Cambodge Huiwang, le « super hub » du crime cryptographique
TechFlow SélectionTechFlow Sélection
Cambodge Huiwang, le « super hub » du crime cryptographique
Le Département du Trésor américain a indiqué que ce groupe cambodgien a blanchi plus de 4 milliards de dollars pour des clients, notamment des pirates nord-coréens et des organisations criminelles transnationales.
Dédié à des analyses Web3 approfondiesRédaction : Kai Schultz, Bloomberg
Traduction : Luffy, Foresight News
Les annonces publicitaires s’enchaînent. Vous voulez de la fausse monnaie ? Des services de blanchiment ? Des compétences en piratage ? Si vous parlez chinois et le jargon – un « fournisseur de données » désigne une personne détenant des fonds volés ou des informations bancaires, un « vendeur canin » fait référence à un employé d’un complexe d’escroqueries – tout cela, et bien plus encore, se vend dans les recoins du plus grand marché illégal au monde.
Le trouver n’est pas difficile. Ces informations sont principalement publiées dans des salons publics gérés par Huione Group. Ce conglomérat cambodgien est bien connu dans la communauté sino-cambodgienne locale, célèbre pour ses services d’assurance, de change monétaire et financiers. Son département bancaire en ligne, « Huione Pay », se présente comme « l’Alipay du Cambodge ». Des autocollants rouges avec le code QR de Huione sont visibles partout, dans les restaurants ou petits commerces, permettant aux clients de payer par scan.
Mais les services offerts par les entreprises affiliées à Huione sont en réalité beaucoup plus sombres. Bien que les sociétés liées à Huione aient répété nier toute implication criminelle, le Trésor américain affirme que Huione a blanchi au moins 4 milliards de dollars issus d’escroqueries et de vols de cryptomonnaies.
Cet article, basé sur plus de 20 entretiens avec des responsables gouvernementaux, des employés internes et des victimes présumées, ainsi que sur des documents confidentiels, détaille comment Huione a permis à l’industrie asiatique de cyber-escroqueries de devenir une entité valant plusieurs milliards de dollars.
« Huione ressemble à Amazon pour les criminels », a déclaré Ngo Minh Hieu, enquêteur en cybersécurité et ancien pirate informatique, qui étudie les traces numériques du groupe. « La manière dont leurs activités sont organisées et l’étendue de leurs produits m’ont stupéfié. » La conclusion de Ngo rejoint celle de certains régulateurs.
Un modèle opérationnel en constante mutation
L’historique d’entreprise de Huione est extrêmement opaque. Des archives web indiquent sa création au Cambodge en 2014, mais les registres hongkongais montrent qu’il n’a été enregistré localement qu’en 2018. Il ne semble jamais avoir publié de rapports financiers ni avoir dévoilé d’employés ou de bureaux. En substance, il s’agit d’un réseau fantôme d’entreprises interconnectées. Les administrateurs de ces filiales se chevauchent souvent, mais les relations entre départements restent floues.
Le Trésor américain a nommément cité trois entités pour leur rôle dans le transfert de fonds illégaux par des groupes criminels : Huione Pay, l’exchange de cryptomonnaies Huione Crypto, et Haowang Guarantee (anciennement Huione Guarantee), un opérateur de plateforme transactionnelle en ligne. Le Trésor affirme que ces trois entités sont « essentiellement une seule et même entité » que la société mère. En mai, le Trésor américain a annoncé son intention d’exclure complètement Huione du système financier américain, soulignant que ses clients incluent des organisations criminelles transnationales et le groupe nord-coréen de hackers « Lazarus ». En raison de « l’absence de politiques et procédures efficaces de lutte contre le blanchiment / identification client (AML/KYC) », le risque lié à l’association de Huione avec des acteurs et transactions illégales « s’aggrave davantage ».
D’autres pays renforcent également les mesures. La Thaïlande, voisine du Cambodge, a annoncé en juin enquêter sur Huione Group pour traitement présumé de fonds provenant de jeux d’argent illégaux et d’escroqueries. Sur le plan commercial, l’application de messagerie instantanée Telegram a fermé des dizaines de groupes liés à Huione. Un porte-parole de l’émetteur de stablecoin Tether a indiqué avoir gelé près de 30 millions de dollars de USDT dans des portefeuilles associés à Haowang Guarantee, ajoutant que l’entreprise agirait immédiatement si davantage de portefeuilles étaient signalés par les autorités.
Ces actions ont eu un certain impact public. Selon la Banque centrale du Cambodge, Haowang Guarantee et Huione Crypto ont annoncé leur fermeture, tandis que Huione Pay a été liquidé en juin. La Banque nationale du Cambodge a déclaré dans un communiqué à Bloomberg que Huione Pay avait perdu sa licence en raison de « violations graves des réglementations applicables », ordonnant la fermeture de ses bureaux et l’arrêt total de ses activités, un processus achevé le 19 juin. Pourtant, trois semaines après cette cessation apparente, Huione Pay a affirmé dans un courriel à Bloomberg être « engagé à coopérer constructivement avec les autorités américaines et autres » pour promouvoir la sécurité et la transparence du système financier. Dans une réponse publique au Trésor américain, Huione Pay a déclaré être « pleinement mobilisé pour résoudre les problèmes de conformité et prendre des mesures correctives ».
Bien que ces entités aient précédemment affirmé des liens directs (le site historique de Huione Pay disait être « issu du groupe Huione » ; fin 2023, Haowang Guarantee a qualifié le groupe Huione de « partenaire stratégique et actionnaire » sur les réseaux sociaux), aucune entité indépendante n’admet désormais publiquement un lien avec Huione Group.
Mais les activités en ligne et deux personnes connaissant bien l’organisation affirment que ces trois départements semblent continuer d’opérer sous une forme ou une autre, en changeant de nom ou en redirigeant les clients vers d’autres entités affiliées afin d’éviter interruptions et pressions réglementaires.
Par exemple, quelques semaines après l’annonce de la fermeture de Haowang Guarantee, Chainalysis, une entreprise d’analyse blockchain, a observé une augmentation réelle du volume de transactions cryptographiques liées aux entités Huione. Un grand groupe Telegram de Haowang Guarantee reste accessible publiquement et actif, où les administrateurs dirigent désormais les clients vers « Tudou Guarantee ». D’après les déclarations des deux entreprises, Haowang Guarantee a récemment acquis 30 % des parts de cette plateforme.
Tudou Guarantee ne publie aucun e-mail ou numéro de téléphone. Ses agents de service client sur Telegram affirment que personne ne peut répondre aux demandes médiatiques. Haowang Guarantee a refusé une demande d’interview, affirmant avoir cessé ses activités et n’avoir aucun lien avec aucune entité Huione. L’entreprise avait auparavant nié jouer un rôle dans les cybercrimes. Un porte-parole de Telegram a déclaré : « Nous évaluons chaque signalement cas par cas, nous sommes fermement opposés aux interdictions généralisées », ajoutant que l’application s’engage à protéger la confidentialité des utilisateurs et leur autonomie financière.
Sur le site de Huione Crypto, un bot dirige les clients vers un nouveau prestataire de services appelé Kex. Enregistré aux Îles Vierges britanniques, Kex est injoignable. Une personne informée, souhaitant rester anonyme (pour des raisons de sécurité), a indiqué que Kex était exploité par d’anciens employés de Huione Crypto. Ngo ajoute que le modèle personnalisé du site de Kex est identique à celui de Huione Crypto. Les courriels envoyés par Bloomberg à Huione Crypto et Kex ont tous été rejetés.
La persistance du conglomérat Huione illustre la difficulté de fermer des marchés décentralisés, la résilience de son architecture, et sa capacité à trouver des solutions alternatives. Des documents internes montrent que ses soi-disant « mules financières » (personnes chargées du blanchiment) ont ciblé des victimes dans au moins 12 pays. Des documents d’entreprise indiquent que certaines divisions de Huione ont des succursales en Pologne, au Canada et au Japon.
« Une fois qu’un réseau financier criminel complexe prend racine, la fermeture officielle n’est souvent qu’une façade », a déclaré Andrew Fierman, responsable de l’analyse sécurité nationale chez Chainalysis, dont les recherches ont été utilisées par le Trésor américain pour conclure que Huione est un « canal important pour les blanchisseurs ». « L’infrastructure réelle (leurs tuyaux de blanchiment) continue d’opérer sous la surface, traitant sans entrave des milliards de dollars. »
Un noyau secret
Au sein de Huione, cette infrastructure repose sur un département mystérieux : « Huione International Pay ». Deux sources informées, souhaitant rester anonymes (pour des raisons de sécurité), affirment que ce département est le principal lieu d’opération quotidien facilitant les escroqueries. Des documents d’entreprise consultés par Bloomberg, ainsi que ces deux sources, indiquent que les employés, outre la gestion de marchés criminels en ligne sur des applications comme Telegram, mettent directement en relation escrocs et mules financières moyennant des frais.
Selon ces sources, les employés de Huione International Pay travaillaient au deuxième étage du siège de Huione Pay à Phnom Penh, utilisant des pseudonymes internes et aidant à connecter différents réseaux de blanchiment. Les documents consultés par Bloomberg contiennent des registres comptables détaillés impliquant des milliers de victimes, piégées par divers gangs utilisant les services de Huione International Pay. Bien qu’il soit presque impossible de vérifier chaque incident, Bloomberg a comparé certains détails et identités avec des affaires en cours devant les tribunaux américains.
Huione Pay affirme ne pas être lié à Huione International Pay et ignorer toute entité ou personne portant ce nom. Le Financial Crimes Enforcement Network (FinCEN) américain a déclaré dans un rapport de mai que Huione International Pay faisait « partie intégrante de Huione Pay » et avait facilité des « transactions liées au blanchiment » pour Haowang Guarantee.
Une croissance explosive du secteur
Les cybercrimes existaient bien avant la généralisation des ordinateurs personnels, remontant peut-être aux années 1830, lorsque deux frères français ont utilisé un système de télégraphe optique pour obtenir en avance des données boursières parisiennes. Mais ce n’est qu’à partir des années 2010 que l’extorsion numérique a explosé, notamment via de nouveaux complexes d’escroqueries en Asie du Sud-Est (Cambodge, Myanmar, Laos), ciblant des victimes du monde entier.
Beaucoup de ces complexes sont exploités par des groupes criminels chinois, dont les employés sont des personnes trafiquées, forcées d’escroquer des victimes aux États-Unis, en Allemagne ou au Japon. Souvent, les cibles sont manipulées pour participer à de faux investissements en cryptomonnaie ou à de fausses histoires d’amour, appelées « arnaques au cochon » (shāzhūpán).
Le secteur des arnaques téléphoniques a connu une croissance fulgurante. Selon Chainalysis, les revenus des arnaques au cochon ont bondi de près de 40 % en 2024 par rapport à l’année précédente. À mesure que l’industrie s’étend, les forces de l’ordre mondiales s’interrogent : comment les chefs criminels obtiennent-ils les outils (faux passeports, logiciels malveillants, reconnaissance faciale, mules financières) nécessaires à une telle croissance ? La réponse réside dans de nouveaux marchés de transactions en ligne. Contrairement aux plateformes occidentales comme Silk Road, accessibles seulement après franchissement de barrières techniques, ces nouvelles plateformes opèrent au grand jour.
De nombreux groupes Telegram gérés par Huione, au nombre de milliers, semblent inoffensifs, fonctionnant comme des pages d’annonces classées pour change ou immobilier. Mais selon des analystes de l’Office des Nations unies contre la drogue et le crime (ONUDC), après la fermeture sur le darknet d’un marché clandestin birman appelé « Fully Light Guarantee » (sans lien connu avec Huione), l’ambiance sur Haowang Guarantee est devenue plus sinistre. Des utilisateurs anonymes ont commencé à utiliser davantage de jargon codé suggérant des transactions illégales, et les publicités n’ont plus cherché à dissimuler leurs intentions. La majorité des annonces sont en chinois, indiquant que les principaux clients ne sont pas cambodgiens.
Le ministère chinois des Affaires étrangères n’a pas commenté directement Huione, mais a indiqué coopérer activement avec des pays voisins comme le Cambodge en matière de sécurité et de police, et poursuivre la coopération internationale contre les crimes transfrontaliers comme les escroqueries en ligne.
Une annonce de 2023 consultée par Bloomberg proposait des yuans falsifiés capables de tromper les détecteurs de billets. D’autres vendaient des iPhone de contrebande, des ordinateurs piratés, ou proposaient de débloquer des comptes bancaires. Certaines annonçaient directement des produits liés à l’escroquerie : utilisant des termes chinois comme « tuer le cochon », elles proposaient des sites de faux investissements en cryptomonnaie, ou faisaient la promotion de matraques électriques et de gaz lacrymogènes pour contrôler les « chiens en fuite », clairement une référence aux employés trafiqués maltraités. La plupart exigeaient des paiements en cryptomonnaie.
« La chute de Fully Light Guarantee a été un catalyseur majeur pour d’autres plateformes », a déclaré John Wojcik, ancien analyste des menaces à l’ONUDC. « Haowang Guarantee est passé de quelques milliers à des dizaines de milliers, puis des centaines de milliers d’utilisateurs quasi du jour au lendemain », car les anciens utilisateurs de Fully Light cherchaient un remplaçant.
Avec l’expansion de Haowang Guarantee, les enquêteurs blockchain ont approfondi leurs recherches pour estimer sa véritable ampleur. Elliptic, l’une des plus grandes sociétés d’enquête, a publié en janvier une étude concluant que au moins 24 milliards de dollars ont circulé via les portefeuilles cryptographiques de Haowang Guarantee et de ses marchands. TRM Labs, une autre société d’intelligence blockchain, estime ce montant à 81 milliards de dollars. Quelle que soit l’estimation, Haowang Guarantee dépasse largement son prédécesseur le plus important : le « Hydra Market », exploité par la Russie et fermé par les autorités américaines et allemandes.
Source : Elliptic
« Ils sont plusieurs fois plus grands que n’importe quelle autre plateforme similaire », a déclaré Tom Robinson, scientifique en chef chez Elliptic.
Haowang Guarantee a nié en février jouer un rôle dans les cybercrimes, affirmant que toutes les activités dans ses groupes Telegram étaient assurées par des tiers.
Des opérations complexes
Bloomberg a consulté des documents internes partiels de Huione International Pay datant de 2022 à 2023, rédigés principalement en chinois, recensant des milliers de victimes et des dizaines de millions de dollars de transactions. Les documents montrent que les employés participent directement à la surveillance des transactions et au règlement des litiges, et que la plateforme prélève régulièrement des commissions. Ils révèlent aussi que Huione International Pay est profondément impliqué dans l’exploitation, allant jusqu’à accorder de gros crédits aux équipes de blanchiment performantes.
L’un de ces documents est un manuel multilingue rédigé par le département des transactions de Huione International Pay, listant les règles de saisie des journaux pour des « clients » (c’est-à-dire des victimes) aux États-Unis, en Europe et en Australie. Ce rapport de 2022 décrit comment gérer des risques « allant du léger au grave », notamment lorsqu’une victime porte plainte ou qu’une mule est arrêtée. Le manuel indique de marquer la colonne comme « personnel arrêté » et de « signaler immédiatement au manager ou au responsable régional ».
Extrait d’un document rédigé par le département des transactions de Huione International Pay, montrant les règles de saisie des journaux pour les victimes (appelées "clients")
Ces documents utilisent un système de codage pour suivre les mules et escrocs, révélant leur étendue et complexité. Les blanchisseurs sont classés par un numéro précédé de « X ». Les escrocs sont regroupés approximativement par zone cible : EZ3 désigne les gangs ciblant les victimes européennes ; US26 ceux ciblant les États-Unis. Huione International Pay conserve aussi des informations sur les victimes, parfois même leurs détails bancaires. Les opérations ciblant Taïwan sont particulièrement détaillées, incluant les motifs inventés par les escrocs pour les virements. Par exemple, une note mentionne « commande en gros de nourriture pour animaux ». Harris Chen, procureur taïwanais spécialisé dans les enquêtes sur les cybercrimes, affirme pouvoir associer les détails du document à au moins deux condamnations pour blanchiment à Taïwan.
Bloomberg a croisé les informations détaillées de plusieurs personnes figurant dans les documents avec celles d’enquêtes menées par le FBI et le Secret Service américain (chargé des crimes financiers et de la protection présidentielle).
Un cas concerne Daren Li (de nationalité chinoise et de Saint-Kitts-et-Nevis), qui a reconnu aux États-Unis avoir blanchi plus de 73 millions de dollars via une escroquerie aux investissements en cryptomonnaie. Les autorités américaines ont saisi son téléphone, révélant qu’il communiquait sur Telegram sous le pseudo « KG71777 ». Les documents de Huione International Pay mentionnent non seulement cet identifiant, mais aussi son compte WhatsApp. Selon les documents, Li percevait environ 9 % de commission. (Huione n’apparaît pas dans les documents judiciaires publics de ce dossier.)
Un autre nom figurant dans les journaux est Shashi Iyer, résident américain. Selon des documents judiciaires américains, fin 2022, Iyer a reçu une alerte étrange sur son téléphone : il avait été automatiquement ajouté à un groupe Telegram. Interrogeant l’administrateur, on lui dit que le groupe concernait des investisseurs intéressés par des options sur paires de cryptomonnaies d’une société de services financiers à Boston. Cherchant souvent des opportunités sur Telegram, Iyer a tenté sa chance, séduit par des promesses de rendement de 50 à 95 %.
« C’était un piège au miel », a-t-il déclaré en entretien.
Après avoir vu ses fonds presque doubler et retiré une première somme sans problème, Iyer a été invité dans un petit groupe Telegram réservé aux gros investisseurs, où il a versé environ 40 000 dollars. Lorsqu’il a tenté de retirer ses gains, il s’est rendu compte que la société n’existait pas et a porté plainte auprès du gouvernement américain. Le Secret Service a intenté l’an dernier une action civile au Tennessee pour les victimes, dont Iyer (Huione n’était pas mentionné), aboutissant à une ordonnance de restitution partielle.
Les documents judiciaires indiquent que les victimes ont transféré plusieurs millions de dollars vers des comptes fictifs appartenant à Evolve Bank & Trust à Memphis. Un porte-parole d’Evolve a refusé tout commentaire, mais a insisté sur l’engagement de l’institution envers « la conformité réglementaire, l’intégrité financière et les contrôles anti-blanchiment les plus élevés ».
Les journaux de Huione International Pay mentionnent Iyer et deux autres victimes du Tennessee, avec précision sur les horodatages des virements, les numéros de compte bancaire, et le numéro du gang de blanchiment responsable : X3.
Échapper à la surveillance
Les rares documents disponibles sur les activités de Huione au Cambodge (notamment Huione Pay et Haowang Guarantee) montrent que ces entreprises sont dirigées conjointement par des gestionnaires chinois et des personnalités influentes locales, une relation symbiotique courante au Cambodge. Ces dernières années, d’importants capitaux chinois ont transformé le pays. Aujourd’hui, traverser Phnom Penh, on voit de nombreux chantiers avec des enseignes en chinois. Selon un ancien employé, dans les bureaux de Huione Pay, on entend plus souvent le mandarin que le khmer, langue principale du Cambodge.
Hun To, anciennement inscrit comme administrateur de Huione Pay (désormais dissoute) au registre des entreprises cambodgiennes, est cousin du Premier ministre cambodgien Hun Manet. Sa maison à Phnom Penh ressemble à une forteresse, entourée de hauts murs de béton, avec des filets suspendus probablement pour empêcher l’évasion d’un groupe de calaos étrangers. Selon la presse locale, des enquêteurs australiens avaient suspecté Hun To d’avoir utilisé le transport de bois pour faire passer de la drogue durant l’« Opération Illicito » il y a des années. Il a nié les accusations et n’a jamais été inculpé. Le Crime Intelligence Commission australien indique ne pas pouvoir aider pour cette requête.
Des journalistes ont contacté Hun To via les e-mails associés aux trois sociétés dont il est administrateur, sans réponse. Le cabinet du Premier ministre cambodgien n’a pas non plus répondu à une demande de commentaire. Hun To nie toujours que ses affaires soient liées aux escroqueries en ligne, et rien n’indique qu’il connaisse les opérations de Huione International Pay.
Entreprises affiliées à Huione, source : Trésor américain, documents d’entreprise et reportages de Bloomberg
He Yanming, propriétaire enregistré de Huione Crypto en Pologne, figure au registre des entreprises cambodgiennes comme administrateur de Panda Commercial Bank Plc, l’une des principales institutions financières du pays. Hun To et Li Xiong, qui a été administrateur d’au moins quatre entreprises Huione, étaient membres du conseil d’administration de cette banque jusqu’à leur démission en octobre dernier.
Les journalistes ont sollicité des commentaires via les e-mails associés à d’autres sociétés dont Li Xiong et He Yanming sont administrateurs, sans réponse. Rien n’indique qu’ils aient connu les activités illégales présumées au sein du groupe. Panda Bank n’a pas répondu à une demande de commentaire.
Selon des responsables étrangers informés du groupe, les activités de Huione n’ont pas subi de contrôle excessif au Cambodge. Toutefois, en septembre dernier, la banque centrale cambodgienne a révoqué la licence de Huione Pay. Quelques mois plus tard, quand l’information a été rendue publique, des clients se sont précipités vers le bureau principal de l’entreprise à Phnom Penh pour retirer leurs fonds, poussant Huione Pay à augmenter temporairement le taux d’intérêt sur les dépôts en USDT de 2 % à 7,3 %.
Mais cette panique fut brève. L’entreprise a rapidement annoncé sur un compte média social transférer ses services de paiement et blockchain au Japon et au Canada, où des entités du groupe détenaient déjà des licences.
Les autorités financières japonaises refusent de commenter si une quelconque filiale de Huione fait l’objet d’une enquête, mais précisent que le groupe n’a pas de licence valide de service de paiement. Erica Constant, porte-parole du régulateur canadien, indique que l’enregistrement de Huione Pay comme fournisseur de services monétaires au Canada a expiré fin 2023. Elle refuse de commenter si des renseignements ont été partagés avec son organisme par les forces de l’ordre. Récemment, des journalistes se sont rendus à l’adresse polonaise de Huione Crypto – un immeuble de quatre étages dans un quartier résidentiel verdoyant de Varsovie – où la personne au vidéophone a indiqué s’agir d’un « bureau virtuel ». Après avoir révélé leur identité, les journalistes ont été raccrochés. L’autorité polonaise de régulation des monnaies virtuelles n’a pas répondu à une demande de commentaire.
Selon deux sources informées, après l’intervention de la banque centrale cambodgienne, Huione Pay a continué d’opérer sous le nom « HPay ». Selon le registre des entreprises cambodgiennes, HPay a été enregistré dans le pays en octobre dernier, et son site indique un siège au même bâtiment qu’une succursale de Panda Bank. HPay n’a pas répondu à une demande de commentaire.
Même si le Trésor américain tente d’exclure Huione de son système financier, la menace pourrait être moindre qu’elle n’y paraît. Généralement, les escroqueries en ligne n’ont pas besoin de proximité physique, et les blanchisseurs maîtrisent bien le transfert d’argent via des comptes de mules.
Huione dispose d’une autre couche de protection : sa propre monnaie.
Historiquement, de nombreuses transactions se faisaient en USDT. Mais lorsque Tether a commencé à geler les portefeuilles suspects utilisant Huione, Huione Crypto a lancé l’an dernier son propre stablecoin, USDH.
Une déclaration archivée sur le site de Huione affirme que USDH « n’est pas soumis aux régulations traditionnelles » et « garantit que les actifs des utilisateurs ne seront pas gelés arbitrairement ».
Chen Yanyu, universitaire taïwanaise spécialiste des cybercrimes, a passé plusieurs mois au Cambodge à parler à des blanchisseurs présumés, escrocs et leurs chefs. Selon elle, ce réseau d’intérêts interconnectés maîtrise parfaitement les solutions alternatives, qu’il s’agisse d’exploiter les failles du système financier cambodgien ou de tirer parti de réglementations favorables ailleurs.
« Le cybercrime est profondément intégré au fonctionnement du capitalisme mondial, pillant des ressources du monde entier », a déclaré Chen Yanyu. « Il ne peut pas être facilement démantelé. »
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@Bloomberg
