撰文：Bitrace

Safew 是一款主要功能类似 Telegram 的隐私通讯软件，基于 Telegram 的加密技术（MTProto 协议），消息、语音、视频、文件在传输过程中全程加密，只有聊天双方能看到内容，服务器无法读取。部分企业出于隐私考量甚至会进一步通过私有化部署的形式，完全控制数据或逃避合规审查。

由于 Telegram 日渐频繁的执法协作与社群封禁，当前东南亚最大的非法加密货币交易担保平台——新币担保，正在尝试将 Telegram 公群商家迁移至 Safew，也因此导致了假 Safew 应用的泛滥，对以公群商家为主的黑灰产从业者的加密资金安全构成威胁。

本文旨在对这一黑吃黑态势进行部分披露。

时间线

北京时间 2025 年 5 月 13 日，彼时东南亚最大的两家非法加密货币交易平台好旺担保与新币担保，同时遭到来自 Telegram 官方的制裁，两家实体大量官方客服账号与业务公群被直接封禁，导致业务短期内停摆，并造成黑灰产圈大范围恐慌。

两家实体对此做出了不同的应对方式——

5 月 13 日当天上午，好旺担保宣布停止经营并将所有公群业务交付给土豆担保，后者系好旺担保早前注资 30%的关联实体。通过名义上倒闭的形式，好旺担保实现金蝉脱壳，品牌更新为土豆担保，继续经营其非法业务。

5 月 14 日，新币担保更新其官网 xinbi[.]com 首页内容，宣布正式启用 Safew 公群以规避 Telegram 对其非法业务公群的封禁。尽管官网内容已经失效，但使用网页存档工具仍能够看到蛛丝马迹。

随即黑灰产社区开始出现声讨新币担保推出 Safew 旨在盗取用户加密资产的声音，这类负面讨论在 2026 年初土豆担保彻底倒闭，新币担保加速公群迁移速度后达到最大。

仿冒 Safew 网站频出

尽管新币担保一再强调 Safew 的正确下载地址，并宣称软件已经上架 IOS 应用市场，仍有假Safew团伙大量制作仿冒的非官方下载网站，并污染搜索引擎关键词进行推广。

以非官方链接 safew-x[.]com 为例。使用ANY.RUN在线安全沙箱检测工具对样本（下载链接）进行分析时，检测到恶意行为。

样本执行后释放Gh0stRAT SweetSpecter 变种（全功能远程访问木马），并与 C2 服务器建立命令与控制通信，触发以下 Emerging Threats 规则：

• ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

• ET DROP Spamhaus DROP Listed Traffic Inbound group 2

该变种具备远程桌面、键盘记录、文件窃取等能力，目标设备感染后，攻击者可实现对受感染主机的完全远程控制，包括实时远程桌面、键盘记录、摄像头/麦克风监控、文件窃取与外传、任意命令执行以及进一步部署恶意工具。一旦感染，威胁行为者能够长期隐蔽驻留并窃取敏感数据。判定为高危远程访问木马（RAT）。

而对大量使用加密货币钱包进行黑灰业务的公群商家与用户而言，这类恶意软件的目标显然是设备中存放的钱包私钥。

新币担保 Safew 公群业务分析

Bitrace 长期对新币担保进行资金活动监测，针对 Safew 公群上押地址的调查显示，尽管新币担保在 2025 年 5 月就推出了 Safew 公群，但当年 8 月才为这一服务分配了独立的业务地址，并且业务规模较低并逐月降低。

直到 2025 年底至 2026 年初汇旺支付与土豆担保相继倒闭，新币担保大力推广其 Safew 公群业务，地址活动才有所上升，于 2026 年 1 月短暂实现月度资金流入超 3200 万 USDT，随后逐月降低。

在对新币担保所有上押地址进行统计后，发现 Safew 渠道一个月的上押规模仅相当于 Telegram 渠道一天，表明当前 Telegram 仍然是新币担保黑灰产公群商家的首选。

写在最后

事实上，针对黑灰产从业者的黑吃黑现象十分频繁，从假钱包到假 Telegram，再从线下扳手攻击到线上社会工程学，游离在法律规则之外的这一群体正在成为攻击目标。

在土豆担保倒闭后，新币担保已经成为东南亚最大的非法加密货币交易担保平台。这次针对 Safew 公群商家的钓鱼活动并非开始，也远未结束。

Bitrace 将持续保持监测。