Ngày 25/3, thông tin từ Công an tỉnh Thanh Hóa cho biết, đơn vị vừa khởi tố vụ án, khởi tố 12 bị can về tội “Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật” và tội “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác”. Trong đó, giữ vai trò lập trình, tạo mã độc là một nam sinh lớp 12 tại phường Hạc Thành.
Theo công an, đầu năm 2026, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phối hợp với Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Công an tỉnh Thanh Hóa) phát hiện một đường dây phát tán mã độc nhằm đánh cắp dữ liệu người dùng Internet tại nhiều quốc gia trên thế giới.
Quá trình điều tra, công an xác định khoảng năm 2023, N.V.X., (tên nhân vật đã được thay đổi, trú phường Hạc Thành - hiện đang là học sinh lớp 12 trên địa bàn tỉnh) bắt đầu tự tìm hiểu và học các ngôn ngữ lập trình như Python, C++ để viết các chương trình chạy trên máy tính. Ban đầu, việc lập trình chỉ nhằm mục đích học hỏi, nghiên cứu và thử nghiệm các chương trình tin học đơn giản.
Tuy nhiên, quá trình tìm hiểu sâu hơn về cấu trúc hệ điều hành và cách lưu trữ dữ liệu trên máy tính, nam sinh lớp 12 nảy sinh ý định xây dựng các đoạn mã có khả năng truy cập vào dữ liệu lưu trong trình duyệt web của người dùng. Đến năm 2024, nam sinh này đã lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính và tìm cách vượt qua các lớp bảo vệ cơ bản của hệ điều hành.
Tháng 7/2024, thông qua mạng xã hội Telegram, X. quen biết với Lê Thành Công (SN 1998, trú tỉnh Hà Tĩnh). Công sau đó đặt vấn đề nhờ X. phát triển giúp mã độc để phát tán nhằm mục đích thu thập các thông tin nhạy cảm được lưu trên trình duyệt máy tính của người dùng (chủ yếu là cookies và thông tin đăng nhập tài khoản Facebook vì những tài khoản này thì sẽ bán được có tiền). Sau khi thống nhất, X. đã lập trình các file mã độc và nén lại thành file ZIP rồi chuyển cho Công để phát tán. Các dữ liệu đánh cắp được từ máy tính của nạn nhân sau đó sẽ tự động gửi về các hệ thống Bot Telegram do các đối tượng thiết lập và quản lý.
Sau một thời gian hợp tác nhưng hiệu quả không cao, Công đã giới thiệu N.V.X. cho Phan Xuân Anh (SN 2005, trú tỉnh Nghệ An), sử dụng tài khoản Telegram “Mr Bean”, để hai bên tiếp tục hợp tác trong việc phát triển và phát tán mã độc.
Đường dây phát tán mã độc xuyên quốc gia
Từ đây, Phan Xuân Anh đặt vấn đề với nam sinh lớp 12 lập trình một loại mã độc mới có tên “PXA Stealers” với chức năng đánh cắp thông tin trên máy tính và chiếm quyền quản trị máy tính của nạn nhân. Hai bên thỏa thuận, N.V.X. sẽ hưởng 15% trên tổng số lợi nhuận thu được từ việc khai thác dữ liệu đánh cắp.
Theo phân công trong đường dây, X. chịu trách nhiệm lập trình, chỉnh sửa và cập nhật các phiên bản mới của mã độc, trong khi Xuân Anh và các đối tượng khác đảm nhận việc phát tán mã độc và khai thác dữ liệu thu thập được từ các máy tính bị nhiễm.
Để tăng hiệu quả xâm nhập và kiểm soát máy tính của nạn nhân, các đối tượng còn mua thêm mã nguồn của một phần mềm điều khiển từ xa có tên Pure RAT để tích hợp vào chương trình mã độc do X. phát triển. Khi người dùng mở tệp chứa mã độc, chương trình sẽ tự động cài đặt vào máy tính và đồng thời cài đặt cả phần mềm điều khiển từ xa, cho phép các đối tượng truy cập và điều khiển máy tính của nạn nhân từ xa.
Công an cáo buộc từ tháng 8/2024 cho đến khi bị bắt, X. đã nhiều lần giúp Phan Xuân Anh xây dựng ra các phiên bản khác nhau của mã độc PXA Stealers, để phát tán đến các người dùng ở trong và ngoài nước. Đồng thời, thường xuyên cập nhật, chỉnh sửa mã nguồn của mã độc để có thể vượt qua các lớp bảo vệ của hệ điều hành.
Để mở rộng phạm vi hoạt động, khoảng tháng 11/2024, Phan Xuân Anh đã giới thiệu Nguyễn Thành Trường (sử dụng tài khoản Telegram “Adonis”) với X. Trường sau đó liên hệ, “đặt hàng” với X. xây dựng một mã độc đặt tên là Adonis (viết tắt là AND) với giá 500 USD, có cùng tính năng như mã độc PXA Stealers. Trường thống nhất sẽ chia lợi nhuận từ việc khai thác dữ liệu thu thập được cho X. từ 50 - 100 USD/lần kiếm được tiền từ việc khai thác dữ liệu thu được. Sau khi tạo lập xong mã độc X. đã chuyển cho Trường để sử dụng vào mục đích vi phạm pháp luật.
Theo công an, đã có hơn 94.000 máy tính của người dùng tại nhiều quốc gia trên thế giới bị nhiễm các loại mã độc do nhóm đối tượng này phát tán. Từ các dữ liệu đánh cắp được, các đối tượng chủ yếu khai thác các tài khoản mạng xã hội, đặc biệt là các tài khoản Facebook để chạy quảng cáo bán hàng trực tuyến trên gian hàng Betamax và hưởng hoa hồng hoặc có thể bán thông tin tài khoản Facebook của nạn nhân cho bên thứ 3 để thu lợi bất chính.
Bước đầu cơ quan điều tra xác định, các đối tượng trong đường dây đã thu lợi bất chính hàng chục tỷ đồng từ việc lập trình và chỉnh sửa mã độc. Hiện, vụ án đang được Công an tỉnh Thanh Hóa điều tra mở rộng.