Một mạng lưới đe dọa tinh vi có tên gọi “Triad Nexus” đang hoạt động thông qua mạng phân phối nội dung (CDN) FUNNULL để ẩn giấu cơ sở hạ tầng độc hại bên trong các nhà cung cấp dịch vụ đám mây lớn của phương Tây, bao gồm Amazon và Microsoft. Chiến dịch này, do cá nhân bị trừng phạt Lizhi Liu đứng đầu, đã gây ra thiệt hại hơn 200 triệu USD cho các nạn nhân ở Hoa Kỳ thông qua các kế hoạch lừa đảo đầu tư.
Kỹ Thuật “Rửa Hạ Tầng” (Infrastructure Laundering)
Các nhà phân tích mối đe dọa của Silent Push đã xác định việc FUNNULL sử dụng kỹ thuật “Rửa Hạ Tầng” (Infrastructure Laundering) như một phương pháp chính để che giấu các hoạt động độc hại của mình. Kỹ thuật này bao gồm việc lạm dụng có hệ thống các nhà cung cấp dịch vụ đám mây phương Tây để chiếm đoạt tài khoản một cách bất hợp pháp và nhanh chóng tích hợp địa chỉ IP vào mạng lưới hạ tầng của FUNNULL.
Cách tiếp cận này cho phép các tác nhân đe dọa lưu trữ các trang web lừa đảo miễn phí, chủ yếu tận dụng các nhà cung cấp đáng tin cậy của phương Tây để né tránh sự phát hiện. Điều này làm tăng thách thức trong việc theo dõi và ngăn chặn các hoạt động độc hại, đồng thời cho phép kẻ tấn công duy trì sự hiện diện trực tuyến với chi phí thấp và rủi ro bị phát hiện giảm thiểu.
Tác Động và Mức Độ Thiệt Hại
FUNNULL có liên quan đến phần lớn các trang web lừa đảo đầu tư tiền ảo được báo cáo cho Cục Điều tra Liên bang (FBI). Theo thống kê, mức thiệt hại trung bình cho mỗi nạn nhân cá nhân đạt tới 150.000 USD.
Mối liên hệ của mạng lưới này với Huione Pay, một thị trường bất hợp pháp gần đây đã bị FinCEN gắn cờ là “tổ chức tài chính đáng quan ngại về rửa tiền”, chứng minh tính chất phức tạp và tinh vi của hệ sinh thái tội phạm này.
Cá Nhân và Tổ Chức Liên Quan Bị Trừng Phạt
Vào tháng 5 năm 2025, Bộ Tài chính Hoa Kỳ và FBI đã ban hành các khuyến cáo chung, thông báo rằng FUNNULL và quản trị viên của nó, Lizhi Liu, đã được thêm vào danh sách trừng phạt của Hoa Kỳ do hỗ trợ các trang web lừa đảo đầu tư. Mặc dù bị trừng phạt, Lizhi Liu vẫn duy trì các tài khoản đang hoạt động trên nhiều dịch vụ lớn của phương Tây, bao gồm Google, Microsoft, Meta và các nền tảng khác, làm dấy lên những lo ngại về tuân thủ cho các tổ chức doanh nghiệp.
Nghiên cứu cho thấy Liu, còn được biết đến với tên “Steve/Steven” Liu, duy trì dấu chân kỹ thuật số rộng khắp trên các nền tảng phương Tây bất chấp các lệnh trừng phạt của Bộ Tài chính Hoa Kỳ. Ông là một nhà phát triển 41 tuổi đến từ Trung Quốc, đã duy trì sự hiện diện trực tuyến rõ ràng từ năm 2010, hoạt động dưới nhiều nhân vật khác nhau.
Công ty Shanghai Zhiyan, do Liu thành lập năm 2012, là một công ty dịch vụ mạng tập trung vào xây dựng trang web cao cấp và truyền thông thương hiệu. Trên trang web zylinkus[.]com, tiện ích trò chuyện “Tawk[.]to” cung cấp dịch vụ trò chuyện cho khách truy cập.
Hành Vi Trực Tuyến và Thách Thức Tuân Thủ
Các nhà phân tích của Silent Push đã xác định các tài khoản hoạt động của Liu trên X/Twitter, GitHub/Microsoft, LinkedIn/Microsoft, Facebook/Meta, các dịch vụ của Google, Medium, PayPal, WordPress và nhiều nền tảng khác. Đáng chú ý, Liu vẫn tích cực sử dụng tài khoản Facebook của mình để cập nhật một nhóm về Ganzhou, Trung Quốc, thực hiện các bài đăng và thay đổi nội dung gần đây nhất là vào tháng 6 năm 2025, chỉ vài tuần sau khi lệnh trừng phạt được ban hành.
Hoạt động liên tục này cho thấy phản ứng không đồng bộ từ các công ty công nghệ đối với các lệnh trừng phạt của Bộ Tài chính Hoa Kỳ. Google dường như là một trong số ít các công ty đã theo dõi và hành động chống lại các tài khoản của Liu bằng cách xóa kênh YouTube của ông ta.
Chuyên môn kỹ thuật của Liu trải rộng từ phát triển full-stack, điện toán đám mây đến hệ thống DNS, giúp ông có vị trí thuận lợi để dàn xếp các hoạt động rửa hạ tầng tinh vi.
Phản Ứng và Khuyến Nghị Cho Các Tổ Chức
Nghiên cứu do Brian Krebs và Silent Push hợp tác công bố đã xác nhận rằng các công ty doanh nghiệp đang phản ứng không nhất quán với các lệnh trừng phạt của Bộ Tài chính Hoa Kỳ. Không phải tất cả các công ty đều ngay lập tức cấm tài khoản hoặc thực hiện các hành động đáng kể. Điều này tạo ra thách thức cho các tổ chức đang cố gắng duy trì tuân thủ các khuôn khổ trừng phạt trong khi đối phó với các mối đe dọa đang diễn ra.
Nghiên cứu nhấn mạnh rằng các nhà bảo vệ phải luôn cảnh giác để phản ứng và chặn các tài khoản FUNNULL trên mạng lưới của họ. Silent Push tiếp tục điều tra FUNNULL CDN và các tác nhân đe dọa Triad Nexus liên quan, cung cấp cho khách hàng doanh nghiệp các báo cáo chuyên biệt về các mối đe dọa đang phát triển này.
Các tổ chức được khuyến khích xem xét các dịch vụ của mình để tìm kiếm các kết nối tiềm ẩn với các thực thể bị trừng phạt và thực hiện các hành động chấm dứt phù hợp để đảm bảo tuân thủ các quy định của Bộ Tài chính Hoa Kỳ.
Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Các chỉ số thỏa hiệp liên quan đến mạng lưới Triad Nexus và hoạt động của Lizhi Liu bao gồm:
- Tên mạng đe dọa: Triad Nexus
- Mạng phân phối nội dung (CDN): FUNNULL
- Tên cá nhân bị trừng phạt: Lizhi Liu (còn được biết đến với tên “Steve/Steven” Liu)
- Các biệt danh/nhân vật của Liu:
- bmchaoshi
- chinawolfs
- zylinkus
- phpedu
- Thị trường bất hợp pháp liên quan: Huione Pay
- Trang web liên quan: zylinkus[.]com
- Dịch vụ trò chuyện trên trang web: Tawk[.]to
- Các nền tảng nơi Liu duy trì hoạt động:
- Google (tài khoản YouTube đã bị xóa)
- Microsoft (bao gồm GitHub, LinkedIn)
- Meta (bao gồm Facebook)
- X/Twitter
- Medium
- PayPal
- WordPress
- Và nhiều nền tảng khác
