Vào buổi chiều oi bức ngày 25 tháng 8 năm 2024 , Sushil và Radhika Chetal đang xem nhà tại một cộng đồng cao cấp ở Danbury, Connecticut. Bãi cỏ được cắt tỉa gọn gàng và hồ bơi được sưởi ấm. Sushil, phó chủ tịch của Morgan Stanley tại New York, đang lái chiếc Lamborghini Urus màu xám mờ mới mua, một chiếc SUV có giá khởi điểm khoảng 240.000 đô la.
Ngay khi họ vừa rẽ qua ngã tư, một chiếc Honda Civic màu trắng bất ngờ đâm vào chiếc Lamborghini từ phía sau. Cùng lúc đó, một chiếc xe tải Ram ProMaster màu trắng lao tới từ phía trước, chặn đường của Chetals. Theo đơn khởi kiện hình sự được đệ trình sau đó, một nhóm sáu người đàn ông mặc đồ đen và đeo mặt nạ đã bước ra khỏi xe, dùng vũ lực lôi gia đình Chetal ra khỏi xe và đẩy họ về phía cửa bên của xe tải.
Khi Sushil chống cự, những kẻ tấn công đã đánh anh bằng gậy bóng chày và đe dọa sẽ giết anh. Những người đàn ông trói tay chân của cặp đôi bằng băng keo và bắt Radhika nằm xuống đất, cảnh cáo cô không được nhìn họ mặc dù cô đã cầu xin vì cô đang khó thở vì bệnh hen suyễn. Họ cũng quấn băng keo quanh mặt Sushil và đánh anh ta lần nữa bằng gậy bóng chày trong khi chiếc xe tải lao đi.
Nhiều nhân chứng đã chứng kiến vụ tấn công và gọi 911. Một trong đó là một đặc vụ FBI đang nghỉ làm, sống gần đó và tình cờ có mặt tại hiện trường. Anh đã theo dõi chiếc xe tải và chiếc Honda Civic và thông báo cho cảnh sát về vị trí của những chiếc xe này. Đặc vụ FBI cũng đã ghi lại được một phần biển số xe.
Ngay sau đó, cảnh sát Danbury đã tìm thấy chiếc xe tải. Một xe tuần tra bật đèn và cố gắng chặn chiếc xe tải, nhưng tài xế xe tải đã tăng tốc bỏ chạy, lạng lách một cách điên cuồng giữa dòng xe cộ. Sau khi rượt đuổi được khoảng một dặm, tài xế đã chạy khỏi đường và đâm vào lề đường. Bốn nghi phạm đã bỏ lại xe và bỏ trốn. Cảnh sát tìm thấy một trong đó người đàn ông dưới cầu và bắt giữ anh ta sau một cuộc truy đuổi ngắn. Trong vài giờ tiếp theo, ba người còn lại đã bị tìm thấy và bắt giữ trong khu rừng gần đó. Trong khi đó, cảnh sát tìm thấy vợ chồng Chetal, vẫn bị trói và trong tình trạng sốc, ở phía sau xe tải.
Thanh tra cảnh sát Danbury Steve Castrovinci đang nghỉ phép vào ngày hôm đó khi anh nhận được cuộc gọi từ ca trưởng thông báo về vụ việc. “Chúng ta có một vụ bắt cóc, một vụ bắt cóc thực sự,” anh nhớ lại lời chỉ huy của mình đã nói với anh. Castrovinci đã tập hợp một số thám tử để nắm bắt tình hình, ghé qua hiện trường vụ án và sau đó đến đồn cảnh sát để thẩm vấn nghi phạm. Dựa trên thông tin do một trong những nghi phạm bị bắt cung cấp, hai nghi phạm nữa đã bị tìm thấy và bắt giữ vào sáng hôm sau tại một căn hộ Airbnb ở Roxbury, cách Danbury 30 phút lái xe, và chiếc Honda Civic màu trắng cũng được tìm thấy.
Đối với Castrovinci, đây là một trường hợp bất thường và đầy kịch tính. Danbury là một nơi giàu có và yên tĩnh, và mặc dù cảnh sát thỉnh thoảng giải quyết các vụ bắt cóc, nhưng hầu như luôn liên quan đến tranh chấp về quyền nuôi con. Một vụ bắt cóc bạo lực như vậy giữa ban ngày là điều chưa từng xảy ra. Kỳ lạ hơn nữa, cơ quan thực thi pháp luật phát hiện ra rằng những nghi phạm - ở độ tuổi từ 18 đến 26 - đã đi từ Miami đến Connecticut.
Họ cũng thuê một chiếc xe tải trên ứng dụng Turo. Castrovinci, người có 20 năm kinh nghiệm trong lĩnh vực thực thi pháp luật và năm năm làm việc tại Sở Cảnh sát New York, nói với tôi rằng: "Đây là loại vụ án mà một cảnh sát có thể gặp phải một hoặc hai lần trong đời". "Đặc biệt là ở một nơi như chúng tôi, những chuyện thế này rất hiếm khi xảy ra."
Cảnh sát gần như không công bố thông tin gì cho công chúng trong những tuần tiếp theo. Castrovinci và đội ngũ của ông đã nỗ lực tìm ra động cơ. Thật khó tin rằng gia đình Chetal bị nhắm tới vì vị trí cấp cao của Sushil trong ngân hàng đầu tư. Với tư cách là phó chủ tịch tại Morgan Stanley, mức lương của ông tuy đáng mơ ước nhưng cũng không phải là điều bất thường ở Danbury. Nếu bọn bắt cóc có động cơ là tiền thì thật kỳ lạ khi chúng bỏ lại chiếc Lamborghini của gia đình Chetals, sau đó người ta tìm thấy chiếc xe này bị bỏ lại trong rừng. Không có manh mối nào có vẻ hợp lý.
Tuy nhiên, vài ngày sau vụ bắt cóc, Castrovinci cho biết đội ngũ của họ đã nhận được thông tin từ FBI khiến vụ án có bước ngoặt bất ngờ: vụ án có thể liên quan đến vụ trộm crypto lớn xảy ra chỉ một tuần trước vụ tấn công.
Một nhóm thanh niên, một số người trong đó họ gặp nhau trên máy chủ Minecraft, bị cáo buộc đã đánh cắp 250 triệu đô la từ một nạn nhân không hề hay biết, gây ra một chuỗi sự kiện đáng kinh ngạc liên quan đến một đường dây tội phạm mạng gồm nhiều thanh thiếu niên, các thám tử mạng độc lập theo dõi hành tung của chúng và nhiều cơ quan thực thi pháp luật. Giờ đây có vẻ như tất cả những điều này đã lên đến đỉnh điểm với vụ bắt cóc Chetals - sự hỗn loạn tràn lan của thế giới đen tối kỹ thuật số và nền văn hóa xung quanh nó lần đầu tiên xâm nhập vào thế giới thực theo một cách chân thực và tàn nhẫn như vậy.
Chuỗi sự kiện bắt đầu cách đây vài tuần khi một người sống ở Washington, D.C., bắt đầu nhận được thông báo về những lần đăng nhập bất thường vào tài khoản Google của mình dường như đến từ nước ngoài. Sau đó, vào ngày 18 tháng 8, anh nhận được cuộc gọi từ một người tự xưng là thành viên đội ngũ bảo mật của Google. Người gọi nói rằng tài khoản email của anh ta đã bị hack. Cuộc gọi nghe rất thật - đầu dây bên kia có thông tin cá nhân của cư dân Đặc khu hành chính này. Người gọi yêu cầu anh ta xác minh một số thông tin cá nhân qua điện thoại, nếu không tài khoản của anh ta sẽ bị đóng, và anh ta đã làm như vậy.
Ngay sau khi nói chuyện với nhân viên được cho là của Google, cư dân Washington, D.C. (danh tính được giấu trong hồ sơ của tòa án liên bang) nhận được một cuộc gọi khác từ một người tự xưng là đại diện của bộ phận an ninh của Gemini , một sàn giao dịch crypto nổi tiếng.
Tương tự như vậy, người gọi có thông tin cá nhân của anh ấy và nói với anh ấy rằng tài khoản của anh ấy tại Gemini (chứa khoảng 4,5 triệu đô la crypto) đã bị hack và anh ấy phải ngay lập tức thiết lập lại xác thực hai yếu tố và chuyển Bitcoin trong tài khoản của mình sang ví khác để đảm bảo an toàn cho tiền của mình.
Sau đó, người ở đầu dây bên kia gợi ý người nắm giữ tài khoản tải xuống một chương trình có thể "tăng cường bảo mật". Người đàn ông đồng ý mà không biết rằng anh ta đang tải xuống một ứng dụng máy tính từ xa cho phép người gọi điều khiển máy tính của mình từ xa — và do đó có thể truy cập vào một tài khoản crypto khác của anh ta, khiến tài sản của anh ta có rủi ro bị trộm cắp thậm chí còn đáng báo động hơn. Hóa ra, cư dân Washington, D.C. này là một trong những nhà đầu tư đầu tiên vào crypto và nắm giữ tổng cộng hơn 4.100 Bitcoin. Mười năm trước, Bitcoin đó có giá trị khoảng 1 triệu đô la; Vào ngày đó, giá trị vốn hóa thị trường của họ đã vượt quá 243 triệu đô la.
Có một nghịch lý cốt lõi trong không gian crypto: mặc dù người nắm giữ tiền điện tử thường nặc danh nhưng mọi giao dịch đều được ghi lại công khai trên một sổ cái gọi là blockchain. Điều này có nghĩa là sau khi tiền được chuyển đi, bất kỳ ai cũng có thể nhìn thấy chúng. Nghịch lý này đã làm nảy sinh một nhóm điều tra viên mới chuyên theo dõi các giao dịch đáng ngờ trên blockchain. Một trong đó những người đáng chú ý nhất là ZachXBT, một nhà điều tra tội phạm crypto độc lập.
Trong thế giới crypto, ZachXBT là một nhân vật nổi tiếng nhưng lại kín tiếng. Anh thường đăng những bài điều tra dài trên X (trước đây là Twitter) để vạch trần những người bị tình nghi có hoạt động bất hợp pháp, đôi khi thậm chí còn nêu tên trực tiếp. Anh có khoảng 850.000 người hâm mộ trên nền tảng này. Ông cũng thường chia sẻ những phát hiện của mình với các cơ quan thực thi pháp luật. Tạp chí Wired gọi ông là "nhà điều tra tội phạm crypto độc lập năng động nhất thế giới". Anh ấy chưa bao giờ tiết lộ danh tính thực sự của mình trên mạng.
Chỉ vài phút sau khi tài sản crypto của cư dân Washington, D.C. bị xóa sổ, ZachXBT đang ở sân bay để bắt chuyến bay thì nhận được cảnh báo giao dịch bất thường trên điện thoại. Các nhà điều tra crypto thường sử dụng các công cụ để theo dõi dòng crypto trên toàn thế giới và thiết lập cảnh báo cho các tình huống cụ thể, chẳng hạn như khi một giao dịch trị giá hơn 100.000 đô la đi qua một số sàn giao dịch có biện pháp bảo mật cực kỳ lỏng lẻo.
Cảnh báo ban đầu là một giao dịch sáu con số, sau đó tiếp tục tăng lên, đạt mức cao nhất là 2 triệu đô la. Sau khi vượt qua an ninh, ZachXBT tìm được chỗ ngồi, bật máy tính xách tay và bắt đầu theo dõi giao dịch, cuối cùng lần ra được một chiếc ví chứa khoảng 240 triệu đô la crypto. Một số Bitcoin thậm chí có thể được bắt nguồn từ năm 2012. “Tôi nghĩ điều đó là sai,” anh ấy nói với tôi. “Tại sao một người đã nắm giữ Bitcoin trong nhiều năm lại sử dụng một dịch vụ mờ ám thường nhận được tiền bất hợp pháp như vậy?”
Sau đó, anh ấy thêm địa chỉ ví liên quan đến các giao dịch vào danh sách theo dõi và lên máy bay. Sau khi kết nối với Wi-Fi trong cabin, nhiều cảnh báo giao dịch liên tục xuất hiện. Trong suốt cả ngày, Bitcoin từ ví khổng lồ liên tục được rút ra thông qua hơn 15 nền tảng dịch vụ crypto có phí cao.
Sau khi máy bay hạ cánh, ZachXBT đã liên lạc với một số đồng nghiệp chuyên điều tra các vụ trộm crypto. Một trong đó là Josh Cooper-Duckett, giám đốc điều tra tại Cryptoforensic Investigators. Công ty này là một trong số ngày càng nhiều tổ chức độc lập tập trung vào việc theo dõi hành vi trộm crypto và gian lận tiền điện tử và hỗ trợ cơ quan thực thi pháp luật thu hồi tiền cho nạn nhân. Cooper-Duckett, 26 tuổi, đến từ London, đã quan tâm đến crypto từ khi còn nhỏ. Sau ba năm rưỡi làm cố vấn an ninh tại Deloitte, anh bắt đầu tập trung vào việc điều tra các vụ trộm crypto, đặc biệt là những vụ mất mát ít nhất 100.000 đô la - hiện đang rất phổ biến.
ZachXBT đã kể cho Cooper-Duckett và các điều tra viên khác nghe những gì anh đã phát hiện, và tất cả đều cho rằng rằng việc rút sạch số tiền trong ví trị giá gần 250 triệu đô la cùng một lúc là điều cực kỳ đáng ngờ. “Một người có nhiều tiền như vậy sẽ không thức dậy vào một cuối tuần và quyết định, ‘Tôi sẽ chuyển tiền của mình chuyển đến một loạt sàn giao dịch và đổi nó thành Monero và Ethereum.’ Đó không phải là điều mà một người bình thường sẽ làm.”
Nhóm điều tra crypto đã ngay lập tức liên hệ với các sàn giao dịch và nền tảng dịch vụ có liên quan, thông báo rằng số tiền đã bị đánh cắp và hy vọng rằng họ có thể đóng băng số tiền và hợp tác với cuộc điều tra của cảnh sát. Một số nền tảng đã hợp tác, nhưng một số thì không. Cooper-Duckett cho biết: “Tình huống này giống như trò chơi đập chuột chũi vậy”. "Họ liên tục cố gắng chuyển đến tiền đến nhiều sàn giao dịch và nền tảng dịch vụ khác nhau để xem sàn nào có thể rửa tiền thành công. Rốt cuộc, họ đã cố gắng rửa 240 triệu đô la, một con số khổng lồ."
Cùng lúc đó, ZachXBT cũng đưa ra cảnh báo cho người hâm mộ của mình trên X: "Khoảng bảy giờ trước, một giao dịch đáng ngờ đã xảy ra và 4.064 Bitcoin (khoảng 238 triệu đô la) đã được chuyển ra khỏi tài khoản của nạn nhân có thể", anh viết. Sau đó, số tiền này được chuyển vào các nền tảng crypto như THORChain, eXch, Kucoin, ChangeNOW, RAILGUN và Avalanche Bridge.
ZachXBT cũng lưu ý rằng nạn nhân trước đó đã nhận được khoản bồi thường phá sản từ Genesis. Genesis là một nền tảng vay mượn đã nộp đơn xin phá sản vào năm 2023 sau sự sụp đổ của FTX của Sam Bankman-Fried.
Thông qua mạng lưới quan hệ của mình, ZachXBT cuối cùng đã liên lạc được với nạn nhân qua email. Cư dân Washington, D.C. bị sốc sau đó đã thuê ZachXBT, Cryptoforensic Investigators và một công ty điều tra crypto khác để giúp truy tìm tài sản bị đánh cắp của mình.
Cùng ngày, anh cũng đã nộp báo cáo lên Trung tâm khiếu nại tội phạm Internet của FBI, và ZachXBT đã ngay lập tức liên lạc với những người liên lạc của anh trong cơ quan thực thi pháp luật. (Cả FBI và Bộ Tư pháp đều từ chối trả lời phỏng vấn cho câu chuyện này.)
Tình trạng trộm crypto tăng trưởng với tốc độ nhanh đến mức các nhà điều tra liên bang bị quá tải. Theo báo cáo mới nhất, Trung tâm Khiếu nại Tội phạm Internet (IC3) đã nhận được hơn 69.000 khiếu nại liên quan đến gian lận tài chính crypto vào năm 2023, với tổng thiệt hại vượt quá 5,6 tỷ đô la Mỹ, tăng trưởng 45% so với năm 2022.
Trong khi các khiếu nại liên quan đến crypto chỉ chiếm 10% trong tổng số các vụ gian lận tài chính, thì tổn thất do những vụ việc này gây ra lại chiếm gần một nửa tổng số. Báo cáo chỉ ra rằng bản chất phi tập trung của crypto , tính không thể đảo ngược của các giao dịch và khả năng chuyển tiền tự do trên toàn thế giới khiến chúng trở nên cực kỳ hấp dẫn đối với tội phạm và khiến Cục Điều tra Liên bang (FBI) khó có thể thu hồi tiền. Để đạt được mục đích này, FBI đã thành lập Đơn vị tài sản ảo (VAU) vào năm 2022 để chống lại nạn trộm crypto.
Các chuyên gia cho biết do quy mô của các vụ án và độ khó trong việc giải quyết, các cơ quan chính phủ — bao gồm FBI, Bộ An ninh Nội địa, Sở Mật vụ và thậm chí cả Sở Thuế vụ — đã buộc phải dựa vào các công ty tư nhân và các điều tra viên cá nhân có hiểu biết sâu sắc về thế giới ngầm tội phạm kỹ thuật số. Nick Bax, người sáng lập công ty phân tích crypto Five I’s, cho biết: “Josh và Zach thực sự rất nhanh và chính xác trong việc theo dõi”.
Bax đã làm việc với ZachXBT trong một số vụ án nhưng chưa bao giờ gặp anh ta trực tiếp. Trong những cuộc gọi đầu tiên, ZachXBT cũng sử dụng phần mềm thay đổi giọng nói để khiến mình nghe giống như chuột Mickey. “Thành thật mà nói, tôi khá giỏi việc này, nhưng tôi sẽ không bao giờ giỏi bằng họ,” Bax nói. “Và tôi nghĩ não của họ thực sự được kết nối tốt vì họ đã làm điều này từ khi còn rất nhỏ.”
Các nhà điều tra crypto thường sử dụng tài khoản giả để xâm nhập vào các diễn đàn nơi tin tặc và kẻ lừa đảo tụ tập, chẳng hạn như Telegram và Discord, để quan sát cách giao tiếp, lập kế hoạch và thể hiện của chúng. Họ phát hiện ra rằng những tên tội phạm này thường còn trẻ và hành động khá liều lĩnh, thường để lại manh mối một cách vô tình.
Sau khi ZachXBT đăng bài về vụ trộm trên X, một nguồn tin đã liên lạc với anh ấy từ một tài khoản tạm thời và cung cấp một số manh mối có thể có về danh tính của tên trộm. Người cung cấp thông tin đã gửi cho ZachXBT một số bản ghi màn hình được cho là ghi lại cảnh một trong đó những kẻ lừa đảo phát trực tiếp vụ trộm cho bạn bè của hắn. Đoạn video dài khoảng một tiếng rưỡi, bao gồm cả cuộc gọi điện thoại với nạn nhân. Trong đó một video, có thể nghe thấy những kẻ lừa đảo hét lên phấn khích sau khi biết rằng chúng đã đánh cắp thành công số Bitcoin trị giá 243 triệu đô la: "Ôi trời ơi! Ôi trời ơi! 243 triệu! Thật tuyệt! Ôi trời ơi! Ôi trời ơi! Anh bạn!"
Trong các cuộc trò chuyện riêng tư, những kẻ lừa đảo đã sử dụng các bí danh như Swag, $$$ và Meech, nhưng chúng đã mắc phải một sai lầm chết người: một trong đó chúng đã vô tình để lộ màn hình nền Windows của mình trong quá trình phát sóng trực tiếp và biểu tượng xuất hiện trong menu bắt đầu ở cuối hiển thị tên thật của anh ta - Veer Chetal, một cậu bé 18 tuổi đến từ Danbury - con trai của cặp đôi bị bắt cóc đã đề cập trước đó.
Veer Chetal là một người học giỏi nhưng thầm lặng, vừa tốt nghiệp trường trung học Immaculate ở Danbury và đang theo học tại Đại học Rutgers ở New Jersey. Năm 2022, anh hoàn thành dự án "Luật sư tương lai" và một bức ảnh của anh đã được đăng trên trang web của trường vào năm đó - một cậu bé đeo kính, mặc áo gió Tommy Hilfiger và áo polo đỏ, với nụ cười rạng rỡ.
Các bạn cùng lớp nhớ lại rằng Chetal luôn nhút nhát và thích ô tô. Marco Dias, người kết bạn với Chetal trong năm thứ hai trung học, cho biết: "Anh ấy hầu như luôn khép kín". Một người bạn cùng lớp khác tên là Nick Paris cũng kể rằng Chetal rất kín tiếng cho đến một ngày vào giữa năm cuối cấp, anh đột nhiên lái chiếc xe thể thao Corvette đến trường. “Anh ấy chỉ ngồi đó trên bãi đậu xe lúc 7:30 sáng và mọi người đều sửng sốt”, Paris nói.
Không lâu sau, Chetal chuyển sang lái xe BMW, rồi Lamborghini Urus. Anh ấy bắt đầu mặc áo sơ mi Louis Vuitton và giày Gucci. Vào Ngày nghỉ cuối cấp, trong khi Paris và các bạn cùng lớp khác chỉ đến một trung tâm thương mại gần đó để đi chơi, Chetal đã đưa một số người bạn, bao gồm cả Dias, đến New York, thuê một chiếc du thuyền và tổ chức tiệc, mọi người chụp ảnh trên boong tàu với những cọc tiền mặt.
Chetal tuyên bố rằng anh ta kiếm được tiền bằng cách đầu cơ coin ; Dias kể rằng một buổi sáng trong giờ học, Chetal đã rút điện thoại ra và cho Dias xem hồ sơ giao dịch của mình để làm bằng chứng. Có lúc, Chetal thậm chí còn thuê một căn nhà lớn ở Stamford, Connecticut và mời bạn bè đến dự tiệc kéo dài ba ngày. Dias nhớ lại: “Tôi đang chơi với bạn bè ở tầng hầm thì thấy anh ấy nằm trên ghế dài, nghe điện thoại, về cơ bản là tránh mặt mọi người”. “Tôi nghĩ, chuyện này thật kỳ lạ.” Paris cũng nhớ lần cảnh sát chặn chiếc Lamborghini Urus của Chetal vì vi phạm luật giao thông trong một cuộc diễu hành của trường. "Anh ấy đã gọi ngay cho luật sư của mình trước khi cảnh sát kịp thẩm vấn anh ấy. Mọi người đều nói, wow, anh chàng này thực sự là một cái gì đó, anh ấy thực sự giàu có."
Các nhà điều tra độc lập chỉ ra rằng Chetal thực chất là thành viên bí mật của một nhóm có tên là Com (còn gọi là Comm hoặc Community). Nhóm này bắt nguồn từ giới tin tặc ngầm vào những năm 1980 và hiện đã phát triển thành một mạng xã hội dành cho tội phạm mạng và những cá nhân có tham vọng.
Theo bản tuyên thệ của FBI trong một vụ án không liên quan, một đặc vụ mô tả Com là "một liên minh các nhóm nhỏ phân tán về mặt địa lý hợp tác thông qua các ứng dụng nhắn tin trực tuyến như Discord và Telegram để tham gia vào nhiều hoạt động tội phạm khác nhau".
Theo bản tuyên thệ và các chuyên gia nghiên cứu Com, các hoạt động của nhóm này bao gồm swatting (gây báo động giả cho cảnh sát hoặc các tổ chức như trường học để kích hoạt phản ứng của cảnh sát); Tráo đổi SIM (đánh cắp số điện thoại của mục tiêu, thường bằng cách lừa nhân viên dịch vụ khách hàng); tấn công bằng phần mềm tống tiền (sử dụng các chương trình độc hại để ngăn người dùng hoặc tổ chức truy cập vào các tệp tin máy tính của họ); trộm crypto; và các cuộc tấn công xâm nhập vào hệ thống doanh nghiệp.
Allison Nixon, giám đốc nghiên cứu của Unit 221B, một nhóm chuyên gia an ninh mạng, đã theo dõi lĩnh vực đang phát triển này của web kể từ năm 2011 và hiện cho rằng một trong những chuyên gia hàng đầu trong lĩnh vực nghiên cứu tổ chức an ninh mạng.
Bà cho biết các thành viên của Com chủ yếu là những thanh niên đến từ các nước phương Tây. Trong các cuộc trò chuyện nhóm, nhiều người sẽ nói về cuộc sống đại học và các khóa học an ninh mạng mà họ đang theo học, điều này giúp họ thực hiện các hoạt động tội phạm. Nixon lưu ý rằng nhiều người lần đầu tham gia cộng đồng này là thông qua các trò chơi điện tử như RuneScape, Roblox và Grand Theft Auto.
Vào giữa những năm 2010, một thế giới đen tối hơn đã âm thầm xuất hiện trong Minecraft - một trò chơi tập trung vào việc xây dựng sáng tạo - phần lớn là nhờ sự ra đời của các máy chủ trực tuyến. Các máy chủ này do chính người dùng sở hữu và vận hành, cho phép người chơi lập nhóm và chiến đấu với nhau theo nhóm, còn gọi là "phe phái". Trên các máy chủ này, Minecraft đã phát triển thành một chiến trường cạnh tranh, và đi kèm với đó là cơ hội kiếm lời và lừa đảo.
Không lâu sau đó, các máy chủ bắt đầu giới thiệu tính năng mua hàng trong trò chơi, cho phép người chơi chi tiền để mua nâng cấp như khả năng bay, vũ khí mạnh hơn và áo giáp. Một số giao dịch mua trong ứng dụng cũng có thể mở khóa trang phục nhân vật thời trang, giúp người chơi thể hiện địa vị trực tuyến của mình.
Khi người chơi ngày càng hứng thú tham gia vào các máy chủ cạnh tranh này, một thị trường chợ đen lớn đã xuất hiện trên Discord, chuyên trao đổi đạo cụ trò chơi và tên người dùng hiếm. Vì hầu hết người chơi Minecraft đều là thanh thiếu niên nên thị trường chợ đen này nhanh chóng trở thành ổ chứa gian lận.
Người dùng thường đồng ý trả tiền thật qua PayPal để đổi lấy vật phẩm trong trò chơi, nhưng sau khi nhận được tiền, kẻ lừa đảo sẽ chặn tài khoản của bên kia. Hành vi này trở nên tràn lan đến mức mọi người bắt đầu cung cấp "dịch vụ trung gian" để giải quyết vấn đề lòng tin - những người trung gian này sẽ tính một khoản phí nhất định, giữ tiền và hàng hóa thay mặt cho các bên, sau đó chuyển chúng cho hai bên giao dịch tương ứng.
Trong vòng tròn này, một số tên người dùng có giá trị cao đã trở thành đồ sưu tầm hấp dẫn, thường không quá bốn chữ cái, chẳng hạn như Tree, OK, Mark, YOLO hoặc G, và giá thậm chí có thể lên tới hơn 10.000 đô la.
Khi các máy chủ "phe phái" và thị trường chợ đen của Minecraft phát triển mạnh, tiền ảo trở nên phổ biến trong cộng đồng này và cuối cùng đã thay thế PayPal trở thành phương thức giao dịch chính thống. Sân chơi luyện tập không bị trừng phạt này dành cho các cuộc thi, cờ bạc và gian lận, cùng với sự quen thuộc ngày càng tăng của người chơi với crypto, đã biến máy chủ Minecraft thành nơi sinh sôi của những tên tội phạm mạng mới.
Đến năm 2017, giá Bitcoin tăng vọt và các thành viên Com đã chuyển đổi dễ dàng từ lừa đảo Minecraft sang trộm crypto. Diễn đàn phổ biến nhất của Com có tên là "OGUsers", ban đầu là nền tảng để thảo luận và mua tài khoản mạng xã hội và tên người dùng, nhưng sau đó đã phát triển thành ổ tội phạm mạng liên quan đến việc chiếm đoạt thẻ SIM, hack tài khoản Twitter và các hoạt động khác.
Nixon giải thích: “Cộng đồng phản xã hội này rất nhanh chóng trở thành một nhóm những người ‘giàu nhờ tin tặc’, những người trở nên giàu có chỉ sau một đêm và truyền bá văn hóa này vì mọi người thấy những người khác đột nhiên trở thành triệu phú và muốn biết họ đã làm điều đó như thế nào”. Điều này cũng dẫn tới sự mở rộng nhanh chóng của Com.
Phương pháp trộm crypto phổ biến nhất được gọi là "kỹ thuật xã hội", tức là thao túng tâm trí mọi người để khiến họ tiết lộ thông tin nhạy cảm. Các thành viên của Com sẽ biên soạn một danh sách lượng lớn các nạn nhân tiềm năng có được thông qua việc rò rỉ dữ liệu, sau đó tấn công từng người một - đây chính xác là trường hợp của các nạn nhân ở Washington DC. Đôi khi, chúng sẽ đăng "quảng cáo tuyển dụng" trực tuyến để tuyển dụng những người sẵn sàng giúp chúng thực hiện hành vi lừa đảo.
Nhà điều tra crypto Nick Bax đã từng chia sẻ một bài đăng tuyển dụng trên Telegram với lời hứa "5 xu một tuần" (mức lương năm con số) - "miễn là bạn hành động nhanh" - để gọi cho những mục tiêu tiềm năng. Thông báo cũng yêu cầu "giọng nói của bộ phận dịch vụ khách hàng phải chuyên nghiệp theo phong cách Mỹ". Sau khi hoàn thành vụ trộm, các thành viên Com đôi khi quay lại chợ đen Minecraft và sử dụng crypto đánh cắp được để mua các vật phẩm hiếm trong trò chơi, sau đó bán lại thông qua PayPal để lấy tiền thật nhằm rửa tiền.
Khi ZachXBT phát hiện ra danh tính thực sự của Veer Chetal, anh và các điều tra viên khác đã nhanh chóng xác định thêm nhiều người có liên quan đến vụ án. Trong các bản ghi âm mà ZachXBT thu được, bọn trộm gọi nhau bằng mật danh Com, và đôi khi chúng còn nói thẳng tên thật của nhau. Một trong đó những cái tên được nhắc đến nhiều lần là Malone, còn được gọi là Malone Lam.
Malone Lam là một cô gái Singapore 20 tuổi, là nhân vật khét tiếng trong cộng đồng COM, với những nghệ danh như Greavys và Anne Hathaway. Anh ấy cũng là một game thủ Minecraft kỳ cựu với kiểu tóc mái xéo. Anh ấy thường bị cấm khỏi máy chủ, nhưng luôn tìm cách quay trở lại. Vào mùa xuân năm 2023, anh ta đã xung đột với những người quản lý trên máy chủ Minecadia và làm mất một số đạo cụ trò chơi, vì vậy anh ta đã tiến hành "tìm kiếm bằng con người" đối với những người quản lý, công bố địa chỉ và số an sinh xã hội của họ trực tuyến và ít nhất một lần đã gọi đến các dịch vụ khẩn cấp để quấy rối họ.
Theo nhiều người dùng và nhật ký trò chuyện trên Discord vào thời điểm đó, Chetal và Lam đã gặp nhau trong Minecraft, nơi họ chơi trò chơi này theo nhóm trong một "phe" do Lam lãnh đạo.
Vào tháng 10 năm 2023, Lam nhập cảnh vào Hoa Kỳ bằng thị thực có thời hạn 90 ngày. Về cơ bản, anh ấy đã ngừng chơi Minecraft. Theo hồ sơ của tòa án, sau đó, anh ta thực hiện lối sống này bằng các vụ lừa đảo khác liên quan đến crypto.
Sau vụ trộm crypto vào tháng 8 năm 2024, ZachXBT đã theo dõi Lam thông qua cái gọi là OSINT (tình báo nguồn mở) hoặc phương tiện truyền thông xã hội. Trong nhóm chat của Com, mọi người đều bàn tán về việc mua sắm thả ga của Lam. Không ai biết tiền của ông đến từ đâu, nhưng họ có nhắc đến lối sống xa hoa của ông tại các hộp đêm ở Los Angeles.
ZachXBT đã tìm hiểu về các hộp đêm nổi tiếng nhất thành phố và xem xét nguồn cấp dữ liệu Instagram từ những người dự tiệc và chính các câu lạc bộ. Trong một bài đăng, Malone mặc một chiếc áo khoác Moncler màu trắng và đeo một chiếc nhẫn kim cương cùng kính râm nạm kim cương. Anh ta đứng trên bàn và bắt đầu ném những tờ tiền một trăm đô la vào đám đông.
Khi tiền rơi xuống, những người phục vụ mang theo những chai rượu sâm panh trị giá 1.500 đô la có pháo hoa gắn ở nắp và giơ cao những tấm biển có dòng chữ "@Malone". Chỉ riêng đêm hôm đó, anh đã tiêu 569.528 đô la tại câu lạc bộ. Tại một hộp đêm khác, Lam và đội ngũ của anh ta cũng chơi khăm ZachXBT bằng cách hướng dẫn khách hàng trong hộp đêm giơ cao những tấm biển có dòng chữ "ĐÃ BẢO VỆ CHÚNG TA SẼ THẮNG" và một tấm biển khác có dòng chữ "[CHỈNH] ZACHXBT."
Trong những tuần tiếp theo, Lam đã mua 31 chiếc ô tô, bao gồm cả những chiếc Lamborghini, Ferrari và Porsche tùy chỉnh, một số chiếc có giá trị lên tới 3 triệu đô la. Vào ngày 24 tháng 8, anh ta dường như đã gửi một bức ảnh chụp một chiếc Lamborghini màu hồng cho một người mẫu. Anh ấy nhắn tin, "Anh có mua quà cho em, chúng ta hãy coi như đây là quà sinh nhật sớm nhé." Cô ấy trả lời: "Tôi lại có bạn trai rồi." Anh ấy trả lời "idc" (tôi không quan tâm).
Vào ngày 10 tháng 9, sau 23 ngày tiệc tùng ở Los Angeles, Lam và một nhóm bạn đã bay đến Miami bằng máy bay phản lực riêng. Ở đó, ông đã cho thuê một số bất động sản, bao gồm một khu điền trang 10 phòng ngủ trị giá 7,5 triệu đô la. Chỉ trong vài ngày, Lam đã lấp đầy lối đi bằng nhiều chiếc xe sang trọng, bao gồm một số chiếc Lamborghini, một trong đó có tên "Malone" được in ở bên hông xe.
Vài ngày một lần, ZachXBT lại chuyển thông tin tình báo thu thập được cho cơ quan thực thi pháp luật. Thông tin thường chỉ truyền đi theo một chiều, nhưng các cơ quan liên bang cũng đang tiến hành các cuộc điều tra riêng của họ cùng lúc. Theo các tài liệu của tòa án, những nghi phạm trong âm mưu này đã sử dụng phương pháp rửa tiền tinh vi để che giấu tiền và che giấu danh tính, giao dịch thông qua sàn giao dịch crypto như eXch sàn giao dịch yêu cầu thông tin cá nhân của khách hàng và sử dụng mạng riêng ảo (VPN) để che giấu vị trí thực sự của họ.
Nhưng theo các nhà chức trách, trong ít nhất một trường hợp, nghi phạm đã quên sử dụng VPN khi đăng ký tài khoản với TradeOgre, một sàn giao dịch tiền kỹ thuật số, và địa chỉ IP mà anh ta kết nối đến được chuyển đến một bất động sản có giá 47.500 đô la một tháng ở Encino, California. Bất động sản này được thuê bởi Jeandiel Serrano, 21 tuổi, người sử dụng các bí danh như VersaceGod, @SkidStar và Box trên mạng. Vào thời điểm chính quyền xác định được Serrano, anh ta đang đi nghỉ ở Maldives với bạn gái.
Vào ngày 18 tháng 9, khi Serrano bay trở lại Sân bay quốc tế Los Angeles từ Maldives, các nhân viên thực thi pháp luật đã đợi anh ta tại sân bay. Lúc đó, ông đang đeo chiếc đồng hồ trị giá 500.000 đô la. Khi bị bắt, Serrano ban đầu phủ nhận việc biết về vụ trộm và đồng ý nói chuyện với cơ quan thực thi pháp luật mà không cần luật sư. Nhưng theo báo cáo của tòa án, anh ta đã nhanh chóng thừa nhận sự liên quan của mình, đặc biệt là việc mạo danh một nhân viên Gemini .
Serrano thừa nhận rằng hắn sở hữu năm chiếc xe, trong đó có hai chiếc là quà tặng từ những người đồng phạm, bằng tiền từ các vụ lừa đảo trước đó. Anh ta cũng thừa nhận rằng mình có khoảng 20 triệu đô la crypto của nạn nhân trên điện thoại và đồng ý trả lại số tiền này cho FBI.
Trong khi đó, các mật vụ ở Miami đang chuẩn bị đột kích một trong đó những biệt thự thuê của Lam. Lam biết cuộc tấn công sắp xảy ra: Sau khi Serrano bị bắt, bạn gái của Serrano đã ngay lập tức gọi điện để cảnh báo những kẻ đồng mưu với Lam. Sau đó, họ xóa tài khoản Telegram và các bằng chứng khác khỏi điện thoại.
Cùng ngày hôm đó, một nhóm đặc vụ FBI hợp tác với cảnh sát Miami đã đột kích vào một biệt thự gần bờ biển Miami. Các mật vụ đã sử dụng thiết bị phá dỡ để mở cánh cổng kim loại ở phía trước, trong khi một nhóm mật vụ khác đi thuyền vào qua một kênh nước mặn nhỏ ở phía sau. Khi các đặc vụ bước vào nhà, tiếng lựu đạn gây choáng nổ vang vọng khắp khu phố.
Ngay sau đó, một mật vụ đã dẫn Lam, người đang bị còng tay, mặc áo sơ mi trắng dài tay, quần short bóng rổ màu đỏ thẫm và giày thể thao, ra khỏi nhà trong bầu không khí khói mù mịt, theo sau là ít nhất năm người khác cũng ở trong nhà với anh ta. Serrano và Lam bị buộc tội rửa tiền và âm mưu thực hiện hành vi lừa đảo qua mạng. Mỗi tội danh có thể bị phạt tù tối đa là 20 năm.
Đúng một tháng sau vụ cướp, bữa tiệc đã kết thúc.
Trong những ngày và tuần sau khi gia đình Chetal bị bắt cóc ở Danbury, Castrovinci và cảnh sát đã làm việc với các nhà điều tra liên bang để xây dựng hồ sơ chống lại một băng đảng ở Florida. Họ nhanh chóng truy cập vào điện thoại di động của nghi phạm, từ đó xem các bản ghi trò chuyện nhóm và ghi lại hành trình di chuyển của các thành viên băng đảng.
Họ biết rằng chuyến đi được tài trợ và tổ chức một phần bởi Angel Borrero, một thanh niên 23 tuổi người Miami có biệt danh là Chi Chi. Trong nhóm trò chuyện, Borrero viết cho những người khác: "Nếu mọi việc suôn sẻ, chúng ta sẽ đến California tiếp theo." Các nhà điều tra liên bang suy đoán rằng điều này có nghĩa là băng đảng này có kế hoạch thực hiện các hoạt động khác ở California. Ngày hôm đó, Josue Alberto Romero, biệt danh Sway, đã gửi một thông điệp tới băng đảng: "Chi Chi, chúng ta đã chuẩn bị hơn bao giờ hết." Các bản ghi trò chuyện cho thấy băng nhóm bắt đầu phối hợp hoạt động từ 7 giờ sáng và theo dõi gia đình Chetal trong một phần buổi chiều.
Đến lúc đó, cảnh sát đã phát hiện ra động cơ: Họ tin rằng những người đàn ông này nhắm vào gia đình Chetal để tống tiền con trai họ thông qua hành vi bắt cóc. Các nhà điều tra độc lập cho rằng ít nhất một thành viên của băng đảng, Reynaldo (Rey) Diaz, sử dụng bí danh Pantic, có thể là thành viên của Com.
ZachXBT suy đoán rằng những tên trộm này có thể đã biến mình thành mục tiêu bằng cách khoe khoang câu chuyện chi tiêu tiền bạc của mình với những thành viên khác trong Com. Ông nói: "Bạn nghĩ rằng sau khi phạm tội, bạn sẽ giữ im lặng và không bao giờ nói về nó nữa". “Nhưng họ phải đền bù bằng cách khoe khoang với những người mà họ nghĩ là bạn của họ. Những người này có thể không thực sự là bạn của họ.”
Vào ngày 27 tháng 8, cảnh sát Danbury đã đệ đơn cáo buộc sáu nghi phạm trong vụ án: nhiều tội danh tấn công cấp độ một, bắt cóc cấp độ một và gây nguy hiểm liều lĩnh. Các cáo buộc liên bang đã được đưa ra sau đó. Khởi kiện của bồi thẩm đoàn đệ trình vào ngày 24 tháng 9 tại tòa án liên bang ở Connecticut đã buộc tội sáu người đàn ông Florida về tội bắt cóc, cướp xe và âm mưu.
Sáu người đàn ông Florida đại diện cho một phe phái lớn mạnh của COM không còn chỉ tập trung vào lừa đảo trực tuyến mà còn có xu hướng bạo lực hơn. Bản thân Diaz đã bị bắn trong một vụ cướp bất thành ở Florida cách đây hai năm.
Trong bản tuyên thệ của FBI, một đặc vụ cho biết các thành viên của Com thường xuyên thực hiện "các cuộc tấn công đập gạch, bắn súng và đốt phá". Theo nhà báo điều tra độc lập Brian Krebs, vào năm 2022, một thanh niên tên là Foreshadow đã bị bắt cóc và đánh đập bởi một băng nhóm đổi SIM đối thủ và yêu cầu khoản tiền chuộc 200.000 đô la.
Vào tháng 10 năm 2023, Patrick McGovern-Allen, một người đàn ông 22 tuổi đến từ Egg Harbor Township, New Jersey, đã bị kết án 13 năm tù vì tham gia vào công việc bạo lực được thuê bởi một nhóm tội phạm mạng. Tháng 11 năm ngoái, có thông tin cho biết CEO của một công ty crypto có trụ sở tại Toronto đã bị bắt cóc và đòi tiền chuộc 1 triệu đô la.
Vài tuần sau, một cậu bé 13 tuổi đã bị cộng đồng crypto phát hiện vì tạo ra crypto và thổi phồng giá trị của nó, và con chó của cậu bé được cho là đã bị bắt cóc. Vào tháng 1 năm nay, nhà sáng lập công ty crypto của Pháp Ledger và vợ ông đã bị bắt cóc. Những kẻ bắt cóc đã cắt xẻo tay của anh và đòi tiền chuộc hàng triệu đô la bằng crypto.
Tuy nhiên, Nixon, nhà nghiên cứu cho biết ngày càng có nhiều người không liên quan đến Com bị nhắm tới. Một số thành viên được gọi là Com đã tham gia vào cái gọi là "nhóm gây hại", những thành viên trong nhóm này ép buộc phụ nữ và trẻ em gái tự làm hại bản thân và bạo lực. Nixon cho biết, bảy năm trước, có lẽ chỉ có vài chục thành viên của Com đáng chú ý; Ngày nay, có tới hàng ngàn. Bà cho biết: “Hiện tại, chúng ta đang chứng kiến sự chuyển đổi từ tội phạm không có tổ chức sang tội phạm có tổ chức và chúng ta đang ở giữa quá trình chuyển đổi đó”.
Hai vụ việc này – một vụ trộm crypto và một vụ bắt cóc – cho thấy tình trạng hoàn toàn vô luật pháp của các thành viên Com trong thế giới trực tuyến đã khiến họ cho rằng họ có thể tiếp tục phạm những tội ác tương tự trong thế giới thực. “Tôi không cho rằng họ học được điều gì cả,” ZachXBT nói. “Tôi đã gặp rất nhiều người sau khi bị bắt hoặc tài sản bị tịch thu — nhiều người trong số họ đã quay lại cuộc sống cũ.”
Năm nay, năm trong số sáu người đàn ông Florida đã nhận tội bắt cóc và âm mưu liên bang, và họ có thể phải đối mặt với mức án lên tới 15 năm tù. Vào tháng 1, Michael Rivas, 19 tuổi, đã xin lỗi tại tòa án Hartford về hành động của mình, gọi đó là hành động "ngu ngốc" và nói rằng anh ta đang giúp một người đàn ông khác thực hiện "kế hoạch trả thù", mặc dù anh ta không giải thích thêm.
Vào tháng 2, James Schwab, 22 tuổi, người Georgia đã bị khởi kiện vì có liên quan đến âm mưu bắt cóc. Theo khởi kiện hình sự liên bang, Schwab đã có cuộc đụng độ với Veer Chetal tại một hộp đêm ở Miami một tháng trước vụ bắt cóc, và anh ta đã giúp tài trợ cho kế hoạch, sắp xếp phương tiện đi lại và chỗ ở cho những kẻ tấn công. Ông đã không nhận tội.
Vào ngày 25 tháng 3, ZachXBT đã cập nhật trang web X với tiến triển mới nhất trong cuộc điều tra về crypto bị đánh cắp: “Cập nhật: Wiz (Vil Chetal) đã bị bắt”, anh viết, “Đây là ảnh của anh ấy”. Bức ảnh đính kèm cho thấy một thanh niên mặc áo phông trắng, tóc bù xù và râu rậm, miệng trễ xuống và đôi mắt mệt mỏi. Cậu bé này khác xa so với cậu bé trong bức ảnh trên trang web của Trường trung học Immaculate. Tội danh được liệt kê trong hồ sơ nhà tù là tội nhẹ liên bang, nhưng không nêu rõ tội danh.
Theo ZachXBT, số Bitcoin bị đánh cắp mà anh theo dõi đã được chuyển đến các ví do cơ quan thực thi pháp luật kiểm soát. Chiếc Lamborghini Urus màu xám mờ mà Sushil và Radhika Chetal lái vào thời điểm xảy ra vụ bắt cóc vẫn được đỗ làm bằng chứng tại bãi đậu xe an ninh của cảnh sát ở Danbury vào ngày hôm đó. Chiếc Lamborghini này là chiếc xe con trai họ lái đến trường.
