TRM Labs: Cryptomus Secretamente relançado como Heleket para continuar lavando criptomoedas

TRM Labs liga Cryptomus ao Heleket, uma plataforma sombra supostamente criada para continuar lavagem de dinheiro após a penalidade recorde do Canadá $177M .

Uma grande empresa de inteligência blockchain afirma que um processador de pagamento cripto ligado à Rússia realizou um relançamento silencioso.

TRM Labs publicou um relatório detalhado ligando Cryptomus a uma plataforma mais nova chamada Heleket. Segundo a TRM, as duas compartilham infraestrutura, pessoal e clientela ilícita.

A empresa avaliou com alta confiança que os operadores do Cryptomus provavelmente criaram o Heleket para continuar processando transações sem verificações rígidas de identidade. As descobertas pintam um quadro preocupante de como plataformas vinculadas a sanções se adaptam para evitar responsabilização.

Cryptomus Enfrenta Penalidade Recorde no Canadá por Lavagem de Dinheiro

A unidade de inteligência financeira do Canadá, FINTRAC, aplicou uma penalidade recorde de quase CAD 177 milhões ao Cryptomus em outubro de 2025.

Leitura relacionada:

Notícias de Criptomoedas: Canadá multa Cryptomus recorde $126M por violações de AML

A multa citou múltiplas violações das leis de lavagem de dinheiro e financiamento ao terrorismo. Antes da penalidade, o Cryptomus já havia introduzido a verificação obrigatória de identidade em fevereiro de 2025.

A TRM observou que essa medida gerou preocupação imediata entre os usuários e levou a uma queda acentuada no volume.

Dados na cadeia mostraram que os volumes de transações caíram de USD 153 milhões em janeiro de 2025 para USD 86 milhões em março.

Essa queda, argumenta a TRM, abriu espaço para o Heleket. A nova plataforma surgiu exatamente quando o Cryptomus reforçou seus controles. A TRM afirma que esse timing não foi coincidência.

Heleket Mostra Exposição Ilícita Quase Cinco Vezes a Média do Setor

A análise da TRM constatou que a exposição ilícita do Heleket está quase cinco vezes a média observada entre provedores de serviços de pagamento no conjunto de dados da TRM.

Cerca de 60% de seus fluxos ilícitos têm origem na Garantex, uma exchange russa agora fechada que enfrentou sanções dos EUA. Heleket afirmou em documentos de política atualizados que exige documentação de identidade, mas a TRM confirmou que transações ainda eram possíveis sem ela.

Entre janeiro e maio de 2025, a participação do Heleket nos fluxos ilícitos combinados entre ambas as plataformas subiu para mais de 80%.

Nova análise da TRM: Processador de pagamento ligado à Rússia, Cryptomus, provavelmente lançou um serviço paralelo — Heleket — para continuar lavando criptomoedas após a penalidade recorde de CAD 177 milhões do FINTRAC.

A exposição ilícita do Heleket é quase 5x a média dos provedores de serviços de pagamento nos dados da TRM, com 60% de… pic.twitter.com/JHI85pydaR

— TRM Labs (@trmlabs) 20 de abril de 2026

A TRM também rastreou diversos atores de cybercrime movendo-se diretamente do Cryptomus para o Heleket. Esse grupo incluía vendedores de material de abuso sexual infantil e operadores de serviços de cybercrime. A migração ocorreu de perto com a introdução de controles de identidade mais rígidos pelo Cryptomus.

O Heleket afirma operar principalmente dentro da União Europeia. Apesar dessa alegação, o relatório da TRM o coloca firmemente dentro de uma rede mais ampla de evasão de sanções.

A Garantex forneceu os primeiros grandes fluxos de liquidez ao Heleket em janeiro de 2025, o que a TRM disse ser atípico para um serviço regulamentado de forma legítima.

Infraestrutura Compartilhada e Marca Conectam Ambas as Plataformas

Evidências fora da cadeia reforçam as descobertas da TRM na cadeia.

Tanto o Cryptomus quanto o Heleket usam o mesmo registrador de domínios focado em privacidade. Seus sites compartilham elementos de design idênticos e frases raras que não são vistas em outros lugares do setor.

Um exemplo é a frase “definir desconto para método de pagamento,” que a TRM disse aparecer apenas nessas duas plataformas.

Ambos os serviços cobram uma taxa de processamento de 0,4% e usam um método de onboarding incomum chamado “moderação de projeto,” que exige que os usuários descrevam suas atividades comerciais pretendidas. Esse processo não corresponde a nenhuma prática padrão de KYB em finanças regulamentadas.

A TRM também encontrou evidências de pessoal compartilhado, incluindo um administrador provavelmente baseado nos Bálcãs.

Uma postagem de um fórum de tecnologia em março de 2025 observou que os usuários poderiam fazer login no Heleket usando suas credenciais do Cryptomus.

Um administrador do Cryptomus no Telegram reconheceu que as duas entidades tinham “celebrado certos acordos,” embora insistisse que eram distintas.

O relatório da TRM identifica esse padrão como consistente com o que seu Relatório de Crime Cibernético de 2026 chamou de “ano da rebranding russo,” onde ações de fiscalização levam ao lançamento de plataformas paralelas em vez de uma reforma genuína de conformidade.

A Xeltox Enterprises Ltd., a empresa por trás do Cryptomus, está atualmente apelando a multa do FINTRAC.