Las autoridades en Europa han interrumpido Audi A6un servicio de lavado de criptomonedas utilizado por bandas de ransomware y redes de ciberdelincuentes.
Europol, en un comunicado emitido el jueves, dijo que el desmantelamiento del AudiA6 cortó un “canal financiero clave utilizado para lavar cientos de millones en ganancias ilícitas”. Se estima que el servicio se ha utilizado para blanquear más de 336 millones de euros (~389 millones de dólares) desde su lanzamiento en 2021.
“La plataforma se convirtió en un centro central para los actores de ransomware y ciberdelincuentes que buscaban retirar activos digitales robados mientras ocultaban el rastro del dinero a las autoridades”, añadió la agencia.
Se sospecha que los operadores de AudiA6 también administraron un foro de cibercrimen en la web oscura conocido como Dark2Web, donde los ciberdelincuentes anunciaban servicios ilícitos y se conectaban con otros actores de amenazas en todo el mundo.
Como parte del operativo que tuvo lugar el 10 de junio de 2026, se llevaron a cabo una serie de acciones coordinadas, entre ellas:
- Detención de dos presuntos administradores de nacionalidad ucraniana y rusa en Georgia
- Tres búsquedas de propiedades
- Eliminación de 25 dominios e incautación de más de 30 servidores
- Incautación de más de 80 vehículos y múltiples propiedades en Georgia
- Congelación de activos de criptomonedas por valor de 692.000 euros (798.000 dólares) e incautación de 86.000 euros (99.400 dólares) en criptomonedas
- Bloquear cuentas de Telegram utilizadas por la red
- Reemplazo de los sitios web de la web clara y la web oscura de AudiA6 y Dark2Web con un cartel de incautación policial
Al mismo tiempo, el Departamento de Justicia de Estados Unidos (DoJ) anunció cargos contra los dos individuos arrestados, Ruslan Igorevich Tkachuk, de 37 años, y Alexander Vladimirovich Ledenev, de 25, acusándolos de un cargo de conspiración para lavar instrumentos monetarios y un cargo de lavado de dinero encubierto. De ser declarados culpables, ambos se enfrentan a una pena máxima posible de 20 años de prisión.
“De los aproximadamente 10.333 bitcoins depositados, aproximadamente 393,39 BTC (valorados en alrededor de 19.234.331 dólares en el momento de las transacciones) se recibieron directamente de conocidos mercados de la red oscura, organizaciones de ransomware, servicios de cibercrimen y otras fuentes ilícitas, mientras que se depositaron fondos adicionales indirectamente de fuentes ilícitas en carteras AudiA6”, dijo el Departamento de Justicia.
Europol dijo que la represión fue el resultado de una acción coercitiva anterior llevada a cabo por la policía polaca que condujo al arresto de un ciudadano ucraniano en septiembre de 2025 por su presunta participación en actividades de lavado de dinero relacionadas con el grupo AudiA6.
Esto permitió a las autoridades iniciar un examen forense de los dispositivos electrónicos incautados pertenecientes al sospechoso e identificar a personas adicionales vinculadas a la operación.
AudiA6 ha sido descrita como una operación de lavado de criptomonedas a escala industrial que se basó en miles de cuentas de intercambio fraudulentas abiertas utilizando identidades robadas o compradas. El servicio criminal ha sido vinculado a más de 15 investigaciones en todo el mundo relacionadas con ataques de ransomware y robo de criptomonedas a gran escala.
Antes de su disrupción, AudiA6 se comercializaba como un servicio de mezcla de criptomonedas que garantizaba anonimato y velocidad. Permitía a los clientes transferir sus ganancias obtenidas ilícitamente a billeteras controladas por el grupo y recibían a cambio fondos “limpios” en una hora a través de una “compleja cadena de transacciones” diseñada para ocultar el origen de los fondos.
Estas transacciones se realizaron a través de plataformas de mensajería privadas, y los operadores cobraban comisiones que oscilaban entre el 3 y el 10 por ciento.
“Durante la investigación se identificaron más de 6.000 registros de Conozca a su Cliente (KYC) vinculados a cuentas de mulas de dinero”, dijo Europol. “Muchas de las cuentas de las mulas estaban conectadas a intermediarios de habla rusa reclutados específicamente para ayudar a mover ganancias criminales a través de intercambios de criptomonedas”.
También se dice que AudiA6 dependió tanto de proveedores de correo electrónico comerciales como de direcciones de correo electrónico vinculadas a dominios bajo su control para registrar cuentas de mulas de dinero en varios intercambios de criptomonedas. Los nombres de los dominios se enumeran a continuación:
- designli.fotos
- pheontx.eu
- smplfy.in
- sumato-soft.org
- technobrains.dev
- lett.correo electrónico
- trayo.aplicación
- entregando.arriba
- bandeja de entrada.arriba
- postfast.eu
- postino.hacer clic
- agenciainboxally.agency
- mailora.eu
- postify.correo electrónico
- quix.express
- flowcomm.hacer clic
- qube.negro
- entregarlett.com
- cartacorreo.eu
En un informe publicado en noviembre de 2021, Intel 471 reveló que AudiA6 requería un saldo mínimo de 27 bitcoins y que cobraba una tarifa fija de servicio de entre el 3 y el 5,5 por ciento. En diciembre de 2025, un análisis de TRM Labs encontró que los fondos robados del hack de LastPass de 2022 se enrutaron a través de Cryptex y AudiA6.
La investigación fue llevada a cabo por el Servicio Secreto de los Estados Unidos y la Investigación Criminal del IRS, junto con la policía polaca y socios encargados de hacer cumplir la ley de Australia, Canadá, Francia, Georgia, Alemania, Islandia, Japón, Suiza y el Reino Unido.
Los hallazgos ilustran el aumento de los servicios de lavado de criptomonedas a escala industrial que permiten la economía del cibercrimen, así como el uso de cuentas de cambio fraudulentas, billeteras mula y herramientas centradas en la privacidad diseñadas para encubrir el rastro del dinero y eludir los controles contra el lavado de dinero.
“Los grupos de ransomware y las redes cibercriminales dependen cada vez más de intercambios descentralizados y plataformas de ‘mezclador como servicio’ para mover criptomonedas ilícitas a través de múltiples cadenas de bloques en cuestión de minutos, ayudando a que las ganancias criminales desaparezcan en el subsuelo digital”, dijo Europol.
