TRM Labs : Cryptomus relancé secrètement sous le nom de Heleket pour continuer à blanchir des cryptos

TRM Labs relie Cryptomus à Heleket, une plateforme fantôme prétendument créée pour poursuivre le blanchiment de crypto après la pénalité record $177M du Canada.

Une grande société d’intelligence blockchain affirme qu’un processeur de paiement crypto lié à la Russie a effectué un relancement discret.

TRM Labs a publié un rapport détaillé reliant Cryptomus à une plateforme plus récente appelée Heleket. Selon TRM, les deux partagent infrastructure, personnel et clientèle illicite.

L’entreprise a évalué avec une grande confiance que les opérateurs de Cryptomus ont probablement créé Heleket pour continuer à traiter des transactions sans vérifications strictes d’identité. Les conclusions dressent un tableau inquiétant de la façon dont les plateformes liées à des sanctions s’adaptent pour éviter la responsabilité.

Cryptomus fait face à une pénalité record au Canada pour blanchiment d’argent

L’unité d’intelligence financière du Canada, FINTRAC, a infligé à Cryptomus une amende record de près de 177 millions CAD en octobre 2025.

Lecture connexe :

Actualités crypto : Le Canada inflige une amende record à Cryptomus $126M pour violations AML

L’amende citait plusieurs violations des lois sur le blanchiment d’argent et le financement du terrorisme. Avant que la pénalité ne soit appliquée, Cryptomus avait déjà introduit la vérification d’identité obligatoire en février 2025.

TRM a noté que cette démarche a suscité une inquiétude immédiate parmi les utilisateurs et a entraîné une forte baisse du volume.

Les données en chaîne ont montré que le volume des transactions est passé de 153 millions USD en janvier 2025 à 86 millions USD en mars.

Cette baisse, argue TRM, a ouvert la voie à Heleket. La nouvelle plateforme a émergé juste au moment où Cryptomus renforçait ses contrôles. TRM affirme que ce timing n’est pas une coïncidence.

Heleket montre une exposition illicite presque cinq fois supérieure à la moyenne du secteur

L’analyse de TRM a révélé que l’exposition illicite d’Heleket est presque cinq fois supérieure à la moyenne observée chez les prestataires de services de paiement dans l’ensemble des données de TRM.

Environ 60 % de ses flux illicites proviennent de Garantex, une plateforme russe désormais fermée qui faisait face à des sanctions américaines. Heleket a déclaré dans des documents de politique mis à jour qu’elle exigeait une documentation d’identité, mais TRM a confirmé que des transactions étaient toujours possibles sans cela.

Entre janvier et mai 2025, la part d’Heleket dans les flux illicites combinés des deux plateformes a dépassé 80 %.

Nouvelle analyse de TRM : Le processeur de paiement lié à la Russie Cryptomus aurait lancé un service parallèle — Heleket — pour continuer à blanchir de la crypto après la pénalité record de 177 millions CAD de FINTRAC.

L’exposition illicite d’Heleket est presque 5 fois supérieure à la moyenne des prestataires de services de paiement dans les données de TRM, avec 60 % de… pic.twitter.com/JHI85pydaR

— TRM Labs (@trmlabs) 20 avril 2026

TRM a également suivi de nombreux acteurs de la cybercriminalité passant directement de Cryptomus à Heleket. Ce groupe comprenait des vendeurs de matériel d’abus sexuel sur enfants et des opérateurs de services de cybercriminalité. La migration s’est produite peu après l’introduction par Cryptomus de contrôles d’identité plus stricts.

Heleket affirme opérer principalement au sein de l’Union européenne. Malgré cette affirmation, le rapport de TRM le place fermement dans un réseau plus large d’évasion des sanctions.

Garantex a fourni à Heleket ses premiers flux importants de liquidités en janvier 2025, ce que TRM a qualifié d’atypique pour un service légitimement réglementé.

Une infrastructure partagée et une identité de marque unissent les deux plateformes

Les preuves hors chaîne renforcent les conclusions de TRM en chaîne.

Cryptomus et Heleket utilisent le même registrar de domaine axé sur la confidentialité. Leurs sites web partagent des éléments de design identiques et des formulations rares, non vues ailleurs dans l’industrie.

Un exemple est la phrase « définir la remise sur le mode de paiement », qui, selon TRM, n’apparaît que sur ces deux plateformes.

Les deux services facturent des frais de traitement de 0,4 % identiques et utilisent une méthode d’intégration inhabituelle appelée « modération de projet », qui oblige les utilisateurs à décrire leurs activités commerciales prévues. Ce processus ne correspond à aucune pratique standard de KYB dans la finance réglementée.

TRM a également trouvé des preuves de personnel partagé, dont un administrateur probablement basé dans les pays baltes.

Un message d’un forum technologique de mars 2025 indiquait que les utilisateurs pouvaient se connecter à Heleket en utilisant leurs identifiants Cryptomus.

Un administrateur de Cryptomus sur Telegram a reconnu que les deux entités avaient « conclu certains accords », tout en insistant sur leur distinction.

Le rapport de TRM identifie ce schéma comme étant cohérent avec ce que son rapport sur la cybercriminalité crypto de 2026 a appelé « l’année du rebranding russe », où une action de répression entraîne le lancement de plateformes parallèles plutôt qu’une véritable réforme de conformité.

Xeltox Enterprises Ltd., la société derrière Cryptomus, fait actuellement appel de la pénalité de FINTRAC.