Báo Lao Động cho hay, theo điều tra, đầu năm 2026, lực lượng chức năng phát hiện dấu hiệu một đường dây phát tán mã độc nhằm đánh cắp dữ liệu người dùng Internet trên phạm vi toàn cầu. Quá trình xác minh cho thấy đối tượng cầm đầu lại là N.V.X (đã thay đổi tên), hiện là học sinh lớp 12, trú tại phường Hạc Thành, tỉnh Thanh Hóa.
Khoảng năm 2023, X bắt đầu tự học lập trình bằng các ngôn ngữ như Python, C++. Ban đầu chỉ nhằm mục đích nghiên cứu, thử nghiệm, nhưng sau đó đối tượng dần chuyển sang tìm hiểu sâu về cấu trúc hệ điều hành và cơ chế lưu trữ dữ liệu.
Đến năm 2024, X đã phát triển thành công các đoạn mã có khả năng truy cập, thu thập dữ liệu lưu trong trình duyệt như cookies đăng nhập, mật khẩu, dữ liệu tự động điền… Đồng thời, các mã này có thể vượt qua các lớp bảo vệ cơ bản của hệ điều hành.
Các dữ liệu sau khi thu thập sẽ được đóng gói và tự động gửi về máy chủ do các đối tượng thiết lập để phục vụ việc khai thác.
Báo VietNamNet cho biết thêm, thông qua mạng xã hội Telegram, X. quen biết với nhiều đối tượng khác như Lê Thành Công (Hà Tĩnh) và Phan Xuân Anh (Nghệ An). Từ đây, X. chuyển sang hợp tác, lập trình mã độc theo “đặt hàng” để phục vụ mục đích thu thập dữ liệu trái phép.
Đáng chú ý, X. là người trực tiếp phát triển các dòng mã độc như “PXA Stealers” hay “Adonis”, với khả năng không chỉ đánh cắp thông tin mà còn chiếm quyền điều khiển máy tính của nạn nhân. Để tăng hiệu quả, nhóm còn tích hợp thêm phần mềm điều khiển từ xa, cho phép truy cập và thao tác trực tiếp trên thiết bị bị nhiễm.
Trong đường dây, X. đảm nhận vai trò “kỹ thuật”, liên tục cập nhật, chỉnh sửa mã nguồn nhằm vượt qua các lớp bảo mật. Các đối tượng còn lại phụ trách phát tán mã độc và khai thác dữ liệu thu thập được. Lợi nhuận được chia theo thỏa thuận, trong đó X. hưởng phần trăm hoặc nhận tiền công theo từng sản phẩm.
Thủ đoạn phát tán của nhóm rất tinh vi. Các đối tượng sử dụng email hàng loạt, đính kèm tệp chứa mã độc ngụy trang dưới dạng file PDF hoặc tài liệu thông thường. Khi người dùng tải về và mở tệp, mã độc lập tức được kích hoạt, âm thầm cài đặt vào hệ thống.
Ngoài ra, nhóm còn thu thập và mua bán danh sách email trên các diễn đàn “chợ đen” để mở rộng phạm vi tấn công. Phần lớn nạn nhân là người dùng tại châu Âu, châu Mỹ và một số quốc gia châu Á.
Theo cơ quan điều tra, đã có hơn 94.000 máy tính bị nhiễm mã độc từ đường dây này. Dữ liệu đánh cắp chủ yếu là tài khoản mạng xã hội, đặc biệt là Facebook có chức năng chạy quảng cáo. Sau khi chiếm quyền kiểm soát, các đối tượng sử dụng để chạy quảng cáo bán hàng, hưởng hoa hồng hoặc bán lại tài khoản cho bên thứ ba.
Tổng số tiền thu lợi bất chính của đường dây được xác định lên tới hàng chục tỷ đồng. Đây là một trong những vụ án công nghệ cao có quy mô lớn, với mức độ ảnh hưởng xuyên quốc gia.
Hiện Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 đối tượng về các tội danh liên quan đến sản xuất, phát tán phần mềm phục vụ mục đích trái pháp luật và xâm nhập trái phép vào hệ thống máy tính.
