Nghiên cứu từ các chuyên gia bảo mật tại Infoblox Threat Intel đã phơi bày hoạt động tinh vi của VexTrio, một mạng lưới tội phạm mạng có kỹ năng cao đã hoạt động ít nhất từ năm 2017. Phát hiện này nhấn mạnh những nguy hiểm không ngừng trong nền kinh tế kỹ thuật số hiện nay.

VexTrio: Mối Đe Dọa Mạng Toàn Cầu

Trước đây được biết đến đơn giản là VexTrio, nhóm này hiện được gọi là VexTrio Viper. Chúng tận dụng các hệ thống phân phối lưu lượng nâng cao (TDSs), các tên miền giả mạo (lookalike domains), và thuật toán tạo tên miền đã đăng ký (RDGAs) để tổ chức các cuộc tấn công toàn cầu.

VexTrio là một trong những mối đe dọa mạng phổ biến nhất được quan sát trong các mạng doanh nghiệp. Nhóm này môi giới lưu lượng thông qua chương trình liên kết tội phạm mạng lớn nhất từng được biết đến, phân phối mã độc, lừa đảo và nội dung bất hợp pháp đến người dùng trên toàn thế giới.

Chiến Thuật Vận Hành và Phân Phối Mã Độc

Khả năng thao túng cơ sở hạ tầng DNS giúp VexTrio tạo ra các chuỗi chuyển hướng liền mạch. Chúng thường nhúng các liên kết thông minh độc hại vào các trang web bị xâm nhập, các nền tảng mạng xã hội như Instagram và Facebook, và thậm chí cả các công cụ bảo mật email. Để biết thêm chi tiết về cách các khai thác như SocGholish lợi dụng các trang web bị xâm nhập, bạn có thể tham khảo thêm tại SocGholish Exploits Compromised Websites.

Kỹ Thuật Che Dấu và Lợi Nhuận

Bộ ba TDS này không chỉ che giấu các trang đích để né tránh phân tích bảo mật mà còn dẫn dụ nạn nhân vào các kênh lừa đảo độc quyền. Các kênh này bao gồm các ngành công nghiệp hẹn hò, tiền điện tử, xổ số và thực phẩm chức năng (nutra). VexTrio thu lợi nhuận với vai trò là cả nhà môi giới và người tạo nội dung.

Cơ Chế Lừa Đảo Phổ Biến

Thách Thức CAPTCHA Giả Mạo

Trọng tâm trong kho vũ khí của VexTrio là các cơ chế lừa đảo như thử thách CAPTCHA giả mạo. Các CAPTCHA này đã tồn tại trong các hoạt động gian lận trong nhiều năm, dụ dỗ người dùng cấp quyền thông báo trình duyệt hoặc tiết lộ dữ liệu cá nhân dưới vỏ bọc xác minh.

Các CAPTCHA này, thường có hình ảnh robot nổi tiếng, đóng vai trò là cổng vào để duy trì quyền truy cập, cho phép phân phối thư rác (spam) và các vụ lừa đảo.

Ứng Dụng Di Động Độc Hại

Hoạt động của nhóm VexTrio mở rộng sang các ứng dụng di động độc hại được phân phối qua Google Play và Apple App Store, tích lũy tổng cộng hơn một triệu lượt tải xuống. Các ứng dụng VPN độc hại được triển khai bởi VexTrio TDS là một ví dụ điển hình về mối đe dọa này. Bạn có thể tìm hiểu thêm tại VexTrio TDS Deploys Malicious VPN Apps.

Dưới các tên nhà phát triển giả mạo như HolaCode, LocoMind, Hugmi, Klover Group và AlphaScale Media, các ứng dụng như Hugmi, Cheri, WinkChat, Spam Shield và Fast VPN ngụy trang thành các công cụ hợp pháp cho hẹn hò, chặn thư rác và mạng riêng ảo (VPN).

Trên thực tế, các ứng dụng này liên tục gửi quảng cáo cho người dùng, áp đặt các gói đăng ký khó hủy và thu thập địa chỉ email thông qua các mô hình trả tiền theo hành động (cost-per-action).

Phân Tích Kỹ Thuật và Liên Kết Tổ Chức

Phân tích kỹ thuật chuyên sâu đã tiết lộ các cơ sở mã nguồn dùng chung và sự trùng lặp trong lưu trữ với các đối tác liên kết của VexTrio, bao gồm Techintrade có trụ sở tại Prague và Oilimpex. Điều này đặt ra câu hỏi về ranh giới mờ nhạt giữa nhóm cốt lõi và các đối tác của nó.

Các bản ghi DNS tiếp tục liên kết các ứng dụng này với các dải IP chuyên dụng của VexTrio, chẳng hạn như những dải IP trong AS5368. Điều này xác nhận quyền kiểm soát đối với các bộ công cụ lừa đảo vi phạm các thương hiệu như Tinder, PornHub và thậm chí cả các nhân vật nổi tiếng bao gồm Elon Musk và Donald Trump trong các kế hoạch gian lận tiền điện tử.

Các Chỉ Số Xâm Phạm (IOCs) Liên Quan đến VexTrio

Dựa trên phân tích, các chỉ số xâm phạm (IOCs) sau đây đã được xác định:

• Tên miền lừa đảo/theo dõi:
  • datingcell.com
  • fidelitymail.com
  • trafficiq.com
• Tên miền nền tảng email marketing:
  • mail.holaco.de
• Các hệ thống tự trị (ASN) liên quan:
  • AS5368 (các dải IP chuyên dụng)
  • AS5398 (trung tâm dữ liệu Thụy Sĩ)
• Tên nhà phát triển giả mạo:
  • HolaCode
  • LocoMind
  • Hugmi
  • Klover Group
  • AlphaScale Media
• Tên ứng dụng di động độc hại:
  • Hugmi
  • Cheri
  • WinkChat
  • Spam Shield
  • Fast VPN
• Thương hiệu/Nhân vật bị lạm dụng:
  • Tinder
  • PornHub
  • Elon Musk
  • Donald Trump

Để có cái nhìn sâu hơn về việc VexTrio bị vạch trần và di sản của nó trong spam và các vụ lừa đảo tự tạo, độc giả có thể tham khảo báo cáo chi tiết từ Infoblox tại: VexTrio Unmasked: A Legacy of Spam and Homegrown Scams.

Chu Trình Spam-Scam Tự Củng Cố

Làm trầm trọng thêm tấn công mạng, VexTrio duy trì một chu kỳ spam-scam độc hại bằng cách vận hành các nền tảng tiếp thị email giả mạo, bắt chước các dịch vụ như SendGrid và MailGun. Chúng sử dụng các bản ghi Sender Policy Framework (SPF) để ủy quyền phân phối hàng loạt từ các máy chủ như mail.holaco.de.

Các tên miền của chúng, bao gồm datingcell.com và fidelitymail.com, có quyền truy cập vào hơn 220 triệu địa chỉ email. Các địa chỉ này được thu thập từ tương tác của nạn nhân trên các trang web lừa đảo và tích hợp các dịch vụ của bên thứ ba như YNOT Mail để tăng cường phạm vi tiếp cận.

Các email spam, được cá nhân hóa với các liên kết theo dõi từ trafficiq.com, chuyển hướng người dùng đến các trang đích do VexTrio kiểm soát. Các trang này chứa các cổng hẹn hò giả mạo hoặc các vụ lừa đảo đầu tư, thường được phân giải qua các trung tâm dữ liệu Thụy Sĩ trong AS5398.

Vòng lặp tự củng cố này không chỉ nuôi dưỡng hoa hồng liên kết mà còn mở rộng cơ sở dữ liệu của chúng cho các chiến dịch trong tương lai. Đây là một thách thức lớn đối với an ninh mạng toàn cầu.

Liên Kết Ngoài và Khuyến Nghị Bảo Mật

Ngoài các hoạt động gian lận kỹ thuật số, các nhân vật chủ chốt của VexTrio còn có liên hệ với nhiều doanh nghiệp đa dạng, từ đầu tư năng lượng mặt trời ở Bulgaria đến các công ty siêu nhỏ không liên quan. Điều này làm nổi bật ranh giới mờ ảo trong các hoạt động toàn cầu của chúng.

Tính đến ngày 13 tháng 8 năm 2025, những thích nghi liên tục với báo cáo của ngành cho thấy khả năng phục hồi của VexTrio. Điều này thúc giục tăng cường thông tin tình báo mối đe dọa dựa trên DNS và quy trình kiểm duyệt cửa hàng ứng dụng để giảm thiểu mối đe dọa lớn này.