Công an Thanh Hóa của Việt Nam vừa triệt phá một đường dây phát tán mã độc xuyên quốc gia, gây chấn động dư luận khi kẻ cầm đầu chỉ là một học sinh lớp 12, với hàng chục nghìn máy tính trên thế giới bị xâm nhập…
Ngày 25 tháng 3 năm 2026, Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa thông báo đã phá thành công đường dây này. Nhân vật chính được xác định là N.V.X. (tên đã thay đổi), cư ngụ tại phường Hạc Thành, tỉnh Thanh Hóa.
Theo kết quả điều tra ban đầu, từ năm 2023, N.V.X. bắt đầu tự học lập trình với các ngôn ngữ phổ biến như Python và C++. Ban đầu, việc học chỉ nhằm mục đích nghiên cứu và thử nghiệm cá nhân. Nhưng khi tìm hiểu sâu về hệ điều hành và cách dữ liệu được lưu trữ trên máy tính, X. nảy sinh ý định tạo ra các đoạn mã có khả năng xâm nhập và thu thập thông tin người dùng.
Đến năm 2024, X. đã xây dựng thành công các chương trình mã độc, có thể đánh cắp dữ liệu lưu trong trình duyệt như cookies, mật khẩu và thông tin tự động điền. Các đoạn mã này còn có khả năng vượt qua các lớp bảo vệ cơ bản của hệ điều hành, hoạt động âm thầm và gửi dữ liệu về máy chủ điều khiển.
Bước ngoặt xảy ra vào tháng 7 năm 2024, khi X. thông qua mạng xã hội Telegram quen biết Lê Thành Công, 28 tuổi, cư ngụ tại Hà Tĩnh. Hai bên nhanh chóng thỏa thuận hợp tác: X. chịu trách nhiệm lập trình mã độc, trong khi Công đảm nhận việc phát tán để thu thập dữ liệu người dùng Internet. Dữ liệu đánh cắp được tự động chuyển về các hệ thống bot Telegram mà nhóm này thiết lập để khai thác.
Không dừng lại ở đó, Công giới thiệu X. cho Phan Xuân Anh, 21 tuổi, cư ngụ tại Nghệ An. Tại đây, X. được đặt hàng phát triển dòng mã độc mới mang tên “PXA Stealers” với khả năng nâng cao, không chỉ đánh cắp dữ liệu mà còn chiếm quyền điều khiển máy tính nạn nhân. Theo thỏa thuận, X. được hưởng 15% tổng lợi nhuận từ hoạt động phi pháp này.
Từ tháng 8 năm 2024 đến cuối năm 2025, nhóm này liên tục nâng cấp và phát tán nhiều phiên bản mã độc khác nhau trên thị trường “ngầm”. Tháng 11 năm 2024, thông qua mối quan hệ trên Telegram, Nguyễn Thành Trường tiếp tục “đặt hàng” X. phát triển loại mã độc mang tên “Adonis” với giá 500 USD, kèm thỏa thuận chia lợi nhuận từ 50 đến 100 USDT mỗi lần khai thác dữ liệu thành công.
Thủ đoạn của đường dây được đánh giá là tinh vi và có tổ chức. Các đối tượng sử dụng phần mềm gửi email hàng loạt, đính kèm các tệp chứa mã độc ngụy trang dưới dạng PDF hoặc văn bản thông thường. Khi người dùng mở tệp, mã độc lập tức cài đặt và hoạt động ngầm, thu thập dữ liệu rồi gửi về hệ thống điều khiển từ xa. Nhóm còn tích hợp phần mềm chiếm quyền điều khiển máy tính của nạn nhân.
Kết quả điều tra cho thấy hơn 94.000 máy tính tại nhiều quốc gia bị nhiễm mã độc, chủ yếu ở châu Âu, châu Mỹ và một số nước châu Á. Dữ liệu đánh cắp được khai thác để thao túng tài khoản mạng xã hội, đặc biệt là những tài khoản chạy quảng cáo, phục vụ kinh doanh trực tuyến hoặc bán lại cho bên thứ ba nhằm thu lợi bất chính. Tổng số tiền thu lợi ước tính lên tới hàng chục tỷ đồng.
Đêm 24 tháng 3 năm 2026, Công an Thanh Hóa tiến hành khám xét, thu giữ nhiều tang vật liên quan và ra quyết định khởi tố vụ án, khởi tố 12 bị can về các tội danh “sản xuất, mua bán phần mềm phục vụ mục đích trái pháp luật” và “xâm nhập trái phép vào mạng máy tính, mạng viễn thông”.
Hiện vụ án đang được mở rộng điều tra để làm rõ vai trò từng đối tượng cũng như các mắt xích liên quan trong đường dây tội phạm công nghệ cao này./.
NGƯỜI QUAN SÁT
