Europol triệt phá dịch vụ rửa tiền điện tử AudiA6 được các băng đảng Ransomware sử dụng

Các nhà chức trách châu Âu đã triệt phá AudiA6, một dịch vụ rửa tiền điện tử được sử dụng bởi các băng đảng Ransomware và mạng lưới tội phạm mạng. Europol cho biết việc dỡ bỏ AudiA6 đã cắt đứt một "đường dây tài chính then chốt được sử dụng để rửa hàng trăm triệu lợi nhuận bất hợp pháp". Dịch vụ này ước tính đã được sử dụng để rửa hơn 336 triệu Euro (~389 triệu USD) kể từ năm 2021.
Europol triệt phá AudiA6
Cơ quan chức năng triệt phá mạng lưới rửa tiền điện tử quy mô lớn

Các nhà chức trách châu Âu vừa triệt phá AudiA6, một dịch vụ rửa tiền điện tử được các băng đảng Ransomware và mạng lưới tội phạm mạng sử dụng rộng rãi.

Trong một tuyên bố đưa ra hôm thứ Năm, Europol cho biết việc dỡ bỏ AudiA6 đã cắt đứt một "đường dây tài chính then chốt được sử dụng để rửa hàng trăm triệu lợi nhuận bất hợp pháp". Dịch vụ này ước tính đã được sử dụng để rửa hơn 336 triệu Euro (~389 triệu USD) kể từ khi ra mắt vào năm 2021.

"Nền tảng này đã trở thành trung tâm cho các tác nhân Ransomware và tội phạm mạng tìm cách rút tiền mặt từ các tài sản kỹ thuật số bị đánh cắp, đồng thời che giấu dấu vết dòng tiền khỏi các cơ quan chức năng," cơ quan này cho biết thêm.

Những người vận hành AudiA6 bị nghi ngờ cũng quản trị một diễn đàn tội phạm mạng trên Dark web có tên là Dark2Web, nơi tội phạm mạng quảng cáo các dịch vụ bất hợp pháp và kết nối với các tác nhân đe dọa khác trên khắp thế giới.

Kết quả của chiến dịch triệt phá

Là một phần của chiến dịch diễn ra vào ngày 10 tháng 6 năm 2026, một loạt các hành động phối hợp đã được thực hiện, bao gồm:

  • Bắt giữ hai quản trị viên bị cáo buộc mang quốc tịch Ukraine và Nga tại Georgia.
  • Khám xét ba địa điểm bất động sản.
  • Đánh sập 25 tên miền và thu giữ hơn 30 máy chủ.
  • Thu giữ hơn 80 phương tiện và nhiều bất động sản tại Georgia.
  • Phong tỏa tài sản tiền điện tử trị giá 692.000 Euro (798.000 USD) và thu giữ 86.000 Euro (99.400 USD) tiền điện tử.
  • Chặn các tài khoản Telegram được mạng lưới này sử dụng.
  • Thay thế các trang web trên Clear web và Dark web của AudiA6 và Dark2Web bằng biểu ngữ thông báo thu giữ của cơ quan hành pháp.

Song song đó, Bộ Tư pháp Hoa Kỳ (DoJ) đã công bố các cáo buộc chống lại hai cá nhân bị bắt - Ruslan Igorevich Tkachuk, 37 tuổi và Alexander Vladimirovich Ledenev, 25 tuổi. Cả hai bị buộc tội âm mưu rửa tiền và rửa tiền thông qua các hoạt động gài bẫy (sting money laundering). Nếu bị kết án, cả hai phải đối mặt với mức án tối đa là 20 năm tù.

"Trong số khoảng 10.333 Bitcoin được ký gửi, khoảng 393,39 BTC (trị giá khoảng 19.234.331 USD tại thời điểm giao dịch) được nhận trực tiếp từ các chợ Darknet, tổ chức Ransomware, dịch vụ tội phạm mạng và các nguồn bất hợp pháp khác, trong khi các khoản tiền bổ sung được ký gửi gián tiếp vào ví AudiA6 từ các nguồn bất chính," DoJ tuyên bố.

Hành trình điều tra xuyên quốc gia

Europol cho biết cuộc trấn áp là kết quả của một hành động thực thi pháp luật trước đó do Cảnh sát Ba Lan thực hiện, dẫn đến việc bắt giữ một công dân Ukraine vào tháng 9 năm 2025 vì bị cáo buộc liên quan đến các hoạt động rửa tiền của nhóm AudiA6.

Điều này cho phép các nhà chức trách tiến hành kiểm tra pháp y các thiết bị điện tử bị thu giữ của nghi phạm và xác định thêm những cá nhân khác liên quan đến hoạt động này.

AudiA6 được mô tả là một hoạt động rửa tiền điện tử quy mô công nghiệp, dựa vào hàng nghìn tài khoản sàn giao dịch gian lận được mở bằng danh tính bị đánh cắp hoặc mua lại. Dịch vụ tội phạm này có liên quan đến hơn 15 cuộc điều tra trên toàn thế giới về các cuộc tấn công Ransomware và các vụ trộm tiền điện tử quy mô lớn.

Trước khi bị triệt phá, AudiA6 được tiếp thị như một dịch vụ trộn tiền điện tử (mixing service) đảm bảo tính ẩn danh và tốc độ. Nó cho phép khách hàng chuyển số tiền thu được bất chính vào các ví do nhóm kiểm soát và nhận lại số tiền "sạch" trong vòng một giờ thông qua một "chuỗi giao dịch phức tạp" được thiết kế để che giấu nguồn gốc của dòng tiền.

Các giao dịch này diễn ra qua các nền tảng tin nhắn riêng tư, với những người vận hành thu phí hoa hồng từ 3% đến 10%.

Europol cho biết: "Hơn 6.000 hồ sơ Know Your Customer (KYC) liên quan đến các tài khoản 'mule' (tài khoản trung gian rửa tiền) đã được xác định trong quá trình điều tra. Nhiều tài khoản mule được kết nối với các trung gian nói tiếng Nga được tuyển dụng riêng để giúp chuyển tiền tội phạm thông qua các sàn giao dịch tiền điện tử."

AudiA6 cũng được cho là đã dựa vào cả các nhà cung cấp email thương mại và các địa chỉ email liên kết với các tên miền dưới quyền kiểm soát của chúng để đăng ký tài khoản mule với các sàn giao dịch tiền điện tử khác nhau. Danh sách các tên miền bao gồm:

  • designli.pictures
  • pheontx.eu
  • smplfy.in
  • sumato-soft.org
  • technobrains.dev
  • lett.email
  • trayo.app
  • deliverly.top
  • inboxly.top
  • postfast.eu
  • postino.click
  • inboxally.agency
  • mailora.eu
  • postify.email
  • quix.express
  • flowcomm.click
  • qube.black
  • deliverlett.com
  • lettermail.eu

Trong một báo cáo công bố vào tháng 11 năm 2021, Intel 471 đã tiết lộ rằng AudiA6 yêu cầu số dư tối thiểu là 27 Bitcoin và thu phí dịch vụ cố định từ 3% đến 5,5%. Gần đây nhất là vào tháng 12 năm 2025, một phân tích của TRM Labs đã phát hiện ra rằng số tiền bị đánh cắp từ vụ hack LastPass năm 2022 đã được chuyển qua Cryptex và AudiA6.

Cuộc điều tra được thực hiện bởi Cơ quan Mật vụ Hoa Kỳ (USSS) và Cơ quan Điều tra Hình sự IRS, cùng với Cảnh sát Ba Lan và các đối tác hành pháp từ Úc, Canada, Pháp, Georgia, Đức, Iceland, Nhật Bản, Thụy Sĩ và Vương quốc Anh.

Phát hiện này minh họa cho sự gia tăng của các dịch vụ rửa tiền điện tử quy mô công nghiệp đang thúc đẩy nền kinh tế tội phạm mạng, cũng như việc sử dụng các tài khoản sàn giao dịch gian lận, ví mule và các công cụ tập trung vào quyền riêng tư được thiết kế để che đậy dấu vết tiền bạc và vượt qua các biện pháp kiểm soát chống rửa tiền.

Europol nhấn mạnh: "Các nhóm Ransomware và mạng lưới tội phạm mạng đang ngày càng dựa vào kỹ thuật chain-hopping, các sàn giao dịch phi tập trung và các nền tảng 'mixer-as-a-service' để chuyển tiền điện tử bất hợp pháp qua nhiều blockchain trong vòng vài phút, giúp lợi nhuận tội phạm biến mất vào thế giới ngầm kỹ thuật số."