
(Phnom Penh) Theo báo cáo mới từ các nhà nghiên cứu an ninh mạng, một số đường dây lừa đảo hoạt động tại Campuchia đang mua và sử dụng các loại malware (được hiểu là phần mềm độc hại) dễ vận hành hơn để đánh cắp dữ liệu của những nạn nhân mất cảnh giác. Các chuyên gia cho rằng xu hướng này có thể đẩy tội phạm mạng đến mức khó kiểm soát, bởi ngay cả những người không có kiến thức IT chuyên sâu cũng có thể sử dụng các công cụ này để đánh cắp dữ liệu như một hacker thực thụ.
Từ lâu, các đường dây lừa đảo mạng hoạt động tại Campuchia, Myanmar và Lào đã bị nghi ngờ là đã dụ nạn nhân tải malware để đánh cắp dữ liệu đăng nhập tài khoản ngân hàng cá nhân và doanh nghiệp. Trước đây, việc vận hành những hoạt động như vậy thường đòi hỏi người đứng sau phải có kỹ năng máy tính khá tinh vi.
Tuy nhiên, tình hình hiện đã thay đổi. Công ty an ninh mạng Infoblox của Mỹ và tổ chức phi lợi nhuận Chống Lừa Đảo tại Việt Nam đã phát hiện dấu vết của một loại “malware-as-a-service” (MaaS) dễ sử dụng hơn trước.
Ghi chú biên tập: MaaS là một mô hình kinh doanh trong thế giới ngầm, nơi những hacker có chuyên môn cao sẽ phát triển, đóng gói và cho thuê các công cụ tấn công mạng, kèm theo hướng dẫn sử dụng, hỗ trợ kỹ thuật 24/7, và đôi khi cả đảm bảo “hoàn tiền nếu không hài lòng.”
Theo báo cáo công bố ngày 10/4, loại malware này có liên quan đến K99 Triumph City, một khu phức hợp casino tại thành phố Sihanoukville, miền Nam Campuchia. Một phần thông tin trong báo cáo được cung cấp bởi những người từng làm việc tại chính khu phức hợp này.
Theo các cựu nhân sự, nơi họ từng làm việc được cho là trùng khớp với khu vực của khách sạn kiêm casino Royal Union. Cơ sở này hiện vẫn có tên trong danh sách kinh doanh cờ bạc thương mại của chính phủ Campuchia, nhưng công ty mẹ lại không còn xuất hiện trong hệ thống đăng ký của Bộ Thương mại Campuchia. Nikkei Asia đã liên hệ Bộ Nội vụ Campuchia, cơ quan phụ trách thực thi pháp luật và chiến dịch truy quét lừa đảo mạng, đề nghị đưa ra bình luận, nhưng không nhận được phản hồi.
Theo nghiên cứu, các đường dây lừa đảo mua hàng loạt URL rồi dựng website có giao diện phù hợp với từng kịch bản lừa đảo. Ví dụ, website có thể giả mạo ngân hàng, hoặc dụ người truy cập tải xuống một trò chơi hay ứng dụng đầu tư. Những website giả mạo này, hay còn được gọi là “trojan”, sẽ lây nhiễm malware vào thiết bị người dùng.
Báo cáo cho biết mô hình “malware-as-a-service” được duy trì bởi một nhóm lập trình viên chưa rõ danh tính. Nhóm này thường xuyên cập nhật chương trình và nhận một phần lợi nhuận từ hoạt động lừa đảo. Đáng lo hơn là công cụ này dễ dùng đến mức những người không quá rành về máy tính cũng có thể vận hành được.
John Wojcik, nhà nghiên cứu mối đe dọa cấp cao tại Infoblox, cho biết công ty ghi nhận số lượng máy tính cố gắng truy cập vào những tên miền đáng ngờ có liên quan đến malware tăng mạnh chưa từng thấy.
“[Tỷ lệ truy cập tăng] từ 400.000 [thiết bị] cố gắng kết nối đến các nội dung độc hại này lên 1,8 triệu vào tháng 3 [năm 2025]… và mức tăng đó đã trở thành trạng thái bình thường mới, khiến chúng tôi buộc phải tìm hiểu chuyện gì đang xảy ra,” ông nói.
Ông cho biết ban đầu, nhóm nghiên cứu nghi ngờ hoạt động này có liên quan đến các khu phức hợp lừa đảo, do các website giả mạo sử dụng nhiều ngôn ngữ phổ biến ở khu vực cận kề nhưng không có tiếng Trung. Nghi vấn này sau đó được củng cố thông qua hợp tác với Chống Lừa Đảo, đơn vị đã nhận được dữ liệu rò rỉ về malware-as-a-service từ những người từng làm việc tại K99 Triumph City.
“Malware-as-a-service” là cách gọi dựa trên mô hình phân phối phần mềm qua điện toán đám mây vốn đã phổ biến, tức Software-as-a-Service, hay SaaS.
“Trước đây, những công cụ như vậy thường chỉ nằm trong tay các nhóm tội phạm mạng có kỹ năng cao. Nhưng hiện nay, việc tiếp cận và sử dụng chúng đang trở nên dễ dàng hơn rất nhiều,” Wojcik chia sẻ.
Ngô Minh Hiếu, nhà sáng lập Chống Lừa Đảo, chia sẻ với Nikkei Asia rằng anh đã theo dõi dấu vết của một hoạt động malware quy mô lớn trên Internet trong nhiều năm. Cuộc điều tra chỉ thực sự mở rộng khi một người từng làm việc tại K99 Triumph City gửi cho anh nhiều dữ liệu liên quan.
Ngoài ra, anh phát hiện thêm bằng chứng cho thấy nhân sự ở các khu phức hợp lừa đảo khác cũng đang sử dụng chung nền tảng MaaS và thường xuyên nâng cấp hệ thống.
Theo anh Ngô Minh Hiếu, điều khó lý giải nhất hiện nay là ai đang phát triển, cập nhật và hưởng lợi từ dịch vụ này. Dựa trên mã nguồn, anh cho rằng nhóm đứng sau là các lập trình viên có trình độ cao và sử dụng tiếng Trung như ngôn ngữ mẹ đẻ. Tuy nhiên, danh tính thật của họ vẫn còn là ẩn số.
“Ngay cả những người bên trong khu phức hợp lừa đảo cũng không biết chúng là ai,” anh nói.
Mô hình kinh doanh MaaS đang bùng nổ mạnh mẽ ở nhiều nơi tại châu Á và thường chỉ bị phát hiện sau khi đã có nạn nhân. Năm 2024, một công ty an ninh mạng từng phát hiện một nhóm hacker Việt Nam phát tán malware qua các nền tảng tạo video bằng AI được quảng cáo trên Facebook. Một công ty khác cũng ghi nhận malware được phát tán từ một website giả mạo trang khai thuế của chính phủ Indonesia.
Gatra Priyandita, chuyên gia phân tích cấp cao về mạng, công nghệ và an ninh tại Viện Chính sách Chiến lược Úc, cho biết xu hướng này đã tồn tại trong giới tội phạm mạng khoảng một thập kỷ qua.
“Điểm khác biệt trong trường hợp của Infoblox không nằm ở khái niệm MaaS, tức malware-as-a-service. Điều đáng chú ý là mô hình này đã được gắn vào một hệ sinh thái tội phạm rộng lớn hơn, bao gồm các hoạt động thao túng tâm lý nạn nhân và đặc biệt là sử dụng lao động cưỡng bức trong các khu phức hợp lừa đảo,” ông viết trong email.
Priyandita cảnh báo rằng những tổ chức này sẽ rất khó bị triệt phá, ngay cả khi đã được xác định và định vị, do các vấn đề về thẩm quyền tài phán, khả năng thích nghi của các nhóm lừa đảo và hacker, cũng như các “động cơ chính trị hoặc kinh tế [từ phía cơ quan thực thi pháp luật] khiến những hoạt động này được dung túng”.
Theo Priyandita, nếu các công nghệ hỗ trợ lừa đảo tiếp tục phát triển, hệ quả sẽ không chỉ dừng lại ở thiệt hại tài chính. Người dân và doanh nghiệp có thể phải đối mặt với tổn thất ngày càng lớn, trong khi niềm tin vào các hệ thống số ngày càng bị bào mòn.
“Điều đáng lo hơn cả là các vụ lừa đảo trên diện rộng đang làm xói mòn niềm tin vào hệ thống tài chính số và hạ tầng định danh số, hai nền tảng quan trọng của nền kinh tế hiện đại. Theo nghĩa đó, tác động của chúng mang tính chiến lược, vì chúng làm suy yếu chính những hệ thống mà các chính phủ đang nỗ lực xây dựng và bảo vệ”, Priyandita chia sẻ.
Hiếu cho biết các nhóm lừa đảo không chỉ sử dụng malware, mà còn kết hợp nhiều công nghệ khác để mở rộng quy mô hoạt động. Deepfake được dùng để che giấu khuôn mặt và giọng nói, công cụ dịch tự động bằng AI giúp tiếp cận nạn nhân ở nhiều quốc gia, còn tự động hóa giúp đẩy nhanh quy trình vận hành.
“Đó là lý do vì sao, với sự hỗ trợ của AI, quy mô của tội phạm mạng đang ngày càng vượt khỏi tầm kiểm soát,” anh nói.
Theo Hiếu, những nền tảng AI của các công ty lớn như Meta hay Alphabet (công ty mẹ của Google) có khả năng phát hiện khi dịch vụ của họ bị sử dụng bất thường tại các điểm nóng lừa đảo như Myawaddy ở Myanmar hoặc Sihanoukville ở Campuchia. Từ dữ liệu nội bộ đó, các công ty này có thể chủ động hơn trong việc đánh dấu hoặc ngăn chặn những hoạt động đáng ngờ.
Dusan Farrington, đại diện truyền thông của Google phụ trách Android tại khu vực châu Á – Thái Bình Dương, cho biết qua email rằng Google đã nắm được loại malware được mô tả trong báo cáo và Android hiện có “các cơ chế phòng vệ chủ động để chặn chúng”. Ông cũng dẫn một phân tích gần đây cho thấy lượng malware đến từ các nguồn cài ngoài (sideload), như tải ứng dụng qua trình duyệt, cao hơn hơn 90 lần so với lượng malware đến từ các ứng dụng tải trực tiếp trên Google Play Store.
(Trước khi bài viết được xuất bản, Nikkei Asia cũng đã liên hệ với Meta. Bài viết sẽ được cập nhật nếu nhận được phản hồi)
John Wojcik của Infoblox cũng cho rằng khu vực tư nhân có nhiều lợi thế hơn trong việc ứng phó với vấn đề này ở quy mô lớn. Ông đã phát triển một thuật toán hiện được Infoblox sử dụng để đánh dấu các tên miền nghi độc hại. Đồng thời, ông đang trao đổi với quan chức chính phủ tại nhiều quốc gia về các phát hiện này, cũng như về các biện pháp bảo vệ Domain Name System, hay DNS, hệ thống giúp phân giải tên miền thành địa chỉ truy cập trên Internet.
Thời gian qua, Campuchia đã tích cực truyền thông về các nỗ lực truy quét ngành công nghiệp lừa đảo, qua đó giải cứu hàng nghìn lao động cho biết họ từng bị buôn bán hoặc bị lừa bởi các lời mời làm việc. Tuy nhiên, Wojcik cảnh báo rằng hoạt động lừa đảo vẫn đang được bảo vệ bởi các mạng lưới chính trị.
“Điều tôi muốn nói với các chính phủ trong khu vực là chúng ta không thể chỉ dựa vào điều tra và truy tố để giải quyết tận gốc vấn đề này. Bởi trong các cuộc họp về tương trợ tư pháp và điều tra tội phạm xuyên biên giới, có thể vẫn tồn tại những bên liên quan đến chính các đường dây lừa đảo này, hoặc có động cơ để làm ngơ,” ông nói.
Theo Danielle Keeton-Olsen, Nikkei Asia, xuất bản 24/4/2026.