Pesquisadores da Infoblox revelaram que um framework chinês de desenvolvimento legítimo, o DCloud Uni-App, serve de base técnica para pelo menos 236 mil domínios de golpe no mundo inteiro — incluindo falsas corretoras de criptomoedas, phishing pelo WhatsApp e esquemas de investimento em português. O escopo do problema é absurdo: a mesma ferramenta que desenvolvedores honestos usam para criar aplicativos está sendo explorada em escala industrial por cibercriminosos que clonam golpes em minutos e os distribuem em dezenas de idiomas.
O que é o DCloud Uni-App
O DCloud Uni-App é um framework de código aberto sediado em Pequim que permite escrever uma única base de código Vue.js e publicar simultaneamente como aplicativo mobile, desktop e site otimizado para celular. Funciona como o React Native ou o Flutter — e é amplamente utilizado na China por milhares de empresas legítimas. A DCloud mantém um ecossistema ativo de desenvolvedores e não há qualquer indício de envolvimento da empresa com as atividades fraudulentas. O problema é que o framework deixa assinaturas técnicas reconhecíveis em cada projeto construído com ele — da mesma forma que todo site WordPress compartilha certos caminhos de arquivo. Criminosos descobriram como replicar esses templates de forma automatizada, criando uma linha de produção de golpes prontos para deploy.
RainbowEx: o caso que explodiu
Em 2024, uma pequena cidade argentina chamada San Pedro virou notícia mundial quando cerca de 20% da população — incluindo o chefe de polícia e vereadores — descobriu que a plataforma de criptomoedas RainbowEx era um golpe coordenado. A corretora exibia atividade de trading falsa, recebia depósitos em stablecoins e bloqueava saques assim que o volume de investimentos atingia determinado patamar. O caso foi coberto pelo The New York Times e por veículos da América Latina, chocando pela dimensão do engano coletivo. A investigação da Infoblox mostrou que o RainbowEx não era um golpe artesanal: toda a interface gráfica, o fluxo de registro, o dashboard de trading, os alertas de preço via Telegram e o sistema de “convites exclusivos” foram construídos usando o DCloud Uni-App. Era um template pronto para copiar e colar.
236 mil domínios, um único DNA
A pesquisa da Infoblox identificou pelo menos 236.493 domínios de segundo nível ligados à infraestrutura de golpes usando o framework DCloud. O registro começou em meados de 2022, com uma aceleração acentuada depois da exposição do RainbowEx em outubro de 2024: o pico chegou a cerca de 15 mil novos sites fraudulentos por mês. O interesse midiático, ao invés de frear os criminosos, parece ter funcionado como propaganda do próprio template dentro da comunidade de operadores de golpes.
Esses domínios cobrem uma ampla variedade de fraudes: falsas corretoras de criptomoedas com nomes que imitam bolsas reais como HKEX e Nasdaq, sites de phishing do WhatsApp, golpes de “pig-butchering” multilíngues, plataformas falsas de apostas, drainers de carteiras cripto que se passam por fluxos de verificação da BNB Chain, e sites de impostores de marcas conhecidas. Grande parte dessa infraestrutura é hospedada em serviços legítimos e populares como Cloudflare, Alibaba Cloud, Tencent Cloud e AWS, o que permite que os golpes se misturem ao tráfego normal sem levantar suspeitas dos provedores.
Como os golpes funcionam
O esquema típico segue um padrão bem definido e repetido em milhares de domínios. A vítima é atraída por um link de investimento “exclusivo” — muitas vezes via WhatsApp ou Telegram, enviado por alguém da sua rede social. Ao acessar o site, vê uma interface profissional imitando uma corretora legítima, com gráficos animados, depoimentos de supostos investidores e promessas de retornos elevados. O app solicita um “código de convite”, direciona a vítima para chats fora da plataforma — quase sempre no Telegram — e, assim que o depósito em criptomoeda é feito, o saldo aparece inflado com ganhos fictícios gerados pelo sistema.
A retirada é bloqueada sob pretextos variados: taxa de liberação, verificação de identidade, problemas técnicos no blockchain ou exigência de depósitos adicionais. A Infoblox observou que os operadores exploram dinâmicas de recrutamento entre amigos — “traga seu colega e ganhe bônus” — e chegam a abrir lojas físicas para dar credibilidade presencial ao esquema. É o caso da Lightning Shared Scooter Co., que prometia renda passiva com patinetes compartilhados nos EUA e provavelmente causou prejuízos na casa dos milhões de dólares. Uma operação similar, a Yuechi Sharing Technology, permanece ativa na Austrália, Nova Zelândia e EUA com documentos de registro aparentemente legítimos.
O perigo para brasileiros
O dado mais preocupante do relatório é a natureza deliberadamente multilíngue dos golpes. Os sites são construídos em mandarim, espanhol, português e inglês — quatro dos cinco idiomas mais falados no mundo. Para o Brasil, isso significa que os mesmos templates que enganaram uma cidade inteira na Argentina podem ser replicados para o público brasileiro com alterações superficiais. Os criminosos adaptam os canais de comunicação para os mais usados no país — WhatsApp e Telegram — e até personalizam os TLDs e o registro de domínios para parecerem locais.
A Infoblox detectou mais de 5 milhões de consultas DNS empresariais a domínios de golpes DCloud, o que demonstra que o problema ultrapassa o consumidor final. Funcionários acessam esses sites em dispositivos pessoais conectados à VPN da empresa, transformando fraudes de consumidor em incidentes de segurança corporativa. Os fingerprints técnicos do framework permitem que equipes de segurança identifiquem e bloqueiem novos sites do mesmo ecossistema antes que atinjam as vítimas — mas é preciso que as organizações saibam o que procurar.
Como se proteger
A regra fundamental é desconfiar de qualquer plataforma de investimento que chegue via link direto no WhatsApp ou Telegram, especialmente se exigir convite, mencionar “renda passiva” ou pedir depósito em criptomoeda para um endereço fornecido pelo próprio app. Verifique sempre o registro do domínio — golpes DCloud tendem a usar extensões baratas como .top, .cc, .cyou e .vip, que custam centavos e permitem registro em massa. Nunca envie cripto para endereços indicados por terceiros em grupos de chat. Se a corretora não aparece em listas regulatórias oficiais como o Banco Central ou a CVM, desconfie. Para equipes de segurança, o bloqueio no nível de DNS dos domínios identificados pela Infoblox e o monitoramento de consultas a TLDs associados ao framework são camadas de defesa viáveis contra esse tipo de ameaça em escala.
Referências
- Infoblox — DCloud Uni-App: One Framework, 236,000+ Scam Sites (junho 2026)
- SecurityWeek — Chinese Framework Powers 200,000 Scam Sites (junho 2026)
- GBHackers — DCloud Uni-App Framework Powers 236,000+ Scam Domains (junho 2026)
- eSecurityPlanet — Chinese Framework Linked to Global Scam Infrastructure (junho 2026)