Nice Lizhi — страшный сон IT-компаний: похищает $200 млн и троллит американские санкции через соцсети

В мае 2025 года власти США ввели экономические ограничения против гражданина Китая, обвинённого в создании облачной платформы, связанной с подавляющим большинством сайтов, участвующих в мошеннических схемах с инвестициями в криптовалюту, о которых сообщалось в ФБР. Однако, как показал новый доклад, несмотря на санкции, обвиняемый продолжает активно использовать аккаунты в американских технологических компаниях, включая Facebook*, GitHub, PayPal и X**.

29 мая Министерство финансов США объявило о санкциях против Funnull Technology Inc., зарегистрированной на Филиппинах. Компания, по данным ведомства, предоставляла техническую инфраструктуру для сотен тысяч сайтов, связанных с мошенничеством под названием «свинское откармливание» (pig butchering). Ещё в январе 2025 года расследование показало, что Funnull фактически представляет собой сеть доставки контента, предназначенную для иностранных киберпреступников, которые хотят направлять трафик через американские облачные сервисы.

Вместе с компанией под ограничения попал её предполагаемый владелец — 40-летний гражданин Китая Лю Личжи, также известный под псевдонимами «XXL4» и «Nice Lizhi». По данным американских властей, через Funnull он помогал организовать финансовые схемы, приведшие к потерям более 200 миллионов долларов у граждан США. Операции компании связывают с большинством мошенничеств по типу pig butchering , зафиксированных ФБР.

Хотя по закону американским компаниям запрещено вести дела с лицами, находящимися под санкциями Минфина, на практике это правило часто игнорируется. В случае с Лю Личжи это особенно наглядно: аккаунты в крупнейших IT-компаниях продолжали существовать даже после официального внесения его в санкционный список.

Одним из таких аккаунтов был его профиль в LinkedIn, существующий 17 лет под именем «Liulizhi». В профиле даже была указана дата рождения Личжи — 13 ноября 1984 года. Однако после запроса комментариев, профиль был удалён. Представители LinkedIn заявили , что в соответствии с внутренней политикой компания не предоставляет платные услуги и аккаунты лицам и организациям, находящимся под санкциями США, однако не уточнили, был ли профиль Личжи платным или бесплатным.

При этом его аккаунт PayPal под именем Liu Lizhi и никнеймом «@nicelizhi», также упомянутым в санкциях, продолжает функционировать. На запросы PayPal журналисты ответа не получили. Активным остаётся и 15-летний аккаунт в X под именем «Lizhi», хотя он давно не обновлялся и имеет мало подписчиков.

Специалисты Silent Push, которая отслеживает деятельность Funnull уже почти год, выявили , что Личжи также управляет множеством аккаунтов и групп в Facebook, включая личный профиль и страницу о туризме в китайском городе Ганьчжоу под названием «EnjoyGanzhou», фигурирующую в документах Минфина США. Личжи играет ключевую роль как технический администратор инфраструктуры, поддерживающей большинство мошеннических сайтов, нацеленных на американцев, что привело к потерям в сотни миллионов долларов. При этом крупнейшие IT-компании, по его словам, практически ничего не сделали, чтобы пресечь его деятельность.

Статистика ФБР подтверждает масштаб проблемы: в 2024 году в ведомство поступило около 150 тысяч жалоб, связанных с цифровыми активами, а общие убытки превысили 9,3 миллиарда долларов — это на 66% больше, чем годом ранее. Наибольшую часть из них составили инвестиционные мошенничества, на которых потеряно около 5,8 миллиарда долларов.

Представители Meta* сообщили, что компания предпринимает меры для соблюдения юридических требований, однако отметили, что санкционные ограничения сложны и неоднородны. В итоге Meta подтвердила, что профиль Личжи, а также страницы, группы и мероприятия, связанные с ним, были удалены за нарушение правил.

Попытки связаться с Личжи через его основные электронные адреса на Hotmail и Gmail оказались безуспешными — письма возвращаются как недоставленные. Также удалён его 14-летний канал на YouTube.

Тем не менее, его активность сохраняется на GitHub, где до сих пор доступны более 140 репозиториев программного кода, зарегистрированных на никнеймы NiceLizhi и XXL4, упомянутые в санкциях. Среди них — страница проекта NexaMerchant, позиционируемого как платформа для электронных платежей, совместимая с американскими финансовыми организациями. Примечательно, что все подписчики этого профиля — это, предположительно, другие аккаунты самого Личжи, которые уже помечены как заблокированные, хотя на их страницах такой информации нет.

В GitHub пояснили, что придерживаются процедуры блокировки аккаунтов лиц из санкционных списков, но при этом сохраняют открытый доступ к их публичным репозиториям. Политика компании гласит, что это необходимо для поддержки сообщества разработчиков, включая тех, кто находится в странах с ограничениями.

По мнению специлаистов, подобный подход лишь усложняет задачу выявления рисков: формальная блокировка не сопровождается явными предупреждениями о санкционном статусе владельца аккаунта и о том, что использовать его код опасно.

Юристы отмечают, что финансовые учреждения давно наладили системы проверки санкционных списков Минфина США, в то время как технологические компании гораздо менее активны в этом направлении, особенно в отношении бесплатных аккаунтов.

Летом 2024 года Funnull приобрела домен polyfill[.]io, ранее принадлежавший авторитетному проекту для поддержки старых браузеров. После этого более 384 тысяч сайтов оказались втянуты в цепочку атак, перенаправлявших посетителей на мошеннические и игровые ресурсы, некоторые из которых связаны с отмыванием денег китайскими криминальными группировками.

Министерство финансов США заявило, что Funnull активно использует доменные генераторы — программы, создающие сотни уникальных, но схожих доменных имён, что позволяет мошенникам быстро менять сайты и IP-адреса при блокировках. Компания также продаёт шаблоны сайтов, которые упрощают подделку известных брендов и разработку мошеннических ресурсов.

Сейчас, как отмечают специалисты, Funnull активно перестраивает свою деятельность, усиливая маскировку инфраструктуры. Если ранее компания использовала около 60 доменов для сокрытия трафика, то сейчас их количество существенно выросло. Это усложняет отслеживание и демонтаж мошеннической инфраструктуры, а специалисты призывают технологические компании более жёстко контролировать деятельность таких структур.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

** Социальная сеть запрещена на территории Российской Федерации.