Arnaques, blanchiment, torture : Telegram fait tomber deux des plus grandes marketplaces cybercriminelles jamais identifiées

Elles brassaient des milliards, recrutaient en plein jour, et vendaient l’invendable. Deux empires du scam ont été rayés de la carte en quelques heures par Telegram. Une première à cette échelle pour une messagerie souvent critiquée pour son laxisme.

Oubliez Silk Road et ses petits deals sur le dark web. Les plus grandes plateformes de cybercriminalité identifiées jusqu'à aujourd'hui opéraient à visage presque découvert, en plein jour, sur… Telegram. Pendant des années, Huione Guarantee et Xinbi Guarantee ont prospéré sur la messagerie chiffrée, profitant de son audience massive (plus d’un milliard d’utilisateurs) et de son relatif laisser-faire pour fournir l’infrastructure nécessaire à l’industrialisation des arnaques en ligne, du blanchiment d’argent, du trafic de données volées, de matériel de torture et même d’êtres humains. Jusqu’à ce que Telegram se décide enfin à intervenir.

Une industrie du cybercrime clé en main

Le 13 mai 2025, Telegram a confirmé avoir supprimé les canaux et identifiants de deux des plus gros marchés noirs opérant sur sa messagerie, Huione Guarantee (également connu sous le nom de Haowang Guarantee) et Xinbi Guarantee. Tous deux fonctionnaient comme des « guarantee marketplaces » – plateformes où les vendeurs déposent une caution et où les paiements sont placés sous séquestre jusqu’à validation de la transaction – et servaient de centres névralgiques pour des activités criminelles variées : blanchiment d’argent, vente de données volées, infrastructures pour escroqueries, matériels de torture, services d’intimidation, escortes, mères porteuses, etc.

Derrière cette façade presque technique, c’est tout un éco­système du scam à la chaîne qui avait trouvé refuge sur Telegram. Dans un tel modèle, les escrocs n’avaient plus besoin de tout gérer eux-mêmes et pouvaient acheter des bases de données prêtes à l’emploi, commander des faux sites, louer une infrastructure de communication, automatiser leurs paiements, sous-traiter leurs opérations, le tout auprès de vendeurs spécialisés, dans des canaux bien organisés, soutenus par un service client parfois plus réactif que dans le commerce en ligne traditionnel.

Au total, ces plateformes auraient enregistré plus de 35 milliards de dollars de transactions depuis leur lancement, selon les données d’Elliptic, spécialiste de la traçabilité des flux crypto. Huione Guarantee aurait ainsi traité plus de 27 milliards de dollars depuis 2021, tandis que Xinbi Guarantee, un peu plus récente, en totalisait déjà 8,4 milliards. Des chiffres qui surpassent largement ceux de tous les grands noms de ce type de marketplace, y compris Hydra (5,6 milliards), Alphabay (639 millions) ou Silk Road (216 millions).

Des deux services, Huione Guarantee était sans doute celui qui poussait le vice le plus loin. Toujours d’après Elliptic, la plateforme était adossée à Huione Group, un conglomérat cambodgien actif dans les services de paiement et de crypto. Son nom figurait d’ailleurs encore, il y a quelques mois, sur le site de Huione Pay, aux côtés d’autres services parfaitement légaux. Huione Guarantee avait droit à son propre logo, à des conditions d’utilisation et à des services de garantie, ce qui lui a en grande partie permis de masquer sa véritable nature, tout en facilitant des opérations à grande échelle dans un cadre particulièrement opaque.

Ce flou entretenu entre services officiels et activités illicites avait par ailleurs déjà attiré l’attention des autorités américaines. En 2024, Reuters révélait ainsi que Huione Pay avait reçu plus de 150 000 dollars en cryptomonnaie depuis un portefeuille utilisé par le groupe de hackers nord-coréens Lazarus, connu pour ses attaques contre des institutions financières.

Deux de perdues, dix de retrouvées ?

Dans toute cette histoire, il s’avère que Telegram n’en était pas à son coup d’essai concernant Huione et Xinbi. Début 2025, la plateforme avait déjà supprimé plusieurs canaux affiliés à Huione Guarantee, sans grand effet. Les équipes derrière la marketplace avaient anticipé ce type d’intervention et mis en place un système de redirection basé sur des identifiants Telegram encapsulés dans des NFT, échangeables comme des noms de domaine.

Le 13 mai, la messagerie a donc changé de méthode. Cette fois, non seulement les canaux ont été supprimés, mais les identifiants associés ont été bannis. Une mesure plus radicale, destinée à bloquer toute redirection automatique vers des canaux de secours, mais qui n’aura pas eu totalement l’effet escompté. Car si, dans la foulée, Huione a annoncé sa fermeture définitive, les utilisateurs et utilisatrices ont été redirigés vers une autre marketplace du même type, dans laquelle Huione Group avait pris une participation fin 2024. Le message est passé. En quelques jours, l’audience de son remplaçant a bondi de près de 30 %.

Xinbi, de son côté, a promis un retour en force sous le nom de Xinbi 2.0, avec de nouveaux canaux et identifiants. Une relance qui suscite néanmoins des doutes, alors que la fermeture brutale du service et l’absence de communication claire ont nourri les soupçons concernant un possible exit scam, autrement dit la possibilité que les administrateurs aient simplement disparu avec les fonds.

Ce double coup d’arrêt constitue une première à cette échelle, et l’on ne peut nier que Telegram, souvent critiqué pour son absence de modération, a cette fois pris des mesures à la hauteur de la situation. Mais ces fermetures ne règlent pas la question de fond. Les services proposés par Huione et Xinbi restent très demandés, et d’autres marketplaces sont déjà en ordre de marche. Certaines cherchent même à s’affranchir totalement de Telegram en développant leur propre messagerie. Selon Elliptic, Huione aurait d’ailleurs déjà lancé un clone de l’application.

Sources : Elliptic, Reuters