Từ đường dây mã độc, lộ diện “chợ đen công nghệ”

Công khai rao bán tool hack, mã độc trên mạng

Việc lực lượng chức năng triệt phá đường dây sản xuất, mua bán mã độc tại Thanh Hóa mới đây không chỉ là một vụ án đơn lẻ. Đằng sau đó là một bức tranh rộng lớn hơn, nơi các công cụ hack, mã độc và phần mềm phục vụ lừa đảo đang được rao bán công khai như một loại “hàng hóa công nghệ”.

Chỉ cần tham gia một số hội nhóm trên mạng xã hội với những từ khóa như “tool Facebook”, “soi cầu tài xỉu”, “auto hack”, “tool MMO” hay “kiếm tiền online”, người dùng có thể dễ dàng tiếp cận hàng loạt bài đăng mua bán. Những cái tên như “Cộng đồng Tool Facebook Việt Nam”, “Chợ Tool Hack Auto Facebook”, “MMO Việt Nam Kiếm tiền online”, “Hội Soi cầu Tài Xỉu uy tín”, “Group Auto Tool & Script Việt” xuất hiện dày đặc, nhiều nhóm thu hút từ vài chục nghìn đến hàng trăm nghìn thành viên tham gia.

Không chỉ tồn tại rải rác, các hội nhóm này còn có sự liên kết chéo, dẫn người dùng từ Facebook sang Telegram hoặc các kênh riêng để giao dịch. Điều này tạo nên một mạng lưới phân phối rộng khắp, nơi công cụ được lan truyền nhanh chóng và khó kiểm soát.

Trong các hội nhóm này, hoạt động mua bán diễn ra gần như công khai. Bài đăng được trình bày chuyên nghiệp, có hình ảnh, video demo, bảng giá, thậm chí kèm cam kết bảo hành và hỗ trợ 24/7. Nhiều bài còn được ghim nổi bật, thu hút hàng trăm, hàng nghìn lượt tương tác chỉ trong thời gian ngắn.

Để kiểm chứng mức độ sôi động, phóng viên đã tham gia một nhóm Facebook chuyên chia sẻ và mua bán tool hack với hơn 50.000 thành viên. Chỉ trong vòng chưa đầy 10 phút, bảng tin liên tục xuất hiện bài đăng mới, từ rao bán tool quét dữ liệu, dịch vụ nuôi tài khoản đến quảng cáo phần mềm soi cầu tài xỉu với những lời cam kết “win 80-90%”.

Khi thử để lại bình luận hỏi thông tin dưới một bài đăng bán tool Facebook, phóng viên gần như ngay lập tức nhận được tin nhắn riêng từ một tài khoản có tên “Lương Sơn Bạc”.

Không vòng vo, tài khoản này gửi thẳng danh sách các sản phẩm kèm giá, bao gồm tool hack Facebook, tool quét UID, phần mềm gửi tin nhắn hàng loạt, thậm chí cả gói dịch vụ trọn bộ. Người này khẳng định có thể cung cấp mọi loại công cụ theo nhu cầu. “Bên em có đủ loại, chị cần gì cũng có. Tool chạy ổn định, không checkpoint, bảo hành đầy đủ”, tài khoản này giới thiệu.

Khi phóng viên bày tỏ lo ngại về việc sử dụng, câu trả lời được đưa ra rất nhanh. Theo người này, việc vận hành công cụ khá đơn giản, không cần kiến thức kỹ thuật, chỉ cần làm theo hướng dẫn. Nếu gặp khó khăn, người bán sẵn sàng hỗ trợ từ xa. Thậm chí, khi được hỏi về khả năng bị phát hiện, tài khoản này tiếp tục khẳng định việc sử dụng là “an toàn”, đã được tối ưu và nhiều người đang dùng thường xuyên.

Toàn bộ quá trình tư vấn, báo giá và hướng dẫn diễn ra trong vài phút, trơn tru như một giao dịch mua bán phần mềm thông thường. Khi được hỏi về thanh toán, người này lập tức gửi thông tin tài khoản và cam kết cấp tool ngay sau khi chuyển tiền. Không có dấu hiệu che giấu, không cần kỹ thuật phức tạp. Mọi thứ diễn ra công khai, nhanh chóng và quen thuộc đến mức khó tin rằng phía sau đó là những công cụ phục vụ hành vi xâm nhập và chiếm đoạt tài sản.

Trao đổi với phóng viên, anh L.V.H, người từng mua tool trong các hội nhóm này cho biết ban đầu chỉ tham gia vì tò mò, sau đó bị cuốn theo các lời quảng cáo “kiếm tiền nhanh”. “Người này chia sẻ rằng việc mua tool rất dễ, chỉ cần chuyển tiền là nhận được file và hướng dẫn sử dụng ngay. Tuy nhiên, sau một thời gian sử dụng, không những không kiếm được tiền như quảng cáo, mà còn lo ngại bị lộ thông tin cá nhân do chính phần mềm mình cài đặt”, anh H tiết lộ.

Trong không gian này, ranh giới giữa công nghệ và hành vi vi phạm pháp luật gần như bị xóa nhòa. Các tool hack và mã độc không còn bị nhìn nhận như công cụ nguy hiểm, mà được “đóng gói” thành sản phẩm kiếm tiền, phần mềm hỗ trợ kinh doanh, thậm chí được quảng bá như một cơ hội đổi đời.

Điều đáng lo ngại là những công cụ này không chỉ dừng lại ở mục đích tò mò. Phía sau đó là cả một hệ sinh thái phục vụ các đường dây lừa đảo, từ chiếm quyền tài khoản, đánh cắp dữ liệu đến phát tán liên kết giả mạo. Tất cả đều có thể được mua bán dễ dàng chỉ qua vài thao tác.

Sự sôi động của các hội nhóm cho thấy một thực tế đáng báo động, công nghệ đang bị bình thường hóa trong các hành vi vi phạm. Khi việc mua tool hack trở nên dễ dàng như tải một ứng dụng, khoảng cách từ người dùng bình thường đến hành vi phạm pháp chỉ còn là một quyết định trong vài giây.

Tội phạm công nghệ “dịch vụ hóa” - rủi ro lan rộng

Như đã biết, đầu năm 2026, Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phối hợp Công an tỉnh Thanh Hóa triệt phá một đường dây phát tán mã độc quy mô lớn, hoạt động xuyên quốc gia nhằm đánh cắp dữ liệu người dùng Internet. Điều khiến dư luận đặc biệt chú ý không chỉ là quy mô hơn 94.000 máy tính bị nhiễm, mà còn ở chân dung đối tượng cầm đầu kỹ thuật là N.V.X., một học sinh lớp 12 ở phường Hạc Thành (Thanh Hóa).

Từ năm 2023, X. bắt đầu tự học lập trình, nhưng thay vì dừng lại ở mức độ nghiên cứu cơ bản, đối tượng nhanh chóng chuyển hướng sang khai thác lỗ hổng hệ thống. Chỉ sau 1 năm, X. đã có thể phát triển các dòng mã độc có khả năng thu thập mật khẩu, cookies, địa chỉ IP và tự động gửi dữ liệu về máy chủ điều khiển. Qua các kênh Telegram, X. kết nối với nhiều đối tượng khác, trong đó có Lê Thành Công (Hà Tĩnh), để phát triển phần mềm chuyên đánh cắp tài khoản mạng xã hội, đặc biệt là Facebook, phục vụ mục đích trục lợi.

Chuỗi hoạt động này nhanh chóng được mở rộng. X. tiếp tục hợp tác với Phan Xuân Anh (Nghệ An) để phát triển dòng mã độc “PXA Stealers”, có khả năng chiếm quyền điều khiển máy tính từ xa, đổi lại hưởng 15% lợi nhuận. Song song, đối tượng nhận “đặt hàng” phát triển các loại mã độc khác với giá hàng trăm USD, biến kỹ năng cá nhân thành một dạng “dịch vụ công nghệ ngầm”.

Toàn bộ đường dây vận hành theo mô hình khép kín, phân công rõ vai trò từ lập trình, phát tán đến khai thác dữ liệu. Thủ đoạn chủ yếu vẫn là những “chiêu cũ” nhưng được tối ưu hóa: gửi email đính kèm tệp giả dạng tài liệu công việc, dụ nạn nhân tải về. Chỉ cần một cú nhấp chuột, mã độc được cài đặt, âm thầm chiếm quyền kiểm soát thiết bị và thu thập dữ liệu. Từ nguồn dữ liệu này, các đối tượng chiếm đoạt tài khoản mạng xã hội để chạy quảng cáo, bán lại hoặc khai thác trái phép, thu lợi hàng chục tỷ đồng.

Nhìn vào cấu trúc vận hành, đây không còn là một nhóm hacker đơn lẻ. Vụ án phơi bày rõ một thực tế: tội phạm công nghệ đang chuyển dịch từ mô hình cá nhân sang mô hình “dịch vụ hóa”. Nếu trước đây, việc thực hiện một cuộc tấn công mạng đòi hỏi kỹ năng chuyên sâu, thì nay chỉ cần tiền. Người mua không cần biết lập trình, không cần hiểu hệ thống, chỉ cần sở hữu “công cụ” là có thể tham gia vào chuỗi tội phạm.

Trong mô hình mới, vai trò được phân tách rõ ràng: người viết mã độc, người phát tán, người khai thác dữ liệu và người kiếm tiền. Mỗi mắt xích là một “dịch vụ” riêng biệt nhưng liên kết chặt chẽ, tạo thành một chuỗi giá trị khép kín. Chính sự phân mảnh này khiến việc truy vết và triệt phá trở nên khó khăn hơn, bởi khi một mắt xích bị bóc gỡ, phần còn lại vẫn có thể tiếp tục vận hành.

Nói về hiện tượng này, chuyên gia an ninh mạng Phí Văn Thanh cho biết: “Vụ việc tại Thanh Hóa là chỉ dấu rõ ràng cho thấy thị trường ngầm công nghệ tại Việt Nam đang gia tăng cả về mức độ phổ biến lẫn tính tổ chức, dần hình thành một hệ sinh thái tội phạm số thay vì các hoạt động tự phát như trước đây”.

Thực tế, những “chợ đen công nghệ” không còn là không gian kín. Các hội nhóm mua bán tool hack, mã độc, dữ liệu đánh cắp xuất hiện công khai trên nhiều nền tảng, với hàng chục nghìn thành viên. Việc gia nhập dễ dàng, chi phí thấp, thậm chí có cả “chăm sóc khách hàng” và hướng dẫn sử dụng đã kéo thấp đáng kể ngưỡng kỹ thuật của tội phạm công nghệ.

Ở góc độ này, tội phạm không chỉ gia tăng về số lượng mà còn lan rộng về đối tượng tham gia. Một bộ phận người trẻ có kiến thức công nghệ, thay vì trở thành nguồn nhân lực cho nền kinh tế số, lại bị cuốn vào các hoạt động phi pháp do lợi nhuận nhanh và rào cản thấp. Đây là sự dịch chuyển đáng lo ngại, khi công nghệ không còn là công cụ phát triển mà bị biến thành công cụ kiếm tiền bất hợp pháp.

Ông Thanh cũng nhấn mạnh: “Các đường dây hiện nay đã có sự chuyên môn hóa rõ rệt, từ phát triển mã độc, phát tán đến khai thác dữ liệu và thu lợi, vận hành tương tự mô hình dịch vụ hóa tội phạm mạng trên thế giới. Điều này cho thấy tội phạm công nghệ tại Việt Nam không đứng ngoài xu hướng toàn cầu, mà đang từng bước hòa vào dòng chảy chung, cả về phương thức lẫn cấu trúc”.

Không chỉ dừng ở kỹ thuật, các “sản phẩm” trong hệ sinh thái này còn được đóng gói và quảng bá như hàng hóa công nghệ hợp pháp. Những tool “soi cầu”, “hack tài khoản”, “kiếm tiền online” thực chất không phải là công cụ thần kỳ như quảng cáo, mà phần lớn dựa trên các phương thức quen thuộc như lừa đảo giả mạo (phishing), phát tán phần mềm gián điệp hoặc khai thác sự thiếu cảnh giác của người dùng.

Một số công cụ “soi cầu” thậm chí chỉ sử dụng dữ liệu ngẫu nhiên hoặc thuật toán giả lập để tạo cảm giác có quy luật, đánh vào tâm lý muốn kiếm tiền nhanh. Trong khi đó, các phần mềm “hack tài khoản” chủ yếu hoạt động bằng cách dụ người dùng tự cung cấp thông tin hoặc cấp quyền truy cập thiết bị. Nói cách khác, điểm yếu lớn nhất không nằm ở hệ thống, mà nằm ở con người.

Chính yếu tố tâm lý đã biến những công cụ này thành “mồi câu” hiệu quả. Sự tò mò, lòng tham và niềm tin vào công nghệ khiến nhiều người dễ dàng trở thành nạn nhân, hoặc tệ hơn, trở thành một phần của chuỗi tội phạm mà không nhận thức đầy đủ hậu quả.

Ở cấp độ rủi ro, sự hình thành các “chợ” mua bán mã độc kéo theo hệ lụy đa chiều. Với cá nhân, nguy cơ mất dữ liệu, bị chiếm đoạt tài khoản, lừa đảo tài chính ngày càng gia tăng. Với doanh nghiệp, đó là nguy cơ bị tấn công có chủ đích, rò rỉ dữ liệu khách hàng, gián đoạn hoạt động và tổn thất uy tín. Khi mọi hoạt động kinh tế ngày càng phụ thuộc vào nền tảng số, một sự cố an ninh mạng có thể kéo theo hậu quả dây chuyền.

Ở tầm vĩ mô, nếu không được kiểm soát, những “chợ đen công nghệ” hoàn toàn có thể phát triển thành một hệ sinh thái tội phạm quy mô lớn, nơi các đối tượng phân công vai trò từ phát triển công cụ, phát tán, khai thác đến rửa tiền. Khi đó, tội phạm công nghệ không còn là những vụ việc đơn lẻ, mà trở thành một ngành “công nghiệp ngầm” với khả năng gây thiệt hại trên diện rộng.

Trong bối cảnh đó, chuyên gia Phí Văn Thanh đưa ra cảnh báo, yếu tố con người vẫn là mắt xích dễ bị khai thác nhất. Việc nâng cao nhận thức, thận trọng với các lời mời gọi “kiếm tiền nhanh”, “tool công nghệ cao”, đồng thời áp dụng các biện pháp bảo mật cơ bản như mật khẩu mạnh, xác thực đa yếu tố hay hạn chế cài đặt ứng dụng không rõ nguồn gốc là những bước cần thiết để giảm thiểu rủi ro.

Rõ ràng, trong cuộc chiến với tội phạm công nghệ, công nghệ không phải là yếu tố duy nhất quyết định. Khi “dịch vụ hóa” đã trở thành xu hướng, thì ranh giới giữa người dùng và tội phạm cũng trở nên mong manh hơn bao giờ hết. Nếu không kịp thời kiểm soát, “chợ đen công nghệ” hôm nay có thể trở thành một hệ sinh thái tội phạm hoàn chỉnh trong tương lai không xa.