Mặc dù Chính phủ Trung Quốc rất coi trọng việc điều hành hệ thống kiểm duyệt Internet có thể coi là tinh vi nhất thế giới, nhưng tội phạm mạng địa phương đang tìm ra cách qua mặt hệ thống đó, khiến Trung Quốc trở thành một trong những nền kinh tế mà giới tội phạm mạng ngầm phát triển nhất thế giới.

Tội phạm mạng của Trung Quốc có quy mô khá lớn, có thể thu lợi và mở rộng nhanh chóng. Theo số liệu thống kê phát triển Internet năm 2018, tội phạm mạng của Trung Quốc có trị giá hơn 15 tỷ USD, gần gấp đôi quy mô của ngành an toàn thông tin. Cũng nguồn tin tiếng Trung Quốc đó cho thấy, tội phạm mạng của nước này đang gia tăng với tốc độ hơn 30% mỗi năm. Ước tính 400.000 người đang làm việc trong các mạng lưới tội phạm mạng ngầm Trung Quốc.

Để nhanh chóng mở rộng quy mô kinh doanh và tối đa hóa lợi tức đầu tư (ROI), tội phạm mạng Trung Quốc đã liên tục điều chỉnh các chiến thuật, kỹ thuật và quy trình của chúng. Một thay đổi đáng kể là tội phạm mạng Trung Quốc đang dần chuyển đổi từ việc liên kết một - một thông qua nền tảng nhắn tin tức thời QQ nổi tiếng của Trung Quốc, thành mạng lưới tội phạm mạng chính thức hơn. Các mạng này sử dụng quảng cáo tập trung vào các quy trình dịch vụ tiêu chuẩn tương tự như Nga và các diễn đàn ngầm của tội phạm mạng tinh vi khác. Các mạng tập trung này được lưu trữ trong mạng chìm (deep web) để đăng sản phẩm và dịch vụ. Một lượng lớn dữ liệu bị đánh cắp bằng việc thông qua các dịch vụ tự động, môi giới gian lận thẻ có thể đặt hàng thông tin thẻ tín dụng và thẻ ghi nợ mà không phải tương tác với người dùng.

Liên quan đến các dịch vụ tấn công, tội phạm mạng Trung Quốc cũng cung cấp các mô-đun cho các khách hàng tiềm năng để thực hiện các yêu cầu dịch vụ của họ, bao gồm các kiểu tấn công như nhắm mục tiêu các địa chỉ IP, phần mềm độc hại theo yêu cầu hoặc công cụ khai thác và xử lý thanh toán trực tuyến. Thông qua việc thiết lập một mô hình bán hàng được tiêu chuẩn hóa, tội phạm mạng Trung Quốc có thể mở rộng hoạt động của chúng một cách nhanh chóng mà không phải chịu thêm chi phí gián tiếp.

Tương tự như các thế giới ngầm tội phạm mạng nổi tiếng khác, thị trường ngầm tội phạm mạng Trung Quốc đang tập trung vào việc cung cấp dịch vụ khách hàng một cách toàn vẹn. Nhiều tin tặc mở rộng giờ làm việc cả cuối tuần và thậm chí cung cấp hỗ trợ kỹ thuật 24/7 cho những khách hàng không có nền tảng kiến thức kỹ thuật. Các botnet tấn công từ chối dịch vụ phân tán (DDoS), bán lưu lượng truy cập, dịch vụ viết mã nguồn, thư rác email/SMS và dịch vụ tấn công mạng đều có sẵn trên thị trường chợ đen Trung Quốc.

Bất chấp sự kiểm duyệt của chính phủ, một số ít tội phạm mạng Trung Quốc vẫn sử dụng các thị trường web tối (dark web) để cung cấp dịch vụ và sản phẩm. Những thị trường này thường chuyên về thương mại hóa thông tin nhận dạng cá nhân (personally identifiable information - PII) bị đánh cắp, tài khoản ngân hàng có số dư cao, dịch vụ tấn công và tùy chỉnh phần mềm độc hại. Tuy nhiên, các thị trường hoặc diễn đàn này không dễ truy cập vì chính phủ Trung Quốc chặn mạng ẩn danh Tor. Một số lượng lớn tội phạm mạng Trung Quốc tiếp tục sử dụng các nhóm QQ độc quyền và bí mật, Weibo fora và Baidu Teiba cho quảng cáo và truyền thông. Tội phạm mạng Trung Quốc cũng hoạt động trên mạng Internet công cộng.

Để tránh sự kiểm duyệt và truy quét của chính phủ, tội phạm mạng Trung Quốc sử dụng rộng rãi tiếng lóng hoặc các chiến thuật ngôn ngữ khác để liên lạc và quảng cáo. Chẳng hạn, họ gọi một máy tính hoặc máy chủ bị xâm nhập là "thịt gà"; tài khoản ngân hàng bị đánh cắp, mật khẩu thẻ tín dụng hoặc các tài khoản bị tấn công khác được gọi là "thư" hay "phong bì"; các trang web và tài khoản email độc hại được sử dụng cho các cuộc tấn công lừa đảo thông tin hoặc spam được gọi là "các hộp". Thông tin bị đánh cắp hoặc thông tin chi tiết được lưu trữ ở mặt sau của dải từ của thẻ ngân hàng được gọi là "dữ liệu", dữ liệu theo dõi trên máy tính hoặc đơn giản là "tài liệu".

Một xu hướng đáng chú ý khác là ngày càng nhiều băng đảng tội phạm mạng Trung Quốc đang chuyển cơ sở hoạt động ra nước ngoài, sử dụng tiền điện tử để rửa tiền. Chúng có vẻ yêu thích các quốc gia và khu vực tài phán với luật pháp tội phạm mạng yếu hoặc thực thi yếu, như: Malaysia, Indonesia, Campuchia và Philippines. Kể từ năm 2017, Bộ Công an Trung Quốc đã phát hiện hơn 5.000 trường hợp gian lận viễn thông xuyên biên giới liên quan có giá trị lên đến hơn 150 triệu USD. Một số nhóm tội phạm mạng có tổ chức cao và hoạt động như các nhóm mafia có sự tham gia của các chuyên gia công nghệ thông tin phạm pháp. Một số băng đảng tội phạm mạng Trung Quốc có tổ chức tốt với sự phân chia lao động rõ ràng và nhiều chuỗi cung ứng. Các thành viên trong băng đảng thường nằm ở vị trí gần nhau về địa lý, ngay cả với các cuộc tấn công xuyên quốc gia.

Tin tặc Trung Quốc sử dụng các phương thức thanh toán, chiến lược tuyển dụng và cấu trúc hoạt động khác với giới tội phạm ngầm của các nước khác. AliPay và chuyển khoản ngân hàng là các phương thức thanh toán thường được chấp nhận, được quảng cáo bởi các diễn đàn tin tặc sử dụng tiếng Trung. Trong khi đó nhiều diễn đàn khác thường sử dụng Monero và Bitcoin.

Cơ chế tin tặc chủ và người học việc đóng vai trò quan trọng trong các cộng đồng tin tặc Trung Quốc. Nhiều nhóm tin tặc Trung Quốc sử dụng chiến lược này để tuyển thành viên mới hoặc kiếm lợi nhuận. Như được thể hiện trong biểu đồ dưới đây, các chủ nhóm tin tặc QQ - thường là chủ mưu của một nhóm tội phạm có tổ chức hoặc quản trị viên của một cộng đồng tin tặc, thu phí đào tạo từ các thành viên mà chúng tuyển dụng. Những thành viên này được biết đến với cái tên là những người học nghề hay những tin tặc học việc, được đào tạo, buộc phải tham gia vào nhiều vụ phạm pháp trước khi hoàn thành các chương trình huấn luyện. Sau khi chương trình đào tạo hoàn tất, họ đủ điều kiện để nâng cấp thành tin tặc làm việc toàn thời gian cho chủ của mình và chịu trách nhiệm cho các hoạt động như tấn công nhắm mục tiêu, tấn công trang web và đánh cắp thông tin từ các cơ sở dữ liệu.

Thế giới ngầm tội phạm mạng của Trung Quốc đã trải qua những thay đổi mạnh mẽ trong những năm qua. Các hoạt động tấn công đang ngày càng tăng, nhắm vào các cá nhân và tổ chức ở Hàn Quốc, Đài Loan, Singapore, Đức, Canada và Mỹ. Tội phạm mạng Trung Quốc cung cấp nhiều loại hàng hóa và dịch vụ khác nhau, từ giả mạo giấy phép lái xe của Mỹ và Canada, bản quét giấy phép lái xe giả của Hoa Kỳ và Canada, số điện thoại di động, thẻ tín dụng và thẻ định danh cá nhân của Mỹ cho đến các tài khoản mạng xã hội và email bị đánh cắp.

1 triệu tài khoản email của Mỹ có mật khẩu đã mã hóa được rao bán trong mạng ngầm Trung Quốc

Như được hiển thị trong các hình ảnh dưới đây, 1 triệu tài khoản email bị đánh cắp ở Mỹ có mật khẩu được mã hóa được bán với giá 117 USD; 1,9 triệu tài khoản email ở Đức bị đánh cắp với mật khẩu rõ có sẵn trên thị trường chợ đen Trung Quốc với giá 400 USD. Giấy tờ giả hoặc bản quét hộ chiếu hoặc giấy phép lái xe của Mỹ, Canada cũng được bán với giá ít nhất là 13 USD.

1,9 triệu tài khoản email Đức bị đánh cắp với mật khẩu rõ được rao bán trong thế giới ngầm của Trung Quốc

Tội phạm mạng Trung Quốc rao bán giấy phép lái xe Canada giả

Như trong ảnh chụp màn hình sau đây, tin tặc Trung Quốc cũng đang bán dữ liệu cá nhân bị đánh cắp, bao gồm thẻ định danh cá nhân và hộ chiếu của công dân Đài Loan và Hàn Quốc.

Thông tin định danh cá nhân của công dân Đài Loan bao gồm mã định danh cá nhân, địa chỉ, số điện thoại,… được rao bán trong giới tội phạm mạng Trung Quốc

Tin tặc Trung Quốc bán 17 triệu mã số định danh cá nhân của Hàn Quốc

Thông tin đăng nhập cho các tài khoản ngân hàng trên toàn thế giới cũng có sẵn trên thị trường ngầm tội phạm mạng Trung Quốc. Số dư tài khoản có sẵn càng cao thì giá bán càng cao. Các gói tài khoản bị tấn công từ các mạng xã hội lớn của Mỹ, nhà cung cấp dịch vụ trò chơi, cũng như các nhà cung cấp dịch vụ truyền thông được bán với giá chỉ 29 USD trong thị trường tội phạm mạng ngầm. Các tài khoản mạng xã hội đôi khi bị hack với mục đích sử dụng như một cách để tạo tài khoản giả để thu hút thêm nhiều người dùng web. Một số lượng lớn tài khoản email từ Đài Loan (ví dụ: @yahoo.com.tw) và các nhà cung cấp dịch vụ email của Hàn Quốc (ví dụ: @nate.com, @yahoo.com.kr) đang được bán trên thị trường chợ đen Trung Quốc.

Khi thế giới ngầm tội phạm mạng của Trung Quốc nhanh chóng mở rộng phạm vi và độ tinh vi, việc tách tội phạm mạng khỏi hoạt động gián điệp mạng ngày càng khó khăn. Tội phạm mạng Trung Quốc cung cấp dịch vụ để theo dõi các doanh nghiệp và bán hàng hóa có thể được sử dụng để nhắm mục tiêu vào các doanh nghiệp hoặc quan chức chính phủ cho các mục đích gián điệp kinh tế và chính trị. Một trong những mặt hàng thú vị nhất được bán ở thế giới ngầm Trung Quốc là một hồ sơ kinh doanh đầy đủ về các công ty và cơ quan chính phủ Trung Quốc. Một số tin tặc Trung Quốc bán các danh mục nhân viên của các công ty công nghệ cao. Tội phạm mạng Trung Quốc dường như làm việc với những kẻ nội gián hoặc thuê tin tặc làm việc như một đặc vụ bí mật bên trong các nhà cung cấp dịch vụ viễn thông, các công ty dịch vụ tài chính và công nghệ để đánh cắp bí mật hoặc thông tin độc quyền khác của công ty. Tài liệu bao gồm thông tin liên lạc chi tiết của các CEO và quản lý cấp cao từ 50 công ty hàng đầu của Trung Quốc. 

Hay việc rao bán thông tin kinh doanh khác, chẳng hạn như thông tin liên quan đến các tài khoản ngân hàng khác nhau của công ty, lịch sử góp vốn, chiến lược tiếp thị và mã số thuế cũng có sẵn trên thị trường chợ đen. Các tác nhân độc hại có thể sử dụng thông tin được đề cập ở trên để khởi động các cuộc tấn công nhắm mục tiêu vào doanh nghiệp hoặc tận dụng các lỗ hổng của bên thứ ba, chẳng hạn như dịch vụ tài chính tin cậy, các công ty nhân sự và nhà cung cấp dịch vụ công nghệ thông tin để xâm nhập vào hệ thống của mục tiêu.

Do tội phạm mạng Trung Quốc tiếp tục phát triển và tăng trưởng với tốc độ cao, các tổ chức và doanh nghiệp hoạt động ở khu vực Châu Á - Thái Bình Dương đang phải đối mặt với một mối đe dọa mở rộng từ hoạt động tội phạm mạng nhắm vào các tài sản kinh doanh có giá trị cao. Sở hữu trí tuệ và trộm cắp danh tính cũng có thể gây ra hậu quả kinh tế đáng kể.