Đường dây phát tán mã độc toàn cầu do học sinh lớp 12 cầm đầu
Được biết, qua công tác nắm tình hình, đấu tranh với các loại tội phạm trên không gian mạng, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao phát hiện một đường dây sử dụng mã độc xâm nhập hệ thống máy tính, phương tiện điện tử của nhiều quốc gia như Ấn Độ, Thụy Điển, Đan Mạch, Malaysia... Qua phân tích, phát hiện trong mã nguồn của mã độc, nghi ngờ của người Việt Nam nên đã tiến hành xác minh, thu thập, đánh giá thông tin trên không gian mạng, phát hiện số lượng lớn tập tin nén (.ZIP) mồi nhử phát tán mã độc PXA Stealer được người dùng trên thế giới báo cáo.
Các mẫu mã độc PXA Stealer được lưu trữ trên các trang web hợp pháp đã bị tin tặc chiếm quyền kiểm soát hoặc lưu trữ trên nền tảng lưu trữ và quản lý mã nguồn (Github); đồng thời, phát hiện các mẫu mã độc PXA Stealer không chỉ được sản xuất, phát tán bởi một cá nhân mà còn có sự tham gia của nhiều tin tặc trong nước, cầm đầu đường dây là đối tượng trú tại tỉnh Thanh Hóa và một mạng lưới đồng phạm trải dài trên nhiều tỉnh, thành phố như Hà Nội, Nghệ An, Hà Tĩnh…
Trên cơ sở đó, các đơn vị đã xác lập Chuyên án đấu tranh và xác định, đối tượng sản xuất ra mã độc là N.V.X (tên đối tượng đã được thay đổi), hiện là học sinh cư trú trên địa bàn phường Hạc Thành, tỉnh Thanh Hóa. Với đam mê lập trình, từ năm 2023, X tự tìm hiểu và học về các ngôn ngữ lập trình nhằm tạo ra mã độc của riêng mình phục vụ mục đích nghiên cứu. Đến năm 2024, X đã tạo ra được file code để thực thi mã độc mà không bị các phần mềm bảo vệ hệ điều hành nhận diện và phát hiện ngăn chặn (trên hệ điều hành Window).
Sau khi tạo lập được mã độc, thông qua mạng xã hội Telegram, N.V.X đã quen biết và móc nối với 3 đối tượng gồm Lê Thành Công (Sinh năm 2004, trú tại xóm Tiên Lý, xã Vân Tụ, tỉnh Nghệ An), Phan Xuân Anh (Sinh năm 2005, trú tại xóm 4, xã Hợp Minh, tỉnh Nghệ An), Nguyễn Thành Trường (Sinh năm 2004, trú tại xóm Tiên Lý, xã Vân Tụ, tỉnh Nghệ An) để chuyển lạimã độc do bản thân mình tạo lập cho 3 đối tượng thực hiện hành vi xâm nhập trái phép nhằm đánh cắp dữ liệu, chiếm quyền điều khiển tài khoản mạng xã hội của người khác tại các quốc gia trên thế giới.
Trong quá trình cấu kết này, X đã nhiều lần giúp Công, Anh, Trường cải biến các phiên bản của mã độc để có thể vượt qua các hệ thống cảnh báo tấn công mạng máy tính.
Phương thức sử dụng mã độc xâm nhập
Sau khi nhận được mã độc, các đối tượng tiến hành Spam mail (sử dụng các tài khoản mail rác mua được của các đối tượng khác để soạn các nội dung gửi đến tài khoản mail của người dùng, trong đó có đính kèm file có chứa mã độc). Khi người dùng mất cảnh giác, đọc các Mail này và ấn vào mục tải về, tệp zip có chứa mã độc sẽ được tải về máy tính, thiết bị.
Người dùng tiếp tục ấn vào file thực thi (mã độc có đuôi “.exe” – thường được các đối tượng thiết kế ngụy trang bằng biểu tượng file PDF), mã độc sẽ tự động được cài đặt trên máy tính, thiết bị của nạn nhân, đồng thời tự khởi động chế độ “Start up” (nghĩa là khởi động cùng hệ thống khi người dùng bật máy tính thì mã độc sẽ tự động được khởi động ở chế độ chạy ngầm).
Bằng cách xâm nhập này, mã độc sẽ thu thập các thông tin gồm: Cookies trình duyệt, mật khẩu trình duyệt, tên thiết bị, địa chỉ IP, tài khoản ví điện tử, tài khoản và mật khẩu facebook, zalo… tự tạo thành tệp và gửi về Telegram Bot do X tạo và cung cấp cho các đối tượng Anh, Trường và Công từ trước đó.
Sau khi nhận được dữ liệu mã độc gửi về, các đối tượng sẽ tải xuống để khai thác, phục vụ các hoạt động vi phạm pháp luật. Bên cạnh đó, để có thể hoàn thiện chức năng chiếm đoạt quyền điều khiển của máy tính nạn nhân, các đối tượng mua thêm mã độc Pure RAT để X sử dụng nhằm lập trình, gắn vào mã nguồn của mã độc PXA Stealers và ADN.
Kể từ thời điểm này, ngoài nhận được các dữ liệu do các mã độc trên gửi về, các đối tượng còn có thể thuê các máy chủ ảo (Servers) hay còn gọi là VPS để xâm nhập trực tiếp vào máy tính, thiết bị của người dùng bị nhiễm mã độc, chiếm quyền điều khiển, lấy cắp thông tin, dữ liệu lưu trên thiết bị.
Hình thành hệ thống xâm nhập mạng máy tính, mạng viễn thông có yếu tố xuyên quốc gia
Từ việc cấu kết giữa các đối tượng nêu trên, để thuận tiện trong việc rải nguồn mã độc trên diện rộng, các đối tượng đã “tuyển” thêm “nhân viên” để thực hiện hành vi phạm tội. Qua đó, xác định có 07 đối tượng khác cùng tham gia vào đường dây phát tán mã độc, chiếm đoạt quyền điều hành mạng máy tính, phương tiện điện tử trong vụ án này.
Chỉ bằng việc tạo lập các nhóm Telegram, mua tài khoản gmail rác trên mạng và sử dụng các thiết bị điện tử như máy tính, điện thoại di động… các đối tượng đã tấn công, xâm nhập trái phép vào khoảng 94.000 máy tính thuộc nhiều quốc gia trên thế giới khiến nhiều quốc gia phải cảnh báo như hãng bảo mật Cisco Talos đăng tải bài viết về hoạt động phát tán dòng mã độc có tên PXA Stealer nhắm mục tiêu vào lĩnh vực giáo dục ở Ấn Độ và tổ chức chính phủ ở các quốc gia Thụy Điển, Đan Mạch, hãng bảo mật TrendMicro công bố hoạt động phát tán mã độc PXA…
Qua việc tấn công, xâm nhập trái phép vào mạng máy tính, mạng viễn thông, phương tiện điện tử, các đối tượng trong đường dây nêu trên đã thu lợi bất chính hàng chục tỷ đồng.
Căn cứ kết quả điều tra, ngày 24/3/2026, Cơ quan An ninh điều tra đã ra Quyết định khởi tố bị can đối với N.V.X về tội “Sản xuất công cụ, phần mềm để sử dụng vào mục đích trái pháp luật” quy định tại Điều 285 Bộ luật Hình sự và khởi tố 10 bị can về tội “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác” quy định tại Điều 289 Bộ luật Hình sự.
Hiện vụ án đang tiếp tục được mở rộng điều tra nhằm xác định các đối tượng khác có liên quan để xử lý nghiêm minh theo quy định của pháp luật.
Khánh An
