli
Commenti recenti