11 quốc gia triệt phá mixer AudiA6, xử lý 3,89 tỷ USD Bitcoin(BTC) rửa tiền ransomware

11 quốc gia vừa phối hợp triệt phá mạng lưới rửa tiền tiền mã hóa *AudiA6*, xử lý hơn 3,89 tỷ USD *Bitcoin(BTC)* từ các vụ tấn công mạng và tội phạm trực tuyến. Theo Eurojust công bố ngày 13 (giờ địa phương), vụ việc cho thấy hạ tầng tội phạm dựa trên *tiền mã hóa* vẫn là mắt xích then chốt trong chuỗi tấn công *ransomware* và các hoạt động phi pháp trên không gian mạng.

Theo Eurojust đưa tin ngày 13 (giờ địa phương), cơ quan chức năng của Mỹ, Australia, Pháp, Ba Lan, Gruzia, Iceland, Canada, Đức, Nhật Bản, Thụy Sĩ và Anh đã phối hợp dưới sự điều phối của Eurojust và Europol, triển khai chiến dịch chung nhằm đánh sập tổ chức *AudiA6*. Kết quả, 2 nhân vật được xem là cốt lõi của mạng lưới đã bị bắt giữ tại Gruzia, được cho là mang quốc tịch Nga và Ukraina. Nhà chức trách cũng tịch thu 25 tên miền, hơn 30 máy chủ, khoảng 80 phương tiện giao thông và phong tỏa lượng *tiền mã hóa* trị giá xấp xỉ 900.000 USD.

Tổ chức *AudiA6* vận hành theo mô hình *“mixer” tiền mã hóa*, cho phép nhanh chóng “trộn” nguồn tiền bẩn – chủ yếu là tài sản bị đánh cắp từ các vụ tấn công mạng – nhằm che giấu dấu vết trên chuỗi khối. Người dùng có thể “làm sạch” tài sản trong khoảng một giờ, với mức phí dao động từ 3% tới 10% tùy giao dịch. Theo công ty phân tích chuỗi khối Chainalysis, kể từ năm 2021, ví liên quan tới *AudiA6* đã tiếp nhận khoảng 10.333 *Bitcoin(BTC)*, với giá trị tại thời điểm thực hiện giao dịch vào khoảng 3,89 tỷ USD.

Không chỉ cung cấp dịch vụ trộn tiền, cơ quan điều tra cho biết *AudiA6* còn vận hành một diễn đàn và chợ trực tuyến mang tên “Dark2Web” để quảng bá các dịch vụ bất hợp pháp, đồng thời làm cầu nối cho tội phạm mạng trên toàn cầu. *bình luận* Mô hình “dịch vụ trọn gói” như vậy giúp tội phạm mạng vừa có kênh rửa tiền, vừa có hạ tầng để trao đổi công cụ tấn công và dữ liệu, khiến việc triệt phá trở nên khó khăn hơn.

Một đặc điểm nổi bật trong vụ việc là việc lạm dụng quy trình *KYC* (xác minh danh tính khách hàng). Eurojust cho biết đã phát hiện hơn 6.000 hồ sơ *KYC* được lập bằng danh tính bị đánh cắp hoặc mua lại, nhằm tạo ra các tài khoản “sạch” trên sàn giao dịch và dịch vụ tài chính. Điều tra cũng chỉ ra sự tham gia của các “trung gian nói tiếng Nga”, được tuyển mộ để hỗ trợ luân chuyển tiền, mở rộng thêm một tầng che chắn giữa tội phạm và dòng tiền.

Cảnh sát Liên bang Australia (AFP) khẳng định mạng lưới *AudiA6* đã tham gia rửa một phần tiền chuộc mà một doanh nghiệp Australia buộc phải trả sau vụ tấn công *ransomware* trong năm 2024. Hiện các tên miền trên web thông thường và *dark web* liên quan tới *AudiA6* và “Dark2Web” đều đã bị thu giữ, hiển thị thông báo phong tỏa của cơ quan chức năng.

Diễn biến này một lần nữa cho thấy *rửa tiền bằng tiền mã hóa* vẫn là trụ cột trong hệ sinh thái tội phạm mạng toàn cầu. Hoạt động *ransomware* cũng đang có xu hướng tập trung hơn về mặt địa lý và tổ chức. Theo báo cáo của Emsisoft, trong quý 1 năm 2026, nạn nhân *ransomware* được ghi nhận tại 97 quốc gia, nhưng riêng Mỹ đã chiếm tới 64,7% tổng số vụ. Đơn vị nghiên cứu Check Point Research cũng chỉ ra rằng 10 nhóm *ransomware* lớn nhất chịu trách nhiệm đối với khoảng 71% tổng số nạn nhân.

*bình luận* Số liệu này cho thấy chuỗi giá trị của tội phạm mạng – từ nhóm phát triển *ransomware*, đối tác phát tán, cho tới dịch vụ trộn *tiền mã hóa* và nguồn cung tài khoản *KYC* giả – đang vận hành như một chuỗi cung ứng được phân công rõ ràng, thay vì những nhóm rời rạc như trước.

Vụ triệt phá *AudiA6* do vậy không chỉ đơn thuần là đánh sập một “mixer” *Bitcoin(BTC)*, mà còn là đòn giáng vào toàn bộ chuỗi cung ứng tội phạm, đặc biệt là mảng *rửa tiền bằng tiền mã hóa* và thị trường tài khoản *KYC* giả. *bình luận* Dù vậy, giới quan sát nhận định các mạng lưới tương tự có thể nhanh chóng tái cấu trúc trên hạ tầng mới, buộc cơ quan điều tra phải tiếp tục mở rộng hợp tác xuyên biên giới, siết chặt giám sát dịch vụ trộn tiền và quy trình xác minh danh tính trong lĩnh vực *tiền mã hóa*.