Một cuộc gọi giả mạo đã khiến đội đặc nhiệm SWAT ập vào nhà riêng của một nhà nghiên cứu bảo mật hôm cuối tuần qua. Đây không phải vụ việc ngẫu nhiên, mà là màn trả thù đầy tính toán của hacker mang bí danh "Dort" - kẻ điều khiển botnet Kimwolf lớn nhất thế giới hiện tại. Cuộc chiến này bắt đầu từ việc nhà nghiên cứu tiết lộ lỗ hổng bảo mật giúp Dort xây dựng mạng lưới máy tính zombie khổng lồ với hàng triệu thiết bị bị nhiễm. Swatting - hành vi gọi cảnh sát giả mạo tình huống khẩn cấp - đã trở thành vũ khí mới trong tay các cybercriminal.

Botnet tỷ đô và cuộc trả thù bằng mọi giá

Kimwolf không chỉ là botnet thông thường mà đã trở thành "siêu vũ khí" trong thế giới tội phạm mạng. Chúng tôi cho rằng quy mô của Kimwolf đã vượt xa những botnet khét tiếng trước đó như Mirai hay Emotet. Từ đầu năm 2026, sau khi KrebsOnSecurity công bố chi tiết về lỗ hổng bảo mật được sử dụng để tạo ra Kimwolf, Dort đã phát động chiến dịch trả thù không ngừng nghỉ. Các cuộc tấn công DDoS (từ chối dịch vụ phân tán) liên tục nhắm vào website của nhà nghiên cứu và KrebsOnSecurity với lưu lượng lên tới hàng terabyte.

Không dừng lại ở tấn công kỹ thuật, Dort còn sử dụng chiến thuật doxing - công khai thông tin cá nhân của nạn nhân trên các forum hacker. Email flooding (tấn công làm tràn hộp thư) với hàng triệu email rác được gửi liên tục, khiến hệ thống email của nạn nhân tê liệt hoàn toàn. Đỉnh điểm là vụ swatting - gọi điện giả mạo báo cảnh sát về tình huống nguy hiểm tại nhà riêng của nhà nghiên cứu, khiến đội SWAT phải ập vào kiểm tra trong đêm.

Giải mã danh tính bí ẩn của "Dort"

Việc truy vết danh tính thực của các cybercriminal hàng đầu luôn là thách thức lớn đối với cộng đồng an ninh mạng. Durch phân tích các dấu vết kỹ thuật và hành vi trực tuyến, chuyên gia bảo mật đang cố gắng vẽ nên chân dung của Dort. Timezone hoạt động chính của hacker này rơi vào múi giờ Đông Âu, với các cuộc tấn công mạnh nhất diễn ra từ 9h sáng đến 5h chiều theo giờ Moscow. Ngôn ngữ lập trình ưa thích của Dort là C++ và Python, thể hiện qua cấu trúc mã độc trong các mẫu malware thu được.

Phong cách tấn công của Dort có sự khác biệt rõ rệt so với các botmaster khác. Thay vì chỉ tập trung vào lợi nhuận, hacker này thể hiện động cơ báo thù mạnh mẽ khi danh tiếng bị tổn hại. Chúng tôi nhận thấy Dort có kiến thức sâu về infrastructure internet, đặc biệt là các lỗ hổng trong router và thiết bị IoT (Internet of Things). Việc sử dụng swatting như một công cụ trả thù cho thấy hacker này có hiểu biết về hệ thống pháp lý và thực thi pháp luật ở Mỹ.

Kimwolf - Siêu botnet và mối đe dọa toàn cầu

Botnet là mạng lưới các máy tính bị nhiễm malware và được điều khiển từ xa bởi cybercriminal, biến chúng thành "zombie" thực hiện các cuộc tấn công. Kimwolf hiện kiểm soát ước tính 15-20 triệu thiết bị trên toàn cầu, gấp 3 lần quy mô của botnet Conficker khét tiếng năm 2008. Sức mạnh tấn công DDoS của Kimwolf đạt mức 2.3 Tbps (terabit per second), đủ sức làm sập các dịch vụ internet lớn trong vài phút. Theo thống kê từ Vietnam Computer Emergency Response Team (VNCERT), Việt Nam có khoảng 180.000 địa chỉ IP bị nhiễm botnet, trong đó 15% thuộc về mạng Kimwolf.

Mô hình kinh doanh của Dort với Kimwolf cực kỳ đa dạng và sinh lời. Dịch vụ DDoS-for-hire được bán với giá từ 50-500 USD cho mỗi cuộc tấn công kéo dài 24 giờ. Click fraud (gian lận click quảng cáo) mang về hàng triệu USD mỗi tháng thông qua việc giả mạo lượt click từ các thiết bị zombie. Cryptocurrency mining trái phép trên các thiết bị bị nhiễm tạo ra thu nhập thụ động ổn định, ước tính 2-3 triệu USD mỗi tháng.

Bảo vệ hệ thống khỏi botnet Kimwolf như thế nào?

Doanh nghiệp và cá nhân Việt Nam cần thực hiện ngay các biện pháp bảo vệ cụ thể để tránh trở thành nạn nhân của Kimwolf. Đầu tiên, cập nhật firmware cho tất cả router và thiết bị IoT trong mạng, đặc biệt chú ý các bản vá bảo mật phát hành sau tháng 12/2025. Thay đổi mật khẩu mặc định của router và sử dụng mật khẩu mạnh với ít nhất 12 ký tự kết hợp chữ số và ký tự đặc biệt. Vô hiệu hóa các dịch vụ không cần thiết như Telnet, SSH trên các thiết bị mạng và chỉ cho phép truy cập từ các IP tin cậy.

Triển khai giải pháp DNS filtering để chặn kết nối tới các domain điều khiển botnet, sử dụng DNS public như Cloudflare (1.1.1.1) hoặc Google (8.8.8.8) thay vì DNS của nhà mạng. Thiết lập network monitoring để phát hiện lưu lượng bất thường, đặc biệt là các kết nối tới IP nước ngoài vào giờ nghỉ. Sao lưu dữ liệu quan trọng định kỳ và chuẩn bị kế hoạch khôi phục khi bị tấn công. Chúng tôi khuyến nghị các doanh nghiệp Việt Nam nên liên hệ với VNCERT để được hỗ trợ kiểm tra và xử lý khi phát hiện dấu hiệu nhiễm botnet.