Nam sinh lớp 12 cầm đầu đường dây dùng mã độc tấn công hơn 94.000 máy tính

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa tiến hành khám xét tại nhà N.V.X.

Đầu năm 2026, qua công tác nắm tình hình trên không gian mạng, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phối hợp với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an tỉnh Thanh Hóa phát hiện một đường dây phát tán mã độc nhằm đánh cắp dữ liệu người dùng Internet tại nhiều quốc gia trên thế giới.

Từ các thông tin ban đầu thu thập được, lực lượng chức năng đã tiến hành xác minh, làm rõ phương thức, thủ đoạn hoạt động của các đối tượng liên quan.

Theo tài liệu điều tra ban đầu, vào khoảng năm 2023, N.V.X. (tên nhân vật đã được thay đổi, trú tại phường Hạc Thành, tỉnh Thanh Hóa, hiện đang là học sinh lớp 12 trên địa bàn tỉnh) tự học lập trình với các ngôn ngữ như Python, C++ để phục vụ nghiên cứu cá nhân.

Tuy nhiên, trong quá trình tìm hiểu sâu về hệ điều hành và dữ liệu, đối tượng đã phát triển các đoạn mã có khả năng truy cập, thu thập thông tin nhạy cảm trên máy tính người dùng như cookies, mật khẩu, dữ liệu tự động điền.

Đến năm 2024, X. hoàn thiện bộ mã độc có thể vượt qua các lớp bảo vệ cơ bản và gửi dữ liệu đánh cắp về máy chủ điều khiển. Thông qua mạng xã hội Telegram, X. quen biết Lê Thành Công (SN 1998, trú tại Hà Tĩnh), từ đó bắt đầu hợp tác phát triển và phát tán mã độc nhằm trục lợi từ việc đánh cắp tài khoản, đặc biệt là tài khoản Facebook có giá trị thương mại.

Đối tượng Phan Xuân Anh.

Sau một thời gian hợp tác nhưng hiệu quả không cao, Lê Thành Công đã giới thiệu N.V.X. cho Phan Xuân Anh (SN 2005, trú tại tỉnh Nghệ An) để phát triển một dòng mã độc mới có tên "PXA Stealers". Theo thỏa thuận, X. chịu trách nhiệm lập trình và cập nhật mã độc, hưởng 15% lợi nhuận, còn các đối tượng khác đảm nhiệm việc phát tán và khai thác dữ liệu. Nhóm này còn tích hợp phần mềm điều khiển từ xa (Pure RAT) vào mã độc, cho phép chiếm quyền điều khiển máy tính nạn nhân.

Không dừng lại ở đó, X. còn nhận "đặt hàng" từ một đối tượng khác là Nguyễn Thành Trường để phát triển mã độc mới mang tên "Adonis", với giá 500 USD cùng khoản chia lợi nhuận sau đó. Các mã độc này liên tục được cập nhật để vượt qua hệ thống bảo mật và mở rộng phạm vi lây nhiễm.

Thủ đoạn phát tán chủ yếu của các đối tượng là gửi email hàng loạt kèm tệp đính kèm chứa mã độc. Các tệp này được ngụy trang dưới dạng file PDF hoặc văn bản thông thường nhưng thực chất là file thực thi exe (chạy được).

Khi người dùng mở file, mã độc tự động cài đặt và hoạt động ngầm, thu thập dữ liệu rồi gửi về hệ thống Telegram hoặc máy chủ do nhóm quản lý. Ngoài ra, các đối tượng còn sử dụng danh sách email mua từ các diễn đàn dữ liệu để mở rộng phạm vi tấn công.

Tang vật của vụ án.

Theo Công an tỉnh Thanh Hóa, đã có hơn 94.000 máy tính của người dùng tại nhiều quốc gia trên thế giới chủ yếu là ở châu Âu, châu Mỹ và một số quốc gia châu Á bị nhiễm các loại mã độc do nhóm đối tượng này phát tán. Từ các dữ liệu đánh cắp được, các đối tượng chủ yếu khai thác các tài khoản mạng xã hội, đặc biệt là các tài khoản Facebook có chức năng chạy quảng cáo.

Sau khi chiếm quyền kiểm soát các tài khoản này, các đối tượng sử dụng chúng để chạy quảng cáo bán hàng trực tuyến trên gian hàng Betamax và hưởng hoa hồng, hoặc có thể bán thông tin tài khoản Facebook của nạn nhân cho bên thứ ba để thu lợi bất chính. Bước đầu cơ quan điều tra xác định, các đối tượng trong đường dây đã thu lợi bất chính hàng chục tỷ đồng từ việc lập trình và chỉnh sửa mã độc.

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 bị can về tội "Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật" và tội "Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác".

Vụ án tiếp tục được điều tra mở rộng để làm rõ vai trò của từng đối tượng trong đường dây và xử lý nghiêm theo quy định của pháp luật.

Ngọc Hưng