Tuần này, Bộ Tư pháp Hoa Kỳ (DoJ) đã công bố bản cáo trạng đối với 54 cá nhân liên quan đến một đường dây tấn công ATM jackpotting trị giá hàng triệu đô la.
Âm mưu quy mô lớn này bao gồm việc triển khai mã độc có tên Ploutus để tấn công vào các máy rút tiền tự động (ATM) trên khắp Hoa Kỳ và buộc chúng phải nhả tiền mặt. Các thành viên bị cáo buộc là một phần của Tren de Aragua (TdA, tiếng Tây Ban Nha có nghĩa là "đoàn tàu Aragua"), một băng đảng Venezuela được Bộ Ngoại giao Hoa Kỳ chỉ định là một tổ chức khủng bố nước ngoài.
Vào tháng 7 năm 2025, chính phủ Hoa Kỳ đã công bố các lệnh trừng phạt đối với thủ lĩnh của nhóm, Hector Rusthenford Guerrero Flores (bí danh Niño Guerrero), và năm thành viên chủ chốt khác vì liên quan đến "buôn bán ma túy bất hợp pháp, buôn người và buôn bán người, tống tiền, bóc lột tình dục phụ nữ và trẻ em, và rửa tiền, cùng các hoạt động tội phạm khác".
Bộ Tư pháp cho biết bản cáo trạng được đệ trình vào ngày 9 tháng 12 năm 2025, đã buộc tội một nhóm gồm 22 người vì bị cáo buộc thực hiện hành vi gian lận ngân hàng, trộm cắp và rửa tiền. Các công tố viên cũng cáo buộc rằng TdA đã sử dụng các chương trình jackpotting để biển thủ hàng triệu đô la ở Hoa Kỳ và chuyển số tiền bất chính này giữa các thành viên và cộng sự của chúng.
Thêm 32 cá nhân khác đã bị buộc tội trong một bản cáo trạng thứ hai, liên quan được đệ trình vào ngày 21 tháng 10 năm 2025, cáo buộc họ "một tội âm mưu lừa đảo ngân hàng, một tội âm mưu trộm cắp ngân hàng và computer fraud, 18 tội bank fraud, 18 tội bank burglary, và 18 tội damage to computers."
Nếu bị kết tội, các bị cáo có thể phải đối mặt với mức án tối đa từ 20 đến 335 năm tù giam.
"Các bị cáo này đã sử dụng các kỹ thuật giám sát và đột nhập có phương pháp để cài đặt malware vào máy ATM, sau đó lấy cắp và rửa tiền từ các máy này, một phần để tài trợ cho khủng bố và các hoạt động tội phạm sâu rộng khác của TdA, một Foreign Terrorist Organization đã được chỉ định," quyền Trợ lý Tổng chưởng lý Matthew R. Galeotti của Vụ Hình sự Bộ Tư pháp cho biết.
Hoạt động jackpotting được cho là dựa vào việc TdA tuyển dụng một số lượng cá nhân không xác định để triển khai malware trên toàn quốc. Các cá nhân này sau đó sẽ tiến hành trinh sát ban đầu để đánh giá các biện pháp security bên ngoài được cài đặt tại các ATM khác nhau, sau đó cố gắng mở nắp ATM để kiểm tra xem chúng có kích hoạt bất kỳ alarm hoặc phản ứng của cơ quan thực thi pháp luật nào không.
Sau bước này, các threat actor sẽ cài đặt Ploutus bằng cách thay thế hard drive bằng một ổ đã được tải sẵn chương trình độc hại hoặc bằng cách kết nối một removable thumb drive. Malware này được trang bị để phát hành các lệnh trái phép liên quan đến Cash Dispensing Module của ATM nhằm buộc máy rút tiền.
"Malware Ploutus cũng được thiết kế để xóa bằng chứng về malware nhằm che giấu, tạo ấn tượng sai lệch, đánh lừa hoặc bằng cách khác lừa dối nhân viên của các ngân hàng và hiệp hội tín dụng không biết về việc triển khai malware trên ATM," DoJ cho biết. "Các thành viên của đường dây sau đó sẽ chia số tiền thu được theo tỷ lệ đã định."
Ploutus lần đầu tiên được phát hiện ở Mexico vào năm 2013. Trong một báo cáo năm 2014, Symantec đã chi tiết cách một weakness trong các máy ATM chạy Windows XP có thể bị exploit để cho phép cybercriminal rút cash chỉ bằng cách gửi một SMS đến các ATM bị compromised. Một phân tích sau đó từ FireEye (hiện là một phần của Google Mandiant) vào năm 2017 đã chi tiết khả năng kiểm soát các ATM Diebold và chạy trên các phiên bản Windows khác nhau của nó.
"Một khi được triển khai vào ATM, Ploutus-D makes it possible for a money mule to obtain thousands of dollars in minutes," họ giải thích vào thời điểm đó. "Một money mule phải có master key để mở phần trên của ATM (hoặc có thể pick it), một physical keyboard để connect to the machine, và một activation code (provided by the boss in charge of the operation) để dispense money from the ATM."
Theo cơ quan này, tổng cộng 1.529 sự cố jackpotting đã được ghi nhận tại Hoa Kỳ kể từ năm 2021, với khoảng 40,73 triệu đô la bị mất vào tay mạng lưới tội phạm quốc tế tính đến tháng 8 năm 2025.
"Hàng triệu đô la đã bị rút khỏi các máy ATM trên khắp Hoa Kỳ do âm mưu này, và số tiền đó được cho là đã chuyển đến các thủ lĩnh Tren de Aragua để tài trợ cho các hoạt động và mục đích khủng bố của chúng," Luật sư Hoa Kỳ Lesley Woods cho biết.
