Đầu năm 2026, thông qua các biện pháp trinh sát sắc bén trên không gian mạng, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã chủ trì, phối hợp với Công an tỉnh Thanh Hóa phát hiện một đường dây phát tán mã độc quy mô toàn cầu. Từ những dấu hiệu ban đầu, lực lượng chức năng nhanh chóng vào cuộc xác minh, làm rõ phương thức, thủ đoạn cũng như cấu trúc hoạt động của các đối tượng liên quan
 |
| Diễn biến chính của đường dây phát tán mã độc xuyên quốc gia do lực lượng chức năng triệt phá. |
Từ đam mê lập trình đến "cha đẻ" của các dòng mã độc
Theo tài liệu điều tra ban đầu, N.V.X (tên nhân vật đã được thay đổi), trú tại phường Hạc Thành, tỉnh Thanh Hóa, hiện là học sinh lớp 12, bắt đầu tiếp cận với lập trình từ khoảng năm 2023. Xuất phát từ mục đích học hỏi, X. tự tìm hiểu các ngôn ngữ như Python và C++ để xây dựng những chương trình tin học cơ bản. Tuy nhiên, trong quá trình nghiên cứu sâu hơn về cấu trúc hệ điều hành và cách lưu trữ dữ liệu, đối tượng đã dần chuyển hướng sang việc khai thác các lỗ hổng, hình thành ý định xây dựng các đoạn mã có khả năng truy cập trái phép vào dữ liệu người dùng.
 |
| Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa tổ chức khám xét nơi cư trú của N.V.X (đã được thay đổi tên). |
Đến năm 2024, X. đã lập trình thành công một bộ mã nguồn có khả năng đánh cắp dữ liệu từ máy tính, trong đó tập trung vào các thông tin lưu trữ trên trình duyệt như cookies đăng nhập, mật khẩu đã lưu, dữ liệu tự động điền cùng nhiều thông tin nhạy cảm khác. Các đoạn mã này sau khi được cài đặt sẽ tự động quét dữ liệu, đóng gói và gửi về máy chủ do đối tượng thiết lập.
Quá trình hoạt động của X. nhanh chóng vượt ra khỏi phạm vi cá nhân khi đến tháng 7/2024, thông qua nền tảng Telegram, đối tượng quen biết Lê Thành Công (sinh năm 1998, trú tại Hà Tĩnh). Từ đây, X. được đặt vấn đề phát triển mã độc nhằm phục vụ việc thu thập thông tin tài khoản người dùng, đặc biệt là các tài khoản Facebook có thể mang lại giá trị kinh tế. Sau khi đạt được thỏa thuận, X. tiến hành lập trình các file mã độc, nén thành dạng ZIP và chuyển cho Công để phát tán. Toàn bộ dữ liệu thu thập được từ máy tính nạn nhân sẽ được tự động chuyển về các hệ thống bot Telegram do nhóm này kiểm soát, cụ thể là các kênh như “STC New Logs”, “STC Notification” và “STC Reset Logs”, nơi các đối tượng dễ dàng theo dõi, tải xuống và phân loại dữ liệu nhằm phục vụ khai thác tiếp theo.
Hình thành mạng lưới tội phạm xuyên quốc gia
Sau một thời gian hợp tác nhưng hiệu quả chưa cao, Lê Thành Công tiếp tục giới thiệu X. cho Phan Xuân Anh (sinh năm 2005, trú tại Nghệ An, sử dụng tài khoản Telegram “Mr Bean”). Từ đây, hoạt động phạm tội được tổ chức bài bản hơn khi Phan Xuân Anh đặt hàng X. phát triển một loại mã độc mới mang tên “PXA Stealers” với khả năng không chỉ đánh cắp dữ liệu mà còn chiếm quyền quản trị máy tính của nạn nhân. Hai bên thống nhất cơ chế chia lợi nhuận, trong đó X. hưởng 15% tổng số tiền thu được từ việc khai thác dữ liệu.
 |
| Đối tượng Phan Xuân Anh. |
Trong đường dây này, X. giữ vai trò lập trình, thường xuyên chỉnh sửa và cập nhật các phiên bản mã độc nhằm vượt qua các lớp bảo vệ của hệ điều hành, trong khi các đối tượng khác đảm nhiệm việc phát tán và khai thác dữ liệu. Để gia tăng khả năng kiểm soát máy tính bị nhiễm, nhóm này còn mua thêm mã nguồn phần mềm điều khiển từ xa Pure RAT để tích hợp vào mã độc. Khi người dùng vô tình mở tệp chứa mã độc, chương trình sẽ tự động cài đặt vào hệ thống, đồng thời kích hoạt phần mềm điều khiển từ xa, cho phép các đối tượng truy cập và thao tác trên máy tính nạn nhân.
Hoạt động của đường dây tiếp tục được mở rộng vào khoảng tháng 11/2024 khi Nguyễn Thành Trường, sử dụng tài khoản Telegram “Adonis”, được giới thiệu tham gia. Trường đã trực tiếp “đặt hàng” X. xây dựng một mã độc riêng mang tên Adonis (AND) với giá 500 USD và cam kết chia lợi nhuận từ 50 đến 100 USDT mỗi lần khai thác dữ liệu thành công. Sau khi hoàn thiện, X. đã chuyển giao mã độc cho Trường để sử dụng vào mục đích vi phạm pháp luật.
Theo cơ quan điều tra, phạm vi ảnh hưởng của đường dây này là rất lớn khi phần lớn các máy tính bị nhiễm mã độc thuộc về người dùng tại nhiều quốc gia ở châu Âu, châu Mỹ và một số nước châu Á. Các đối tượng đã sử dụng nhiều thủ đoạn tinh vi để phát tán mã độc, trong đó chủ yếu là gửi email hàng loạt kèm theo tệp chứa mã độc, đồng thời thu thập hoặc mua lại danh sách địa chỉ email trên các diễn đàn mua bán dữ liệu để mở rộng quy mô tấn công. Các tệp độc hại thường được ngụy trang dưới dạng tài liệu thông thường như file PDF hoặc văn bản, nhưng thực chất là file thực thi có đuôi “.exe”, khiến người dùng dễ nhầm lẫn và kích hoạt.
Sau khi được cài đặt, mã độc hoạt động âm thầm, thu thập hàng loạt thông tin quan trọng như cookies đăng nhập, mật khẩu trình duyệt, dữ liệu tự động điền, địa chỉ IP và các dữ liệu cá nhân khác, rồi gửi về hệ thống điều khiển của các đối tượng. Không dừng lại ở đó, thông qua phần mềm điều khiển từ xa và hệ thống máy chủ ảo (VPS), các đối tượng còn trực tiếp truy cập vào máy tính nạn nhân để chiếm quyền điều khiển và tiếp tục khai thác dữ liệu.
 |
| Vụ án do Đại tá Lê Ngọc Anh, Phó Giám đốc, Thủ trưởng Cơ quan An ninh điều tra Công an tỉnh, trực tiếp chỉ đạo. |
Hơn 94.000 máy tính bị nhiễm, thu lợi hàng chục tỷ đồng
Kết quả điều tra ban đầu cho thấy đã có hơn 94.000 máy tính trên toàn cầu bị nhiễm các loại mã độc do nhóm này phát tán. Từ nguồn dữ liệu đánh cắp được, các đối tượng chủ yếu nhắm tới việc chiếm quyền kiểm soát các tài khoản mạng xã hội, đặc biệt là Facebook, nhằm phục vụ hoạt động chạy quảng cáo hoặc bán lại cho bên thứ ba để thu lợi bất chính. Ngoài ra, các tài khoản này còn được sử dụng để chạy quảng cáo bán hàng trực tuyến trên nền tảng Betamax nhằm hưởng hoa hồng. Bước đầu, cơ quan chức năng xác định tổng số tiền thu lợi bất chính của đường dây này lên tới hàng chục tỷ đồng.
Trước tính chất nghiêm trọng của vụ án, Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã ra quyết định khởi tố vụ án, đồng thời khởi tố 12 bị can liên quan về các tội danh “Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, phần mềm để sử dụng vào mục đích trái pháp luật” theo Điều 285 và “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác” theo Điều 289 Bộ luật Hình sự. Hiện vụ án đang tiếp tục được điều tra mở rộng nhằm làm rõ vai trò của từng đối tượng và xử lý nghiêm theo quy định của pháp luật.
 |
| Tang vật liên quan đến hoạt động lập trình, phát tán mã độc và thu thập dữ liệu người dùng do cơ quan Công an thu giữ. |
Khép lại vụ án, quá trình phát hiện và triệt phá đường dây phát tán mã độc xuyên quốc gia do Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao chủ trì, phối hợp với Công an tỉnh Thanh Hóa thực hiện không chỉ cho thấy quyết tâm đấu tranh với tội phạm công nghệ cao, mà còn gióng lên hồi chuông cảnh báo về những nguy cơ hiện hữu trên không gian mạng. Khi một học sinh trung học cũng có thể trở thành mắt xích quan trọng trong một mạng lưới tội phạm toàn cầu, vấn đề an toàn thông tin và quản lý hoạt động trên môi trường số càng trở nên cấp thiết hơn bao giờ hết.
Lệ Thanh (ảnh: conganthanhhoa.gov.vn)