KELA vén màn danh tính của kẻ tấn công mạng khét tiếng “303”, hé lộ mạng lưới tài khoản, bài đăng, và vụ xâm nhập trải dài khắp các châu lục – nơi ranh giới giữa “hacker thật” và “người tự quảng bá” trở nên mờ nhạt.

KẺ TẤN CÔNG “303” – NHIỀU TÊN GỌI, MỘT NGƯỜI

Nghiên cứu mới nhất của KELA đã làm sáng tỏ hành vi của một tin tặc hoạt động dày đặc dưới nhiều danh tính khác nhau trong thế giới ngầm mạng.
Trong nhiều năm qua, cá nhân này – được biết đến với những biệt danh như “303”, “NetworkBrokers”, “EvilCorp”, “g0d” và nhiều tên khác – đã xây dựng một mạng lưới hiện diện trực tuyến phức tạp, trải rộng trên các diễn đàn hacker, kênh Telegram và mạng xã hội.

Cuộc điều tra chỉ ra rằng, phía sau hình ảnh “hacker khét tiếng” là sự pha trộn giữa kỹ năng tấn công thật sự, hành vi lừa đảo, và chiêu trò tự quảng bá không ngừng.

KELA đã ghi nhận hơn 497 bài đăng liên quan đến người này trên nhiều diễn đàn. Kể từ năm 2023, hắn tự nhận trách nhiệm về hàng chục vụ xâm nhập và rao bán quyền truy cập mạng tại Mỹ, Nhật Bản, Đài Loan, Brazil, Argentina, cùng nhiều quốc gia khác.

Hồ sơ chi tiết đầy đủ của “303” – bao gồm các dữ liệu độc quyền không công khai – hiện có sẵn cho khách hàng của KELA.

TỪ BREACHFORUMS ĐẾN DARKFORUMS: DẤU VẾT MỘT HÀNH TRÌNH NGẦM

Manh mối đầu tiên bắt nguồn từ năm 2023, tại BreachForums – diễn đàn rao bán dữ liệu và truy cập mạng khét tiếng trước khi bị FBI đóng cửa.
Tại đây, “303” sử dụng nhiều bí danh khác nhau để quảng bá dữ liệu bị rò rỉ, tuyển hacker và bán quyền truy cập hệ thống. Hắn thường tự nhận mình là thành viên của các nhóm như “HaxSec”, “PlayCat”, “ZeroToleranceGang”.

Hắn từng tuyên bố tấn công vào chính phủ ở châu Âu, châu Phi, Nam Mỹ, các công ty viễn thông, trường học và cả nhà phát triển game Tây Ban Nha.
Tuy nhiên, phân tích của KELA cho thấy nhiều vụ rò rỉ này thực chất là sao chép lại dữ liệu cũ từ người khác.

Sau khi BreachForums bị triệt phá vào đầu năm 2025, “303” nhanh chóng tái xuất trên các diễn đàn khác như DarkForums, Exploit, PatchedForums với danh tính mới – tiếp tục rao bán cơ sở dữ liệu, quyền truy cập máy chủ và tài khoản RDP.
Đáng chú ý, hắn duy trì hiện diện xã hội tích cực, thường xuyên chào mừng thành viên mới, nhắc người khác tuân thủ quy định, và khéo léo lồng ghép quảng cáo dịch vụ hack của mình.

MẠNG LƯỚI DANH TÍNH & HẠ TẦNG TRỰC TUYẾN

Qua hàng loạt diễn đàn, KELA nhận thấy một điểm chung nổi bật: dù đổi tên liên tục, hắn vẫn sử dụng cùng một ID Telegram – liên kết tất cả danh tính của mình.
Dù là “NetworkBrokers” hay “EvilCorp”, hắn đều đăng quảng cáo với các tài khoản như @threezerothreeSecurity, @supp1995, cùng email mã hóa và tài khoản Jabber.

Đáng chú ý, hắn từng lập một website có tên leaknation[.]st, tự quảng bá là dịch vụ cho thuê VPS và “stresser” (DDoS-for-hire). Dữ liệu lưu trữ cũ cho thấy website này trước đó từng là diễn đàn hacker nhỏ mang tên LeakNation, nơi “303” đóng vai trò quản trị viên.

THEO DẤU OSINT – NỐI KẾT NHỮNG MANH MỐI

Từ năm 2021, cùng một tài khoản Telegram ID đã được dùng qua hàng chục tên như:
“ev1ntentually”, “rootkitsecurity”, “traphousemob1”, “threat303”…
Thông qua tài khoản này, hắn rao bán quyền truy cập mạng, trao đổi công cụ hack, và tham gia các nhóm về gian lận thẻ tín dụng, malware, và tiền điện tử.

Phần lớn các kênh Telegram hắn tham gia sử dụng tiếng Tây Ban Nha, cho thấy khả năng cao “303” thông thạo tiếng Tây Ban Nha hoặc có liên hệ với quốc gia nói tiếng này.
Hắn còn lập kênh Telegram riêng, nhiều lần đổi tên từ năm 2023–2024 để quảng bá dữ liệu rò rỉ và dịch vụ DDoS.

Bên ngoài “thế giới ngầm”, hắn xây dựng hình ảnh “hacker chuyên nghiệp” trên mạng X (Twitter), vừa khoe “chiến tích hack”, vừa bình luận chính trị và thỉnh thoảng nhắc đến các câu lạc bộ bóng đá Uruguay.

Trên GitHub, hắn tạo nhiều tài khoản như “g0dsecurity”, “retr0security”, chia sẻ mã khai thác lỗ hổng, ransomware, và công cụ như “Raven”, “BlackOut”. Thông tin trong hồ sơ GitHub thường ghi địa điểm là “Hell” – một câu đùa lặp lại xuyên suốt các tài khoản của hắn.

Khi đối chiếu dữ liệu từ username, Telegram ID, GitHub, và IP, KELA phát hiện dấu vết nhất quán trỏ về Nam Mỹ – cụ thể là Uruguay. Các IP trong dữ liệu rò rỉ của BreachForums trùng khớp với khu vực Montevideo, và múi giờ GMT-3 khớp với Argentina – Uruguay.

HÀNH TRÌNH TÌM KIẾM “UY TÍN” TRONG THẾ GIỚI NGẦM

Mặc dù liên tục đổi tên, hành vi đặc trưng của “303” vẫn không thay đổi:
Hắn luôn tự quảng bá bản thân, phóng đại khả năng, và thường khoe mối quan hệ với các thương hiệu hoặc tổ chức lớn – nhưng không bằng chứng nào được xác thực.
KELA còn phát hiện nhiều “vụ rò rỉ” hắn đăng thực chất là bản sao của dữ liệu cũ từ người khác.

Tuy vậy, “303” vẫn thể hiện mức độ bảo mật vận hành khá tinh vi:

• Che giấu email thật,

• Sử dụng trình nhắn mã hóa khi giao dịch,

• Phân tán liên lạc trên nhiều nền tảng.

Nhưng hắn vẫn để lộ dấu vết số học nhất quán, như IP và biệt danh lặp lại – giúp truy ra nguồn gốc thực sự.

PHÍA SAU NHÂN DẠNG “303”

Phân tích của KELA cho thấy, đằng sau hàng loạt bí danh là cùng một cá nhân, hoạt động liên tục ít nhất từ năm 2021.
Người này có khả năng sinh sống tại Uruguay, nói tiếng Tây Ban Nha thành thạo.
Hành vi của hắn kết hợp giữa kỹ năng kỹ thuật thực thụ và chiêu trò thao túng truyền thông, khi xen lẫn những vụ tấn công thật với các dữ liệu “tái chế” để giữ danh tiếng và thu hút khách hàng.

Hình mẫu này không hiếm: nhiều “hacker” hiện nay cùng lúc sống trong hai thế giới – vừa làm chuyên gia an ninh mạng hợp pháp, vừa trục lợi phi pháp từ chính kỹ năng đó.

GIẢI MÃ MẪU HÌNH – KHÁM PHÁ SỰ THẬT ĐẰNG SAU DANH TÍNH

Cuộc điều tra của KELA về “303” nhấn mạnh cách một cá nhân kiên trì có thể thay tên, đổi dạng và khai thác đa nền tảng để duy trì ảnh hưởng trong thế giới tội phạm mạng.

Bằng cách phân tích giao thoa giữa các danh tính, KELA chứng minh giá trị của tình báo mạng đa nền tảng (cross-platform intelligence) – cho phép truy dấu, đối chiếu hành vi và quy kết về cùng một thực thể.

Đối với chuyên gia an ninh mạng, nghiên cứu này cho thấy tầm quan trọng của việc nhận diện dấu hiệu nhất quán, như ID Telegram, ngôn ngữ sử dụng, hay cơ sở hạ tầng vùng miền – những yếu tố có thể hé lộ mối liên kết sâu hơn giữa các tác nhân đe dọa.

Với cơ quan thực thi pháp luật, đây là manh mối tiềm năng để truy vết mạng lưới, theo dõi hạ tầng và giám sát hành trình di chuyển của đối tượng qua nhiều nền tảng.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.