ZachXBT signaleert gecoördineerde crypto‑oplichting via oorlogsberichten op X

Een cluster van socialmedia-accounts gebruikte oorlogsgerelateerde content om gebruikers naar crypto‑oplichting te leiden, volgens bevindingen die zijn gedeeld door on-chain onderzoeker ZachXBT.

In een recente thread op X schetste hij hoe meer dan 10 accounts tijdens het voortdurende conflict in het Midden-Oosten samenwerkten om aandacht te trekken en die door te sturen naar frauduleuze crypto‑promoties.

De strategie berustte op emotioneel geladen berichten over oorlog en politiek, bedoeld om engagement te vangen van gebruikers die al volgden wat er snel veranderde in het wereldnieuws, voordat dat verkeer werd omgeleid naar scamcampagnes.

Hoe oorlogscontent betrokkenheid stimuleert

ZachXBT zei dat de operators achter het netwerk bestaande accounts overnamen die al volgers hadden.

Deze accounts begonnen vervolgens frequente updates te plaatsen die zich richtten op negatieve of alarmerende ontwikkelingen gerelateerd aan oorlog en politiek.

De berichten verschenen meerdere keren per dag en waren zo opgebouwd dat ze reacties uitlokten.

Door in te spelen op de lopende verslaggeving over conflicten positioneerden de accounts zich binnen gesprekken met veel verkeer.

Dit vergrootte de zichtbaarheid zonder te steunen op oorspronkelijke geloofwaardigheid of geverifieerde informatie.

Hij omschreef de aanpak als het kweken van betrokkenheid, direct gekoppeld aan fraude.

De berichten waren ontworpen om reacties, herplaatsingen en zichtbaarheid te genereren, waardoor er een pijplijn van aandacht ontstond die later kon worden omgeleid.

Gecoördineerd patroon van oplichting

De activiteit volgde een herhaalde volgorde. Eerst plaatsten de accounts aandachttrekkende berichten gekoppeld aan conflictnarratieven.

Vervolgens versterkten verbonden accounts dezelfde content via herplaatsingen, waardoor het bereik op het platform toenam.

Zodra de betrokkenheid toenam, introduceerden de operators content gerelateerd aan scams.

Dit omvatte doorgaans nep‑giveaways of directe promoties gekoppeld aan crypto‑activa.

De verschuiving van nieuwsachtige posts naar scam‑boodschappen was geleidelijk, waardoor het minder opviel voor de doorsnee gebruiker.

ZachXBT voegde eraan toe dat de accounts vaak van gebruikersnaam veranderden nadat campagnes waren uitgevoerd.

Dat maakte het moeilijker om het netwerk te traceren en stelde dezelfde profielen in staat na verloop van tijd als niet‑gerelateerd te verschijnen.

Het gebruik van meerdere accounts stelde de groep ook in staat het proces te herhalen over verschillende onderwerpen en doelgroepen heen.

Groter bereik via nietsvermoedende gebruikers

Sommige grote accounts op X reageerden op de berichten zonder de herkomst of bedoeling te kennen.

Deze reacties en herplaatsingen vergrootten de zichtbaarheid van de content verder en duwden deze de feeds van een breder publiek in.

De methode leunde sterk op social engineering. Gebruikers reageren sneller op negatieve of urgente updates, zeker tijdens nieuwscycli gedreven door conflicten.

Dergelijk gedrag vergroot de kans dat berichten trending worden of prominent in feeds verschijnen.

Als gevolg hiervan bereikten scam‑promoties ingebed in deze betrokkenheidscycli een groter publiek dan standaard spamtactieken.

On-chainverbindingen met crypto‑fraude

ZachXBT zei dat on-chain data het netwerk in verband bracht met pump-and-dump‑cryptoschema's.

Tien accounts binnen het cluster werden geïdentificeerd als actief in het promoten van deze scams.

Hij merkte op dat on-chain bewijs erop wijst dat de operatie zescijferige winsten heeft gegenereerd.

Dit koppelt de activiteit op social media rechtstreeks aan financiële uitkomsten in plaats van aan geïsoleerde of opportunistische spam.

De bevindingen wijzen ook op een bredere risico's. Hetzelfde model kan verder worden opgeschaald, gezien hoe gemakkelijk gecoördineerde posts de zichtbaarheid op grote platforms kunnen beïnvloeden.