Cơ quan chức năng vừa triệt phá một đường dây phát tán mã độc quy mô lớn hoạt động trên không gian mạng, khiến hàng chục nghìn máy tính trên thế giới bị xâm nhập và đánh cắp dữ liệu. Điều đáng chú ý là người trực tiếp lập trình mã độc lại là một học sinh lớp 12 tại Thanh Hóa.
Ngày 25/3, thông tin từ Công an tỉnh Thanh Hóa cho biết Cơ quan An ninh điều tra đã ra quyết định khởi tố vụ án, đồng thời khởi tố 12 bị can liên quan đến hành vi sản xuất, phát tán phần mềm độc hại và xâm nhập trái phép vào hệ thống máy tính. Trong số các đối tượng có một học sinh lớp 12 được xác định là người trực tiếp viết và phát triển các dòng mã độc dùng để tấn công người dùng Internet.
Quảng Cáo
Theo kết quả điều tra ban đầu, vào đầu năm 2026, lực lượng an ninh mạng thuộc Bộ Công an phối hợp với Công an tỉnh Thanh Hóa phát hiện dấu hiệu bất thường của một nhóm đối tượng chuyên phát tán phần mềm độc hại nhằm đánh cắp dữ liệu người dùng trên phạm vi toàn cầu. Qua quá trình xác minh, các đối tượng tổ chức hoạt động theo mô hình khép kín, phân chia nhiệm vụ rõ ràng từ lập trình, phát tán cho đến khai thác dữ liệu thu được.
Quảng Cáo
Người được xác định trực tiếp viết mã độc là N.V.X., trú tại phường Hạc Thành (Thanh Hóa), hiện đang là học sinh lớp 12. Ban đầu, X. tự học lập trình với các ngôn ngữ phổ biến như Python và C++ để phục vụ việc nghiên cứu cá nhân. Tuy nhiên, trong quá trình tìm hiểu sâu hơn về hệ điều hành và cơ chế lưu trữ dữ liệu, đối tượng đã phát triển các đoạn mã có khả năng truy cập trái phép vào máy tính người dùng nhằm thu thập thông tin nhạy cảm như cookie trình duyệt, mật khẩu lưu trữ và dữ liệu tự động điền.
Đến năm 2024, bộ mã độc do X. phát triển đã được hoàn thiện với khả năng vượt qua một số lớp bảo vệ cơ bản của hệ thống máy tính và tự động gửi dữ liệu đánh cắp về máy chủ điều khiển. Thông qua nền tảng nhắn tin Telegram, X. quen biết một đối tượng tên Lê Thành Công (trú tại Hà Tĩnh) và bắt đầu hợp tác phát triển, phát tán mã độc nhằm chiếm đoạt các tài khoản có giá trị, đặc biệt là tài khoản Facebook phục vụ mục đích kinh doanh, quảng cáo.
Sau đó, X. tiếp tục hợp tác với Phan Xuân Anh (Nghệ An) để phát triển một dòng mã độc mới mang tên “PXA Stealers”. Theo thỏa thuận, X. đảm nhiệm vai trò lập trình và cập nhật mã độc, được hưởng khoảng 15% lợi nhuận từ hoạt động khai thác dữ liệu. Các đối tượng còn lại chịu trách nhiệm phát tán mã độc và sử dụng dữ liệu thu được để chiếm quyền kiểm soát tài khoản hoặc bán lại trên các diễn đàn ngầm.
ADS
Không dừng lại ở đó, nhóm này còn tích hợp phần mềm điều khiển máy tính từ xa mang tên “Pure RAT” vào mã độc, cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn thiết bị của nạn nhân. Thông qua đó, các đối tượng có thể tiếp tục thu thập thêm thông tin cá nhân, dữ liệu tài khoản và nhiều nội dung quan trọng khác.
Cơ quan điều tra xác định X. còn nhận “đặt hàng” từ một đối tượng khác là Nguyễn Thành Trường để phát triển một dòng mã độc mới mang tên “Adonis”. Đổi lại, X. nhận khoản thù lao ban đầu 500 USD cùng phần trăm lợi nhuận từ việc khai thác dữ liệu sau đó. Các phiên bản mã độc liên tục được cập nhật để vượt qua các hệ thống bảo mật và mở rộng phạm vi lây nhiễm.
ADS
Thủ đoạn phát tán chủ yếu của nhóm này là gửi hàng loạt email kèm theo tệp đính kèm chứa mã độc. Các tệp tin được ngụy trang dưới dạng tài liệu thông thường như file PDF hoặc văn bản, nhưng thực chất là các file thực thi. Khi người dùng mở tệp, mã độc sẽ tự động cài đặt vào máy tính và hoạt động âm thầm, thu thập dữ liệu rồi gửi về hệ thống máy chủ hoặc kênh quản lý do nhóm đối tượng thiết lập.
Ngoài ra, các đối tượng còn sử dụng danh sách email được mua từ nhiều diễn đàn dữ liệu trên Internet để mở rộng phạm vi tấn công. Kết quả điều tra cho thấy hơn 94.000 máy tính tại nhiều quốc gia, chủ yếu ở châu Âu, châu Mỹ và một số nước châu Á, đã bị lây nhiễm mã độc do nhóm này phát tán.
Dữ liệu thu thập được sau đó được sử dụng để chiếm quyền kiểm soát tài khoản mạng xã hội, phục vụ hoạt động chạy quảng cáo trực tuyến, lừa đảo hoặc bán lại cho các đối tượng khác trên thị trường ngầm. Tổng số tiền thu lợi bất chính từ hoạt động này được ước tính lên tới hàng chục tỷ đồng.
Hiện vụ án đang được Công an tỉnh Thanh Hóa tiếp tục điều tra, mở rộng để làm rõ vai trò của từng đối tượng cũng như truy vết toàn bộ hệ thống máy chủ và các tài khoản liên quan đến đường dây phát tán mã độc xuyên quốc gia này.
Thanh Chúc ( SKV 8:52 Ngày 25/3/2026 )