Triad Nexus lẩn tránh các lệnh trừng phạt để tiếp tục hoạt động tội phạm mạng

Triad Nexus, một mạng lưới tội phạm ngầm hoạt động như xương sống cho các hoạt động lừa đảo, rửa tiền và cờ bạc bất hợp pháp, đang sử dụng nhiều kỹ thuật khác nhau cùng các công ty bình phong để tránh bị áp đặt các lệnh trừng phạt, theo báo cáo mới đây từ Silent Push.

An ninh mạng

Hoạt động ít nhất từ năm 2020, tổ chức tội phạm mạng này đã gây ra thiệt hại hơn 200 triệu USD, chủ yếu đến từ các vụ lừa đảo đầu tư tiền điện tử (CIF) tinh vi được gọi là lừa đảo "mổ lợn" (pig butchering).

Lách luật và lạm dụng hạ tầng đám mây

Có liên kết đến tội phạm có tổ chức tại Châu Á, nhóm này trước đây thường dựa vào mạng lưới phân phối nội dung (CDN) Funnull để hỗ trợ các loại hình lừa đảo khác nhau. Sau khi Mỹ áp đặt lệnh trừng phạt lên Funnull vào năm ngoái, Triad Nexus đã cố gắng tách biệt mình khỏi công ty có trụ sở tại Philippines thông qua việc "tẩy trắng hạ tầng", sử dụng công ty bình phong và hàng rào địa lý (geo-fencing).

"Mặc dù có các lệnh trừng phạt liên bang vào năm 2025, nhóm này đã khôi phục lại động cơ lừa đảo toàn cầu, chuyển trọng tâm sang các thị trường mới nổi trong khi duy trì mối đe dọa dai dẳng đối với tài sản doanh nghiệp phương Tây," Silent Push lưu ý trong báo cáo mới.

Để tránh bị giám sát sau các lệnh trừng phạt, nhóm này đã triển khai tính năng chặn người dùng Mỹ, ngăn khách truy cập từ các địa chỉ IP tại Mỹ tiếp cận các tên miền bất hợp pháp.

Bảo mật dữ liệu

Đáng chú ý, công ty phòng thủ mạng này chỉ ra việc Triad Nexus lạm dụng các dịch vụ đám mây của Amazon, Cloudflare, Google và Microsoft như một phần trong hoạt động tẩy trắng hạ tầng. Hoạt động này dựa vào các "con lai tài khoản" (account mules) để thu mua tài khoản bất hợp pháp.

"Điều này mang lại cho các vụ lừa đảo của họ 'vẻ ngoài hợp pháp', tốc độ cao và hiệu suất chuyên nghiệp mà ngay cả những người dùng phương Tây am hiểu công nghệ cũng khó cưỡng lại," Silent Push nhận định.

Mở rộng mục tiêu sang Việt Nam và Đông Nam Á

Song song với việc sử dụng các dịch vụ đám mây lớn, nhóm này vẫn tiếp tục dựa vào AS152194 (CTG Server Limited) như xương sống "chống đạn" cho hoạt động của mình.

Ngoài việc tham gia vào các vụ lừa đảo đầu tư tiền ảo, Triad Nexus còn chuyên về việc mạo danh thương hiệu, tạo ra các bản sao website giống hệt (pixel-perfect clones) của nhiều tổ chức lớn. Các nạn nhân bao gồm các thương hiệu xa xỉ như Cartier, Chanel, Coach, eBay, Macy's, Rakuten, Tiffany, TripAdvisor và đặc biệt là Vietnam Post.

Nhóm này cũng nhắm vào các thực thể tài chính như Bank of America, Goldman Sachs, Etsy, iTrustCapital, MoneyGram, Royal Bank of Canada, Wells Fargo và Western Union.

Logo SecurityWeek

Silent Push giải thích: "Khi mạng lưới này tiếp tục rút lui khỏi việc tiếp xúc trực tiếp với Mỹ để tránh bị phát hiện, chúng đã mở rộng quan trọng sang các thị trường Tây Ban Nha, Việt Nam và Indonesia. Sử dụng các mẫu bản địa hóa để nhắm mục tiêu đến các khu vực này, mục tiêu của chúng là đảm bảo lợi nhuận bất hợp pháp tiếp tục chảy vào túi."

Để xa rời thương hiệu Funnull, Triad Nexus đã sử dụng các công ty bình phong "sạch" từ trước khi Mỹ áp đặt lệnh trừng phạt. Các công ty này bao gồm Bole CDN, CDN1[.]ai, Yunray[.]ai, CDN5[.]com và CTGCDN.

Ngoài ra, nhóm này bắt đầu định tuyến lưu lượng truy cập đến hơn 175 tên miền CNAME được tạo ngẫu nhiên, thiết lập mỗi tên miền một cách khác nhau để phân đoạn hạ tầng khách hàng và ánh xạ chúng đến nhiều dịch vụ doanh nghiệp.