Cơ quan công an khám xét tại nhà N.V. X (Ảnh: CATH).Từ đam mê lập trình đến “tác giả” mã độc xuyên quốc gia
Ít ai ngờ người đứng sau việc lập trình, cung cấp mã độc cho một đường dây tội phạm công nghệ cao lại là một học sinh lớp 12. Từ những dòng mã thử nghiệm ban đầu, đối tượng đã cấu kết với nhiều cá nhân trên không gian mạng, hình thành quy trình phát tán mã độc khép kín, xâm nhập hàng chục nghìn máy tính tại nhiều quốc gia.
Đầu năm 2026, qua công tác nắm tình hình trên không gian mạng, Bộ Công an phối hợp với Công an tỉnh Thanh Hóa phát hiện đường dây phát tán mã độc nhằm đánh cắp dữ liệu người dùng Internet trên phạm vi toàn cầu. Lực lượng chức năng nhanh chóng vào cuộc, làm rõ phương thức, thủ đoạn hoạt động của các đối tượng.
Lãnh đạo Công an tỉnh Thanh Hóa làm việc với một trong số các đối tượng. (Ảnh: CATH)Theo tài liệu điều tra, khoảng năm 2023, N.V.X (đã thay đổi tên), trú tại phường Hạc Thành (Thanh Hóa), bắt đầu tự học lập trình bằng các ngôn ngữ như Python, C++. Ban đầu chỉ để nghiên cứu, thử nghiệm, nhưng sau đó đối tượng đã phát triển các đoạn mã có khả năng truy cập, thu thập dữ liệu trên trình duyệt người dùng.
Sau đó, X. tiếp tục hợp tác với Phan Xuân Anh (trú Nghệ An) để phát triển mã độc “PXA Stealers”, hưởng 15% lợi nhuận. Các đối tượng còn tích hợp phần mềm điều khiển từ xa (RAT) để chiếm quyền máy tính nạn nhân, đồng thời liên tục nâng cấp mã nhằm vượt qua các lớp bảo mật.
Không dừng lại, X. còn nhận “đặt hàng” phát triển mã độc khác với giá 500 USD và được chia lợi nhuận từ việc khai thác dữ liệu.
Đối tượng Phan Xuân Anh bị bắt giữ để điều tra (Ảnh: CATH).Đến năm 2024, X. lập trình thành công bộ mã độc có thể đánh cắp Cookies, mật khẩu, dữ liệu tự động điền… và gửi về máy chủ điều khiển. Thông qua mạng xã hội Telegram, X. quen biết các đối tượng khác và được “đặt hàng” phát triển mã độc nhằm chiếm quyền tài khoản, đặc biệt là tài khoản Facebook có giá trị thương mại.
Phát tán qua Email giả mạo, thu lợi hàng chục tỷ đồng
Trong đường dây, X. chịu trách nhiệm lập trình, nâng cấp mã độc, các đối tượng còn lại đảm nhiệm phát tán và khai thác dữ liệu. Nhóm này tích hợp thêm phần mềm điều khiển từ xa (RAT) để chiếm quyền kiểm soát máy tính nạn nhân, đồng thời liên tục cập nhật mã nhằm vượt qua các lớp bảo mật.
Không dừng lại, X. tiếp tục phát triển nhiều phiên bản mã độc khác theo “đơn đặt hàng”, hưởng lợi nhuận từ hoạt động khai thác dữ liệu. Các mã độc được phát tán qua Email hàng loạt, ngụy trang dưới dạng File tài liệu nhưng thực chất là File thực thi. Khi người dùng mở File, mã độc lập tức cài đặt và hoạt động ngầm.
Ngoài việc gửi Email giả mạo, các đối tượng còn thu thập, mua bán dữ liệu Email trên các diễn đàn ngầm để mở rộng phạm vi tấn công. Thông qua máy chủ ảo (VPS), nhóm này truy cập trực tiếp vào các máy tính bị nhiễm, tiếp tục đánh cắp thông tin và chiếm quyền điều khiển.
Tang vật liên quan đến vụ án được cơ quan chức năng thu giữ được. (Ảnh: CATH).Cơ quan chức năng xác định hơn 94.000 máy tính tại nhiều quốc gia, chủ yếu ở châu Âu, châu Mỹ và một số nước châu Á, đã bị nhiễm mã độc. Dữ liệu thu được được sử dụng để chiếm quyền tài khoản mạng xã hội, chạy quảng cáo hoặc bán lại cho bên thứ ba, thu lợi bất chính hàng chục tỷ đồng.
Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 bị can về các tội danh liên quan đến sản xuất, phát tán phần mềm phục vụ mục đích trái pháp luật và xâm nhập trái phép vào hệ thống máy tính.
Hiện vụ án đang tiếp tục được điều tra, mở rộng.
