Diễn đàn hacker khét tiếng XSS.IS bị triệt phá – Quản trị viên nghi vấn bị bắt tại Ukraine, tên miền bị tịch thu
Sau hơn 12 năm hoạt động trong thế giới ngầm, diễn đàn tội phạm mạng lớn nhất dùng tiếng Nga – XSS.IS – đã chính thức bị triệt phá. Vào ngày 22/7/2025, nhà chức trách Ukraine, phối hợp cùng cảnh sát Pháp và Europol, đã bắt giữ nghi phạm được cho là quản trị viên đứng sau diễn đàn này. Đây là một trong những chiến dịch truy quét tội phạm mạng quy mô lớn và hiệu quả nhất từ trước đến nay tại châu Âu.
Diễn đàn XSS.IS là một “chợ đen” nổi tiếng trên Internet, nơi giới tội phạm mạng tụ hội để buôn bán quyền truy cập trái phép vào hệ thống, phần mềm độc hại (malware), cơ sở dữ liệu bị đánh cắp, công cụ triển khai ransomware và nhiều dịch vụ tấn công mạng khác. Nó thậm chí cung cấp hạ tầng trò chuyện mã hóa (Jabber server) để các đối tượng ẩn danh thương lượng và phối hợp tấn công.
Mặc dù sử dụng tiếng Nga là ngôn ngữ chính, diễn đàn XSS lại có quản trị viên bị bắt tại Ukraine, điều này càng cho thấy tội phạm mạng không có biên giới, và Ukraine với cộng đồng kỹ thuật cao, quy định pháp lý chưa hoàn thiện – từ lâu đã trở thành “mảnh đất màu mỡ” cho các hoạt động phi pháp tinh vi.
Ít ai biết rằng XSS.IS từng có một tiền thân là diễn đàn DaMaGeLaB, được thành lập từ năm 2004 và được cộng đồng hacker sử dụng để trao đổi kỹ thuật và tài nguyên. Tuy nhiên, đến tháng 12/2017, diễn đàn này bị gián đoạn sau khi một quản trị viên người Belarus – Sergey Yarets (biệt danh Ar3s) – bị bắt giữ.
Cuối năm 2018, một quản trị viên khác đã khôi phục bản sao lưu diễn đàn và tái lập hoạt động dưới cái tên mới – XSS, viết tắt của lỗ hổng Cross-Site Scripting – vừa thể hiện sự “công nghệ”, vừa giúp cắt đứt liên hệ với quá khứ đã bị giám sát bởi cơ quan thực thi pháp luật.
Trong nhiều năm, XSS.IS từng là nơi quy tụ hàng nghìn hacker hoạt động theo mô hình bán cấu phần dịch vụ (cybercrime-as-a-service). Tuy nhiên, vụ bắt giữ vừa qua lại cho thấy nghi phạm quản trị diễn đàn cư trú tại Ukraine, khiến nhiều nghi vấn được đặt ra về danh tính thực sự và quốc tịch của người này.
Ngay sau khi nghi phạm bị bắt, tên miền chính thức của XSS.IS đã bị tịch thu bởi cơ quan chống tội phạm mạng Pháp (BL2C) phối hợp với SBU – Cục An ninh mạng Ukraine. Người dùng khi truy cập địa chỉ này hiện nay sẽ thấy thông báo thu giữ.
Ảnh europol
Tuy nhiên, các phiên bản trên Dark Web (.onion) và mirror clearnet (xss.as) hiện hiển thị lỗi 504 Gateway Timeout, cho thấy có thể hạ tầng đang bị đánh sập hoặc ngắt kết nối tạm thời. Đáng chú ý, kênh Telegram liên kết với quản trị viên diễn đàn vẫn chưa bị kiểm soát và đang trong tình trạng “mới hoạt động gần đây”.
Trước thời điểm bị đánh sập, XSS.IS có hơn 50.000 thành viên, phần lớn là người mua và người bán các dịch vụ tấn công mạng, dữ liệu rò rỉ, công cụ mã độc và phần mềm tống tiền (ransomware). Việc đăng ký tài khoản thường phải trả phí và trải qua kiểm duyệt gắt gao, điều này khiến diễn đàn trở nên “kín đáo” và khó bị xâm nhập bởi cơ quan chức năng.
Không chỉ cung cấp dịch vụ, diễn đàn còn thu lợi hàng triệu USD từ quảng cáo, hoa hồng giao dịch và vận hành hạ tầng truyền thông mã hóa phục vụ tội phạm mạng quốc tế.
Chiến dịch bắt giữ quản trị viên XSS.IS và tịch thu toàn bộ tên miền, dữ liệu người dùng là một đòn giáng mạnh vào hệ sinh thái tội phạm mạng quốc tế. Europol cũng xác nhận đã thu giữ được dữ liệu người dùng và đang tiến hành phân tích để hỗ trợ các cuộc điều tra mở rộng trong và ngoài châu Âu.
Thông điệp mà vụ việc này gửi đi rất rõ ràng: Cho dù bạn đang điều hành nền tảng cybercrime quy mô toàn cầu, thì sớm hay muộn, pháp luật vẫn sẽ tìm tới bạn. Không một nền tảng nào – dù “ẩn danh” hay “an toàn” tới đâu – có thể tồn tại mãi mãi trước các cuộc điều tra chuyên sâu và phối hợp quốc tế.
XSS.IS – Chợ đen số chuyên buôn bán dữ liệu, mã độc và công cụ hack
Diễn đàn XSS.IS là một “chợ đen” nổi tiếng trên Internet, nơi giới tội phạm mạng tụ hội để buôn bán quyền truy cập trái phép vào hệ thống, phần mềm độc hại (malware), cơ sở dữ liệu bị đánh cắp, công cụ triển khai ransomware và nhiều dịch vụ tấn công mạng khác. Nó thậm chí cung cấp hạ tầng trò chuyện mã hóa (Jabber server) để các đối tượng ẩn danh thương lượng và phối hợp tấn công.
Mặc dù sử dụng tiếng Nga là ngôn ngữ chính, diễn đàn XSS lại có quản trị viên bị bắt tại Ukraine, điều này càng cho thấy tội phạm mạng không có biên giới, và Ukraine với cộng đồng kỹ thuật cao, quy định pháp lý chưa hoàn thiện – từ lâu đã trở thành “mảnh đất màu mỡ” cho các hoạt động phi pháp tinh vi.
Lịch sử “hồi sinh” từ DaMaGeLaB đến XSS.IS
Ít ai biết rằng XSS.IS từng có một tiền thân là diễn đàn DaMaGeLaB, được thành lập từ năm 2004 và được cộng đồng hacker sử dụng để trao đổi kỹ thuật và tài nguyên. Tuy nhiên, đến tháng 12/2017, diễn đàn này bị gián đoạn sau khi một quản trị viên người Belarus – Sergey Yarets (biệt danh Ar3s) – bị bắt giữ.
Cuối năm 2018, một quản trị viên khác đã khôi phục bản sao lưu diễn đàn và tái lập hoạt động dưới cái tên mới – XSS, viết tắt của lỗ hổng Cross-Site Scripting – vừa thể hiện sự “công nghệ”, vừa giúp cắt đứt liên hệ với quá khứ đã bị giám sát bởi cơ quan thực thi pháp luật.
Trong nhiều năm, XSS.IS từng là nơi quy tụ hàng nghìn hacker hoạt động theo mô hình bán cấu phần dịch vụ (cybercrime-as-a-service). Tuy nhiên, vụ bắt giữ vừa qua lại cho thấy nghi phạm quản trị diễn đàn cư trú tại Ukraine, khiến nhiều nghi vấn được đặt ra về danh tính thực sự và quốc tịch của người này.
Ngay sau khi nghi phạm bị bắt, tên miền chính thức của XSS.IS đã bị tịch thu bởi cơ quan chống tội phạm mạng Pháp (BL2C) phối hợp với SBU – Cục An ninh mạng Ukraine. Người dùng khi truy cập địa chỉ này hiện nay sẽ thấy thông báo thu giữ.
Ảnh europol
Trước thời điểm bị đánh sập, XSS.IS có hơn 50.000 thành viên, phần lớn là người mua và người bán các dịch vụ tấn công mạng, dữ liệu rò rỉ, công cụ mã độc và phần mềm tống tiền (ransomware). Việc đăng ký tài khoản thường phải trả phí và trải qua kiểm duyệt gắt gao, điều này khiến diễn đàn trở nên “kín đáo” và khó bị xâm nhập bởi cơ quan chức năng.
Không chỉ cung cấp dịch vụ, diễn đàn còn thu lợi hàng triệu USD từ quảng cáo, hoa hồng giao dịch và vận hành hạ tầng truyền thông mã hóa phục vụ tội phạm mạng quốc tế.
Bài học từ vụ XSS.IS – Không nơi nào là an toàn tuyệt đối
Chiến dịch bắt giữ quản trị viên XSS.IS và tịch thu toàn bộ tên miền, dữ liệu người dùng là một đòn giáng mạnh vào hệ sinh thái tội phạm mạng quốc tế. Europol cũng xác nhận đã thu giữ được dữ liệu người dùng và đang tiến hành phân tích để hỗ trợ các cuộc điều tra mở rộng trong và ngoài châu Âu.
Thông điệp mà vụ việc này gửi đi rất rõ ràng: Cho dù bạn đang điều hành nền tảng cybercrime quy mô toàn cầu, thì sớm hay muộn, pháp luật vẫn sẽ tìm tới bạn. Không một nền tảng nào – dù “ẩn danh” hay “an toàn” tới đâu – có thể tồn tại mãi mãi trước các cuộc điều tra chuyên sâu và phối hợp quốc tế.
