Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 bị can liên quan đến đường dây phát tán mã độc nhằm đánh cắp dữ liệu người dùng Internet ở nhiều quốc gia. Các bị can bị điều tra về các tội sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật và xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác.
Thông tin từ cơ quan chức năng cho biết, vụ việc được phát hiện từ đầu năm 2026, khi Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) phối hợp với Công an tỉnh Thanh Hóa rà soát, phát hiện một nhóm đối tượng có dấu hiệu phát tán mã độc quy mô lớn để chiếm đoạt dữ liệu của người dùng tại nhiều nước.
Từ tự học lập trình đến xây dựng mã độc đánh cắp dữ liệu
Kết quả điều tra ban đầu cho thấy, khoảng năm 2023, N.V.X (tên nhân vật thay đổi theo yêu cầu điều tra), trú tại phường Hạc Thành, tỉnh Thanh Hóa, khi đó đang là học sinh lớp 12, đã tự học các ngôn ngữ lập trình như Python và C++ để viết chương trình máy tính.
 |
| Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa khám xét nhà một đối tượng X. trong vụ án (Ảnh: Công an tỉnh Thanh Hóa). |
Ban đầu, việc lập trình của X chỉ mang tính học hỏi, nghiên cứu và thử nghiệm các chương trình tin học đơn giản. Tuy nhiên, trong quá trình tìm hiểu sâu hơn về cấu trúc hệ điều hành và cách dữ liệu được lưu trữ trên máy tính, người này đã nảy sinh ý định tạo ra các đoạn mã có khả năng truy cập vào dữ liệu được lưu trong trình duyệt web của người dùng.
Đến năm 2024, X được xác định đã lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính và đồng thời tìm cách vượt qua những lớp bảo vệ cơ bản của hệ điều hành.
Quá trình điều tra, xác minh cho thấy để xây dựng các chương trình mã độc, X sử dụng các ngôn ngữ lập trình như Python và C++ để tạo ra các tệp mã nguồn có khả năng thu thập dữ liệu lưu trên trình duyệt của người dùng. Những dữ liệu bị nhắm tới gồm cookie đăng nhập, mật khẩu đã lưu, dữ liệu tự động điền cùng nhiều thông tin nhạy cảm khác.
 |
| Nhiều máy tính và tang vật vụ án khác bị thu giữ (Ảnh: Công an tỉnh Thanh Hóa). |
Khoảng tháng 7/2024, thông qua mạng xã hội Telegram, X quen biết với Lê Thành Công (28 tuổi, ngụ Hà Tĩnh). Sau khi trao đổi, Công đặt vấn đề nhờ X phát triển mã độc để phát tán, qua đó thu thập những thông tin nhạy cảm đang được lưu trên trình duyệt máy tính của người dùng.
Sau khi hai bên thống nhất, X lập trình các file mã độc, nén thành file ZIP rồi chuyển cho Công để phát tán. Mục tiêu là đánh cắp dữ liệu từ máy tính nạn nhân, sau đó tự động chuyển dữ liệu về các hệ thống bot Telegram đã được thiết lập và quản lý từ trước.
Theo Cơ quan điều tra, dữ liệu từ các máy tính bị nhiễm mã độc tiếp tục được chuyển đến các kênh Telegram như “STC New Logs”, “STC Notification”, “STC Reset Logs”... Tại đây, các đối tượng theo dõi, tải xuống, phân loại dữ liệu để tiếp tục khai thác.
Phát tán mã độc ra nhiều nước, thu lợi bất chính hàng chục tỉ đồng
Do việc hợp tác không hiệu quả, Lê Thành Công sau đó giới thiệu X cho Phan Xuân Anh (21 tuổi, ngụ Nghệ An), người sử dụng tài khoản Telegram “Mr Bean”, để tiếp tục hợp tác phát triển và phát tán mã độc. Từ thời điểm này, Phan Xuân Anh đặt vấn đề nhờ X lập trình một loại mã độc mới mang tên “PXA Stealers”, có chức năng đánh cắp thông tin trên máy tính và chiếm quyền quản trị thiết bị của nạn nhân. Theo thỏa thuận, X được hưởng 15% tổng lợi nhuận thu được.
 |
| Đối tượng Phan Xuân Anh bị Cơ quan công an bắt giữ (Ảnh: Công an tỉnh Thanh Hóa). |
Trong quá trình này, X chịu trách nhiệm lập trình, chỉnh sửa và cập nhật các phiên bản mới của mã độc, còn Xuân Anh cùng những người khác phụ trách phát tán và khai thác dữ liệu từ các máy tính đã nhiễm mã độc.
Kết quả điều tra xác định, từ tháng 8-2024 cho đến khi bị bắt, X nhiều lần hỗ trợ Xuân Anh xây dựng các phiên bản khác nhau của mã độc “PXA Stealers” để phát tán đến người dùng trong nước và ngoài nước.
Đến khoảng tháng 11/2024, Xuân Anh tiếp tục giới thiệu Nguyễn Thành Trường - sử dụng tài khoản Telegram “Adonis” - với X. Sau đó, Trường liên hệ và “đặt hàng” X xây dựng một mã độc khác mang tên “Adonis” với giá 500 USD, có tính năng tương tự “PXA Stealers”.
Không dừng lại ở khoản tiền đặt hàng ban đầu, Trường còn thống nhất sẽ chia cho X khoản lợi nhuận từ việc khai thác dữ liệu thu thập được, ở mức từ 50 - 100 USDT mỗi lần thu lợi.
Theo Cơ quan công an, phần lớn máy tính bị nhiễm mã độc trong vụ án này là của người dùng Internet tại nhiều quốc gia trên thế giới, chủ yếu ở châu Âu, châu Mỹ và một số nước khác.
Kết quả điều tra cho thấy có hơn 94.000 máy tính của người dùng toàn cầu đã bị nhiễm các loại mã độc do nhóm này phát tán. Từ dữ liệu đánh cắp được, nhóm đối tượng chủ yếu khai thác các tài khoản mạng xã hội, đặc biệt là tài khoản Facebook có chức năng chạy quảng cáo.
Cơ quan công an xác định nhóm này đã thu lợi bất chính hàng chục tỉ đồng từ việc lập trình, chỉnh sửa và phát tán mã độc. Hiện vụ án đang tiếp tục được điều tra mở rộng để làm rõ vai trò của từng người liên quan và xử lý nghiêm theo quy định pháp luật.
