Học sinh lớp 12 tự học lập trình, tham gia đường dây phát tán mã độc xuyên quốc gia

Từ niềm đam mê lập trình, một học sinh lớp 12 tại Thanh Hóa đã trở thành “mắt xích” quan trọng trong đường dây phát tán mã độc quy mô lớn, khiến hơn 94.000 máy tính trên toàn cầu bị xâm nhập.

Đầu năm 2026, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao phối hợp với Công an tỉnh Thanh Hóa triệt phá đường dây này, khởi tố 12 bị can, làm rõ hành vi phát tán mã độc, đánh cắp dữ liệu và thu lợi bất chính hàng chục tỷ đồng.

Theo tài liệu điều tra, khoảng năm 2023, N.V.X (trú tại Thanh Hóa) bắt đầu tự học các ngôn ngữ lập trình như Python, C++ với mục đích nghiên cứu. Trong quá trình tìm hiểu sâu về hệ điều hành và dữ liệu người dùng, X. dần chuyển hướng sang viết các đoạn mã có khả năng truy cập dữ liệu lưu trong trình duyệt. Đến năm 2024, đối tượng đã xây dựng được chương trình có chức năng đánh cắp thông tin và vượt qua các lớp bảo vệ cơ bản.

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa tiến hành khám xét nhà N.V.X.

Bước ngoặt xảy ra vào tháng 7/2024 khi X. quen biết Lê Thành Công thông qua Telegram. Tại đây, X. nhận lời lập trình mã độc để thu thập cookies và thông tin đăng nhập tài khoản, đặc biệt là Facebook. Các mã độc được đóng gói thành file nén, sau đó phát tán tới người dùng. Dữ liệu đánh cắp sẽ tự động gửi về các hệ thống bot Telegram do nhóm đối tượng quản lý.

Sau khi hợp tác ban đầu không hiệu quả, X. được giới thiệu cho Phan Xuân Anh để tiếp tục phát triển mã độc mới mang tên “PXA Stealers”. Hai bên phân công rõ vai trò, trong đó X. phụ trách lập trình, còn các đối tượng khác chịu trách nhiệm phát tán và khai thác dữ liệu.

Để tăng khả năng kiểm soát, nhóm này tích hợp thêm phần mềm điều khiển từ xa vào mã độc, cho phép chiếm quyền máy tính nạn nhân. Từ thời điểm này, hoạt động phát tán được mở rộng ra nhiều quốc gia, chủ yếu tại châu Âu, châu Mỹ và một số nước châu Á.

Đến tháng 11/2024, X. tiếp tục nhận “đặt hàng” phát triển mã độc mới tên “Adonis” với giá 500 USD (khoảng 13,1 triệu đồng), đồng thời được chia lợi nhuận từ việc khai thác dữ liệu đánh cắp. Các đối tượng sử dụng email hàng loạt để phát tán mã độc, kèm theo các tệp đính kèm được ngụy trang dưới dạng tài liệu như PDF hoặc văn bản. Khi người dùng tải về và mở file, mã độc sẽ tự động cài đặt, âm thầm thu thập dữ liệu như mật khẩu, cookies, địa chỉ IP và thông tin cá nhân.

Tang vật của vụ án.

Toàn bộ dữ liệu sau đó được gửi về hệ thống máy chủ hoặc bot Telegram để tiếp tục khai thác. Ngoài ra, thông qua phần mềm điều khiển từ xa, các đối tượng còn trực tiếp truy cập và chiếm quyền máy tính nạn nhân.

Cơ quan điều tra xác định đã có hơn 94.000 máy tính tại nhiều quốc gia bị nhiễm mã độc từ đường dây này. Từ dữ liệu đánh cắp, nhóm đối tượng chủ yếu chiếm quyền các tài khoản mạng xã hội có chức năng chạy quảng cáo, sau đó sử dụng để bán hàng hoặc bán lại cho bên thứ ba nhằm thu lợi.

Bước đầu, cơ quan chức năng xác định số tiền thu lợi bất chính lên tới hàng chục tỷ đồng. Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 bị can về các tội danh liên quan đến sản xuất, phát tán phần mềm trái phép và xâm nhập hệ thống máy tính. Vụ án đang tiếp tục được mở rộng điều tra để làm rõ vai trò của từng đối tượng.

Linh Lê