Solana, Ethereum, y NFT drenadores de wl-now[.]com. Utiliza unpkg falso para servir drainer js y Discord webhooks para alertas en tiempo real. Muestra relación con presaless[.]com y drainer kit de cryptokens[.]sellix[.]io (antes tokens404[.]com).
Es probable que se trate de un actor/es de amenazas chino/s debido a múltiples indicios:
- La configuración de la billetera del receptor se dejó intacta y mostró 钱包 que se traduce como "billetera"
- Discord webhook recibió un nombre de usuario de "houmen" que se traduce como "puerta trasera". El avatar muestra a una colegiala china (cdn.discordapp.com/avatars/979351082012659755/b791e87ac09e0fcd70bef0721b074513.png -> facebook.com/JK照片-100190912056316/photos/pcb.100195085389232/100195032055904/)
- Los drenadores estaban alojados en un servidor de HK/China (Cloudie Limited [AS55933] 103.105.23[.]18
- El dominio unpkg falso muestra una página por defecto en chino