Ngày 25/3, tin từ Công an tỉnh Thanh Hóa cho biết Cơ quan An ninh điều tra Công an tỉnh này vừa khởi tố vụ án, khởi tố 12 bị can (trong đó có 1 học sinh lớp 12) về các tội danh liên quan đến sản xuất, phát tán phần mềm trái phép và xâm nhập hệ thống máy tính.
Theo đó, đầu năm 2026, qua công tác giám sát không gian mạng, lực lượng an ninh Bộ Công an phối hợp với Công an tỉnh Thanh Hóa đã phát hiện một đường dây phát tán mã độc quy mô lớn, hoạt động xuyên quốc gia, nhắm vào người dùng Internet tại nhiều khu vực trên thế giới.
Điều đáng chú ý, đối tượng trực tiếp lập trình các phần mềm độc hại lại là một học sinh lớp 12, xuất phát từ niềm đam mê công nghệ nhưng dần sa vào con đường vi phạm pháp luật.
Từ học sinh đam mê công nghệ đến kẻ viết mã độc
Theo tài liệu điều tra ban đầu, N.V.X (đã thay đổi tên), trú tại phường Hạc Thành, tỉnh Thanh Hóa, hiện là học sinh lớp 12, bắt đầu tiếp cận lập trình từ khoảng năm 2023. Với niềm yêu thích công nghệ, X. tự học các ngôn ngữ như Python, C++ để viết những chương trình đơn giản phục vụ mục đích nghiên cứu và rèn luyện kỹ năng.
Tuy nhiên, khi tìm hiểu sâu hơn về cấu trúc hệ điều hành và cách dữ liệu được lưu trữ trên máy tính, X. dần nảy sinh ý định phát triển các đoạn mã có thể truy cập vào thông tin trong trình duyệt của người dùng. Đến năm 2024, đối tượng đã tạo ra bộ mã nguồn có khả năng đánh cắp dữ liệu từ máy tính, đồng thời tìm cách vượt qua những lớp bảo mật cơ bản của hệ thống.
.jpg)
Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa tiến hành khám xét tại nhà N.V.X (tên nhân vật đã được thay đổi).
Quá trình điều tra cho thấy, để tạo ra các chương trình mã độc, X. đã sử dụng những ngôn ngữ lập trình như Python và C++ nhằm xây dựng các tệp có khả năng thu thập dữ liệu lưu trên trình duyệt của người dùng, bao gồm cookies đăng nhập, mật khẩu đã lưu, dữ liệu tự động điền cùng nhiều thông tin nhạy cảm khác. Sau khi hoàn thiện, các đoạn mã này sẽ tự động quét dữ liệu trong hệ thống, đóng gói lại và gửi về máy chủ do X. thiết lập.
Đến tháng 7/2024, thông qua mạng xã hội Telegram, X. quen biết Lê Thành Công (sinh năm 1998, trú tại Hà Tĩnh). Qua trao đổi, Công đề nghị X. phát triển mã độc để phát tán nhằm thu thập thông tin đăng nhập, đặc biệt là tài khoản Facebook có thể mang lại lợi nhuận.
Sau khi thỏa thuận, X. lập trình các tệp mã độc, nén dưới dạng file ZIP rồi chuyển cho Công để phát tán. Dữ liệu đánh cắp từ máy tính nạn nhân sau đó được tự động chuyển về các hệ thống bot Telegram do nhóm đối tượng quản lý.
Theo tài liệu điều tra, toàn bộ dữ liệu thu thập được sẽ đổ về các kênh Telegram như “STC New Logs”, “STC Notification”, “STC Reset Logs”, nơi các đối tượng theo dõi, tải xuống và phân loại để tiếp tục khai thác. Sau một thời gian hợp tác không hiệu quả, Lê Thành Công tiếp tục giới thiệu X. cho Phan Xuân Anh (sinh năm 2005, trú tại Nghệ An, sử dụng tài khoản Telegram “Mr Bean”) để mở rộng hoạt động phát triển và phát tán mã độc.
.jpg)
Đại tá Lê Ngọc Anh, Phó Giám đốc - Thủ trưởng Cơ quan An ninh điều tra Công an tỉnh trực tiếp chỉ đạo vụ án.
Hình thành đường dây phát tán mã độc xuyên quốc gia
Sau khi tiếp cận N.V.X, Phan Xuân Anh đã đặt vấn đề thuê lập trình một loại mã độc mới mang tên “PXA Stealers”, có khả năng đánh cắp dữ liệu và chiếm quyền điều khiển máy tính của nạn nhân. Hai bên thỏa thuận X. sẽ được hưởng 15% tổng lợi nhuận thu được từ việc khai thác dữ liệu đánh cắp.
Trong đường dây này, X. giữ vai trò chính ở khâu kỹ thuật khi phụ trách lập trình, chỉnh sửa và liên tục nâng cấp các phiên bản mã độc, trong khi Phan Xuân Anh cùng các đối tượng khác đảm nhận việc phát tán và khai thác dữ liệu từ các thiết bị bị nhiễm.
Để tăng khả năng kiểm soát hệ thống của nạn nhân, nhóm này còn tích hợp thêm mã nguồn của phần mềm điều khiển từ xa Pure RAT vào chương trình độc hại. Khi người dùng mở tệp tin chứa mã độc, phần mềm sẽ tự động cài đặt và cho phép các đối tượng truy cập, điều khiển máy tính từ xa.
Từ tháng 8/2024 đến khi bị phát hiện, X. đã nhiều lần phát triển và hoàn thiện các phiên bản khác nhau của PXA Stealers, phát tán đến người dùng cả trong và ngoài nước, đồng thời liên tục chỉnh sửa để vượt qua các lớp bảo mật của hệ điều hành.
Đến khoảng tháng 11/2024, nhằm mở rộng hoạt động, Phan Xuân Anh tiếp tục giới thiệu X. với Nguyễn Thành Trường (sử dụng tài khoản Telegram “Adonis”).
Tại đây, Trường “đặt hàng” X. phát triển một loại mã độc mới có tên Adonis (AND) với giá 500 USD, có chức năng tương tự PXA Stealers, đồng thời cam kết chia lợi nhuận từ 50–100 USDT mỗi lần khai thác dữ liệu thành công. Sau khi hoàn thành, X. đã bàn giao mã độc cho Trường sử dụng vào mục đích vi phạm pháp luật.
Theo cơ quan điều tra, các máy tính bị nhiễm mã độc trong đường dây này chủ yếu thuộc người dùng Internet tại nhiều quốc gia, tập trung ở châu Âu, châu Mỹ và một số nước châu Á.
.jpg)
Đối tượng Phan Xuân Anh.
Thủ đoạn phát tán mã độc ngày càng tinh vi
Để phát tán mã độc trên diện rộng, các đối tượng sử dụng máy tính cá nhân kết hợp với phần mềm gửi email hàng loạt, đính kèm các tệp tin chứa mã độc và phát tán tới hàng loạt địa chỉ thư điện tử của người dùng tại nhiều quốc gia. Bên cạnh đó, chúng còn thu thập hoặc mua lại dữ liệu email từ các diễn đàn mua bán thông tin trên mạng, sau đó dùng công cụ tự động để gửi thư hàng loạt nhằm tăng phạm vi tiếp cận nạn nhân.
Các tệp tin chứa mã độc được ngụy trang rất tinh vi, có biểu tượng giống file PDF hoặc văn bản thông thường để đánh lừa người dùng, nhưng thực chất là các tệp thực thi (.exe). Khi người nhận tải về và mở tệp, mã độc sẽ lập tức kích hoạt, âm thầm cài đặt vào hệ thống mà không bị phát hiện.
Sau khi xâm nhập, mã độc hoạt động ngầm, thu thập hàng loạt dữ liệu quan trọng như cookies đăng nhập, mật khẩu trình duyệt, thông tin tự động điền, địa chỉ IP… rồi tự động gửi về máy chủ hoặc hệ thống bot Telegram do các đối tượng kiểm soát.
Không dừng lại ở đó, thông qua phần mềm điều khiển từ xa được tích hợp sẵn, nhóm này còn sử dụng máy chủ ảo (VPS) để truy cập trực tiếp, chiếm quyền điều khiển máy tính của nạn nhân nhằm tiếp tục khai thác dữ liệu.
Cơ quan điều tra xác định đã có hơn 94.000 máy tính tại nhiều quốc gia bị nhiễm mã độc từ đường dây này, chủ yếu tập trung ở châu Âu, châu Mỹ và một số nước châu Á.
Từ dữ liệu đánh cắp được, các đối tượng tập trung khai thác tài khoản mạng xã hội, đặc biệt là Facebook có chức năng chạy quảng cáo, sau đó sử dụng để kinh doanh trực tuyến hoặc bán lại cho bên thứ ba nhằm thu lợi bất chính.
Bước đầu, lực lượng chức năng xác định số tiền thu lợi từ hoạt động phạm pháp này lên tới hàng chục tỷ đồng.
Hiện Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 bị can với các tội danh liên quan đến sản xuất, phát tán phần mềm trái phép và xâm nhập hệ thống máy tính. Vụ án đang tiếp tục được mở rộng điều tra để làm rõ vai trò từng đối tượng và xử lý theo quy định pháp luật.
