Documentación técnica completa de la red de pig butchering que opera bajo la app ASM-Share y la empresa ORION GUIDES PRIVATE LIMITED con sede en Lahore, Pakistán. Toda la evidencia es pública y verificable en BSC blockchain.
La operación funciona como un pig butchering scam (estafa de engorde): el operador contacta víctimas por WhatsApp usando perfiles con fotos generadas por IA, les ofrece trabajo de "tareas digitales" con ganancias en USDT, y les pide depositar en la app ASM-Share. En cuanto depositan, un bot drena la wallet en 20 a 80 segundos y el dinero pasa por hasta 6 capas de lavado antes de llegar a una cuenta de Binance con KYC.
La red opera 24 horas los 7 días de la semana, con actividad concentrada entre las 00:05 y 04:11 UTC, consistente con un equipo en zona horaria de Asia oriental o del sur. El 27 de mayo de 2026 desplegó micro-pagos de $4.50 a 96 wallets en una sola noche nocturna, sugiriendo automatización completa.
El destino final documentado es la dirección 0x8894e0a0c962cb723c19e09719a502bfc0818850, una cuenta de Binance que requirió verificación de identidad (KYC). Binance dispone de los datos del titular y puede actuar ante solicitud judicial o con suficientes reportes formales de usuarios afectados.
La investigación identificó dos rutas independientes de movimiento de fondos. La Ruta A usa 6 capas de intermediación (L1–L6) con smurfing, bridges cross-chain y conversión de tokens. La Ruta B es más directa: las wallets de víctima envían fondos directamente al destino final en Binance sin intermediarios, lo que sugiere una operación más nueva o un perfil diferente de víctima.
Ambas rutas convergen en el nodo L4 Collector (0x19F0FD2A8Cc00D1C332182cE051AE7FF08DFF74F) y desde allí al L5 Aggregator y al destino Binance.
Para que el bot de drenado funcione, las wallets de las víctimas necesitan BNB para pagar el gas de la transacción de salida. La red opera un smart contract automatizado que detecta wallets con saldo por debajo de un umbral mínimo y las fondea automáticamente, sin intervención humana.
Dirección: 0x80BDC18b83687010Df025E54E00Bf3f40D9e34b2 [Fake_Phishing1693460]
Controlado por: 0x6D270a38fB8E73D09D547268F4e76B68e2dE35d6 [Fake_Phishing1693458]
Funciones decodificadas del contrato:
— batchSendBNB(address[]) — top-up automático al threshold de 0.000006 BNB
— batchSendToken(...) — envío de tokens en batch
— batchTransferToken(...) — transfer a lista de wallets
— owner() — 0x6D270 es el propietario
Fuente Swarm: bzzr://b57ace39127b80d2f7a9624e3c6f19ae683203fbf2dd558a04b2e962735ed72f
Capacidad: 25 wallets por batch. Al momento de esta investigación (jun 2, 2026): 625+ wallets activas.
El BNB inicial proviene de 0xd8D717adfaC25C8B0eebdCa0aD28581E54b78637 [Fake_Phishing1693462], que viene fondeando al operador desde diciembre de 2025. Los tokens en chino mandarín asociados a estas wallets y el horario de operación (nocturno UTC) son consistentes con origen en China o Asia-Pacífico.
El operador también usa NFT airdrops como marcadores de activación: envía NFTs a las wallets de distribución justo antes de cargarlas con fondos reales:
La red combina técnicas estándar de lavado de criptomonedas con innovaciones propias. La combinación de smurfing, cross-chain bridging y address poisoning la hace especialmente difícil de rastrear sin herramientas especializadas.
Las wallets de víctima son drenadas en 20–22 segundos (Ruta A) o 78–980 segundos (Ruta B) tras recibir el depósito. No hay intervención humana.
La Ruta A pasa por 6 capas de intermediación (L1→L6). La Ruta B usa solo 1 capa pero dispone de infraestructura upstream de 4 niveles para los fondos del operador.
Fragmentación de grandes cantidades en transacciones de $1.50 a $898 para evadir umbrales de detección automática en exchanges.
Se usa un token falso con nombre similar a USDT ("U5DT") para confundir a las víctimas que revisan sus transacciones. El nombre usa caracteres unicode para imitar mejor la apariencia.
Conversión de stablecoin para romper el rastro de token y dificultar el seguimiento automático por tipo de activo.
Uso de HiFiSwap Bridge 7 para mover fondos entre blockchains. Cada salto cross-chain rompe el rastro de la cadena de custodia.
El 27 de mayo de 2026 la red procesó 96+ víctimas simultáneamente entre las 00:05 y las 03:51 UTC, demostrando capacidad de operación industrial.
5 pares de wallets con prefijos y sufijos idénticos detectados en la red. Técnica diseñada para que las víctimas copien la dirección incorrecta del historial de su wallet.
Top-up de precisión quirúrgica: el contrato envía exactamente el BNB necesario para ejecutar la transacción de salida, sin dejar excedente trazable.
El operador usa el envío de NFTs para señalizar que una wallet de distribución está lista para recibir fondos reales, evitando comunicaciones rastreables.
Confirmación de wallets activas enviando cero USDT antes de cargar fondos reales. Detectado en AC90, diciembre 2025, con 24 wallets.
El bot distribuye $4.50 a wallets objetivo para generar confianza inicial. Las víctimas ven el pago en su wallet y creen que la app "funciona" antes de depositar cantidades mayores.
Actividad concentrada entre las 00:05 y 04:11 UTC, horario consistente con Asia Oriental o del Sur. Reduce la supervisión en tiempo real por parte de exchanges occidentales.
La cuenta de desarrollador de Google Play vinculada a ASM-Share está registrada bajo la empresa ORION GUIDES (PRIVATE) LIMITED. Los datos de registro son verificables y constituyen la superficie de identidad más sólida de la operación.
orionguidesprivatelimited@gmail.com+92 309 7379205 Jazz / PMCL — red móvil nacional Pakistáncom.asmshare.app — ASM-Share · 10K+ descargas · 1.4★ · ACTIVAEl número +92 309 7379205 es Jazz Pakistan (operador PMCL), con cobertura nacional. Las autoridades pakistaníes — específicamente la NCCIA (National Cyber Crime Investigation Agency) — pueden solicitar los registros de este número directamente a Jazz mediante solicitud judicial. La dirección en Bilal Centre, Lahore es verificable por las autoridades locales.
Recomendamos incluir estos datos en reportes a la NCCIA Pakistan: helpdesk@nccia.gov.pk
Todas las direcciones son públicamente verificables en BSCScan. Las de las víctimas nombradas han sido anonimizadas para proteger su privacidad.
| Capa | Dirección |
|---|---|
| L1 | 0xFc64F050f3187A13371AB054eB896aD87CC0E400 |
| L1 | 0xCE63a8e6F76ba3c4b935D6A7De2c7A4C934e16b3 |
| L2 | 0x65074880A336B3EDF7E88EBCf43A0Fa95a843143 |
| L2 | 0x1d1103b0f89d93c5e3F76BD6a9300bE5E412FDF9 |
| L2 | 0x274117f1d54F336E9924e8Bb79383dB9fa6508FC |
| L2 | 0x341B7b36A735455d1aB427281De995Ff14B6aaE8 |
| L3 | 0xD6e5CA96fe7C9f220c4CF37A5B1bD31636ba4021 |
| L3 | 0x1481e58411608B2d628Ef305b92B01cF4f83DB70 |
| L3 | 0x1263733Ad87d241a0A033925ee1a7993B5d428EB |
| L4 | 0x19F0FD2A8Cc00D1C332182cE051AE7FF08DFF74F |
| L5 | 0x3C7201F61C491ae4772138Fe150008d546C450D9 |
| L5 | 0xf78B2eDA7c1E20fF9906B31FE3612195BCe9D6Ce |
| L5 | 0xE066d38e3746ccd372248eEf9D183D37DF9F3d5A |
| L6 | 0x8894e0a0c962cb723c19e09719a502bfc0818850 |
| L6 | 0x8894e0a0c962cb723c1976a4421c95949bE2D4E3 |
| L1 | 0xa7da108808f1e27ab1bc519438bb255e4132e6bc |
| L1 | 0xb00cd36d612ea8b7377e45cd2146d043cac866b7 |
| L2 | 0xAC90e100b6740969Ae4CA1667F4377b44c505C20 |
| L2 | 0xe1CB1b6F446539103F92814185557b656907dE95 |
| L3 | 0xfBeE46De6498D7889F15b62a40E1eE46a51c893a |
| L2 | 0x145d99c8F16fB0DA8540b2d73611c3583Bb91e2d |
| L2 | 0x30F1FBea82C608510f50c1ea6D746B5Ae3Ec8224 |
| L2 | 0xe789462Dd0E5Ada2c2FAFD435287E53C6072A63E |
| L2 | 0x76eD832618b426E5e88E76b8A627F31D5B088301 |
| L2 | 0xcC5d915A062945dE1f37c1Ca31Afc056bc652018 |
| Gas | 0x6D270a38fB8E73D09D547268F4e76B68e2dE35d6 |
| Gas | 0x80BDC18b83687010Df025E54E00Bf3f40D9e34b2 |
| Gas | 0xDf691aF92ED3218F7aBE18d70eECA1b6902D53e1 |
| Gas | 0xd6AeD8C99D4bFfEf77A375Be9a898b5ceD0353E1 |
| Gas | 0xd8D717adfaC25C8B0eebdCa0aD28581E54b78637 |
com.asmshare.app confirmado. Datos ORION GUIDES obtenidos.Tu reporte suma evidencia al expediente. Toma menos de 5 minutos y no necesitas saber de blockchain.