VexTrio, một mối đe dọa mạng tinh vi nổi tiếng với việc vận hành hệ thống phân phối lưu lượng (TDS) quy mô lớn, gần đây đã mở rộng hoạt động độc hại của mình. Nhóm này đã triển khai các ứng dụng VPN giả mạo lên các cửa hàng ứng dụng lớn như Google Play và Apple App Store.

VexTrio: Nguồn Gốc và Sự Phát Triển Chiến Thuật Tấn Công Mạng

VexTrio hình thành từ sự hợp nhất giữa những kẻ gửi thư rác người Ý và các nhà phát triển Đông Âu vào khoảng năm 2020. Hệ thống TDS của chúng có khả năng chuyển hướng lưu lượng truy cập web từ các trang web đã bị xâm phạm đến các điểm cuối gian lận.

Các điểm cuối này bao gồm phần mềm hù dọa (scareware), các vụ lừa đảo tiền điện tử và các ứng dụng di động lừa đảo. Cơ sở hạ tầng của nhóm được trải rộng trên các nhà cung cấp dịch vụ hosting “chống đạn” (bulletproof hosting) và các dịch vụ đám mây.

Hệ thống này hỗ trợ các hoạt động với khối lượng lớn, ảnh hưởng đến hàng triệu người dùng trên toàn cầu. Tính đến tháng 7 năm 2025, nhiều tên miền liên quan đến VexTrio nằm trong top 10.000 trang web phổ biến nhất thế giới.

Sự phát triển này cho thấy VexTrio đã chuyển đổi từ các chiến thuật tập trung vào thư rác sang gian lận adtech tích hợp. Chúng khai thác các mạng lưới liên kết như Los Pollos và TacoLoco để kiếm tiền từ các nguồn lưu lượng bất hợp pháp.

Ứng Dụng VPN Giả Mạo: Cơ Chế Hoạt Động và Tác Động

Việc triển khai các ứng dụng VPN độc hại đánh dấu một sự leo thang nghiêm trọng trong chiến thuật của VexTrio. Các ứng dụng tưởng chừng hợp pháp như FastVPN được thiết kế để thu thập dữ liệu người dùng và chuyển hướng lưu lượng vào hệ sinh thái TDS của chúng.

Những ứng dụng này, được phát triển dưới danh nghĩa các thực thể như Apperito và LocoMind, mạo danh các công cụ bảo mật. Chúng hứa hẹn các tính năng như dọn dẹp RAM và duyệt web được mã hóa. Tuy nhiên, thay vì cung cấp dịch vụ, chúng lại nhúng các cơ chế theo dõi tinh vi.

Các cơ chế này thu thập dữ liệu người dùng dựa trên vị trí địa lý, dấu vân tay thiết bị và các mẫu hành vi. Khi được cài đặt, các ứng dụng này khai thác quyền hạn để chặn lưu lượng mạng. Sau đó, chúng chèn các smartlink để chuyển hướng người dùng đến các vụ lừa đảo cost-per-action (CPA). Các hình thức lừa đảo này bao gồm lạm dụng thông báo đẩy và các đề nghị yêu cầu nhập thông tin thẻ tín dụng.

Phân tích lịch sử cho thấy ít nhất bảy ứng dụng như vậy có liên quan đến VexTrio. Các ứng dụng này đã đạt hơn 500.000 lượt tải xuống và 50.000 người dùng hoạt động vào năm 2024. Thành công này được VexTrio đạt được thông qua các kết quả SEO bị nhiễm độc và các trang web WordPress bị xâm phạm. Tham khảo thêm về cách các tác nhân đe dọa khai thác WordPress tại: Weaponizing WordPress Sites.

Chi Tiết Kỹ Thuật: Tích Hợp và Cơ Chế Kiếm Tiền

Về mặt kỹ thuật, các ứng dụng VPN của VexTrio tích hợp với TDS cốt lõi của chúng thông qua các tên miền như nxt-psh[.]com. Tên miền này xử lý việc kiếm tiền qua thông báo đẩy bằng cách liên tục nhắc người dùng cấp quyền thông báo với các tham số mức độ hung hãn có thể điều chỉnh.

Điều này tạo ra sự tồn tại dai dẳng, liên tục gửi cho nạn nhân các thông báo câu view (clickbait) dẫn đến các ưu đãi IVR (Interactive Voice Response) hoặc yêu cầu nhập thông tin thẻ tín dụng trống. Các đối tác liên kết kiếm được khoản thanh toán vượt quá 100 USD cho mỗi khách hàng tiềm năng đối với các hình thức gian lận giá trị cao như thực phẩm chức năng (nutra supplements) hoặc lừa đảo chống vi rút.

Phần backend của các ứng dụng này kết nối với các dải IP được đặt tại Thụy Sĩ dưới AS203639 và các hệ thống tự trị tương tự. Các IP này ban đầu được thuê bởi những người sáng lập người Ý cho các trang đích lừa đảo hẹn hò, giờ đây được tái sử dụng cho gian lận tiền điện tử và dịch vụ xác thực email thông qua các công cụ như DataSnap.

Bằng cách pha trộn các façade adtech hợp pháp với các mối quan hệ liên kết “black-hat”, VexTrio duy trì khả năng phủ nhận trách nhiệm. Chúng kiểm duyệt các đối tác liên kết thông qua các diễn đàn như Black Hat World, đảm bảo chỉ những hacker có kinh nghiệm mới có quyền truy cập vào các smartlink đang hoạt động.

Các Chỉ Số Lộ Trình Tấn Công (IOCs)

Dưới đây là một số chỉ số cho thấy sự hiện diện của mối đe dọa mạngVexTrio:

• Tên miền kiểm soát và điều khiển (C2):nxt-psh[.]com
• Các thực thể phát triển ứng dụng:Apperito, LocoMind
• Các mạng lưới liên kết:Los Pollos, TacoLoco
• Dải IP và AS liên quan:AS203639 (được đặt tại Thụy Sĩ)

Ảnh Hưởng Rộng Lớn và Các Biện Pháp Giảm Thiểu Rủi Ro Bảo Mật

Theo báo cáo từ Infoblox, những tác động của hoạt động VexTrio vượt xa các vụ lừa đảo cá nhân. Hoạt động của chúng đóng góp vào chi phí gian lận kỹ thuật số dự kiến lên tới 172 tỷ USD vào năm 2028. Chỉ riêng các vụ lừa đảo đầu tư đã thu về 16,6 tỷ USD từ các nạn nhân tại Hoa Kỳ vào năm 2024. Độc giả có thể tìm hiểu thêm về nguồn gốc của VexTrio tại: Infoblox Threat Intelligence Blog.

Cấu trúc công ty phức tạp của chúng, liên quan đến gần 100 thực thể trên khắp Châu Âu và các khu vực khác, làm phức tạp việc quy kết và gỡ bỏ. Mặc dù các nỗ lực của ngành đã giảm sự hiện diện của chúng trên các trang web bị xâm phạm từ 50% vào năm 2022 xuống 40% vào năm 2024, thách thức vẫn còn rất lớn.

Các nhà nghiên cứu bảo mật nhấn mạnh sự cần thiết phải tăng cường kiểm duyệt cửa hàng ứng dụng và chặn dựa trên DNS để phá vỡ hệ thống TDS của VexTrio. Nhóm này tiếp tục đổi mới với các tính năng như SmartRotation cho các trang đích lừa đảo đa dạng. Đây là một mối đe dọa mạng cần được theo dõi sát sao.

Khi VexTrio dọn dẹp dấu vết trực tuyến sau các vụ bị phơi bày, việc giám sát liên tục các trung tâm phát triển ở Đông Âu và trụ sở tại Thụy Sĩ của chúng vẫn là điều cần thiết để kiềm chế mối đe dọa mạng lan rộng này.