Một phân tích điều tra của VietnamWeek
I. Bắt đầu từ một buổi sáng bình lặng ở Phuket
Sáng ngày 12 tháng 11 năm 2025, một đội đặc nhiệm của Cục Điều tra Tội phạm Mạng Thái Lan (CCIB) bất ngờ ập vào một khu resort sang trọng tại huyện Thalang, Phuket. Trong căn phòng tầng ba, họ tìm thấy một người đàn ông Đông Âu khoảng 35 tuổi, đi một mình, không kháng cự.
Điều đáng chú ý hơn: FBI đã có mặt tại hiện trường, dù vụ bắt giữ diễn ra trên lãnh thổ Thái Lan.
CCIB tuyên bố đây là kết quả của chiến dịch phối hợp với cơ quan thực thi pháp luật Hoa Kỳ, nhằm bắt giữ một hacker bị truy nã quốc tế vì tấn công mạng vào các hệ thống chính phủ châu Âu và Mỹ.
Tên thật của nghi phạm không được công bố.
Nhưng trong vòng vài giờ, một cái tên xuất hiện trong giới phân tích an ninh mạng toàn cầu:
Aleksey Viktorovich Lukashev – sĩ quan tình báo quân đội Nga (GRU), đơn vị 26165, bị USA truy tố liên bang và FBI truy nã từ năm 2018.
II. Hồ sơ bí mật của Aleksey Lukashev – “Bóng ma” của GRU 26165
Theo hồ sơ của FBI và cáo trạng năm 2018 tại Washington D.C., Lukashev là thành viên của GRU Unit 26165, lực lượng từng tiến hành:
- Tấn công vào hệ thống email của Ủy ban Quốc gia Đảng Dân chủ (DNC)
- Đột nhập mạng của Ủy ban vận động tranh cử của Hillary Clinton
- Can thiệp vào các tổ chức liên quan bầu cử năm 2016 để hỗ trợ Trump
- Các cuộc tấn công mạng vào Bundestag (Đức), Ba Lan, Pháp và nhiều cơ quan chính phủ châu Âu
FBI liệt kê tội danh của Lukashev gồm:
Âm mưu chống lại Hoa Kỳ, đánh cắp danh tính nghiêm trọng, đăng ký tên miền giả mạo, và âm mưu rửa tiền.
Đặc vụ Anh cũng xác nhận Lukashev thuộc nhóm hacker viết và triển khai malware X-Agent, từng được dùng để theo dõi Yulia Skripal trước vụ đầu độc cha con Skripal bằng chất độc thần kinh Novichok năm 2018.
Tại châu Âu, cái tên Lukashev gắn với những cuộc tấn công “âm thầm mà chính xác”, thể hiện phong cách của GRU:
Không che giấu, không cần chối bỏ – chỉ cần gây tổn thất tối đa.
III. Vì sao lại là Phuket?
Một câu hỏi lớn được đặt ra:
Vì sao một sĩ quan GRU kỳ cựu lại di chuyển đến Thái Lan – một quốc gia có hiệp ước dẫn độ với Mỹ?
Các chuyên gia đưa ra ba khả năng:
1. Điểm nóng du lịch nhưng “bỏ qua kiểm tra an ninh”
Phuket là điểm đến quen thuộc của hàng nghìn công dân Nga mỗi tháng. Một người Nga đến Phuket không gây chú ý.
2. Tin rằng hộ chiếu – danh tính mới đủ tinh vi để qua mặt hệ thống
GRU thường cấp hộ chiếu danh tính kép cho sĩ quan hoạt động.
Trường hợp Petrov – Boshirov (vụ Skripal) là ví dụ điển hình.
3. Giao dịch tiền điện tử và mạng lưới ngầm ở Đông Nam Á
Theo nguồn tin CCIB, nghi phạm mang theo:
- Laptop mã hóa
- Nhiều điện thoại burner
- Ví tiền điện tử chứa ~14 triệu baht (~432.000 USD)
Điều này phù hợp với mô hình hoạt động của các nhóm GRU:
di chuyển, giao dịch crypto, chuyển tiếp dữ liệu, nhận lệnh qua kênh bí mật.
IV. Dấu vết của FBI – và cuộc săn kéo dài 7 năm
Từ năm 2018, FBI đã phát lệnh truy nã 12 sĩ quan GRU, trong đó có Lukashev. Không ai trong nhóm bị bắt – tất cả đều được chính phủ Nga bảo vệ.
Nhưng dấu hiệu mới xuất hiện đầu năm 2025:
- Một node máy chủ TOR tại Đông Nam Á liên tục kết nối vào cụm máy chủ từng được Unit 26165 sử dụng
- Luồng giao dịch crypto chuyển từ Moscow → Dubai → Pattaya → Phuket
- Một tài khoản Telegram liên quan đến GRU đăng nhập từ “viễn thông AIS – Thái Lan”
FBI nhận định: một thành viên cao cấp đang di chuyển trong khu vực.
Việc Thái Lan đồng ý hợp tác là điều đặc biệt – vì Nga và Thái có quan hệ viện trợ quân sự ngày càng tăng. Điều đó cho thấy áp lực Mỹ rất lớn, có thể thông qua:
- Thỏa thuận dẫn độ
- Hợp tác chống rửa tiền
- Đối tác chiến lược Mỹ–ASEAN
- Các vụ án rửa tiền xuyên biên giới liên quan người Nga
V. Trong phòng khách sạn ở Thalang
Theo ảnh hiện trường được The Insider công bố:
- Nghi phạm mặc áo thun trắng, quần short
- Không tỏ ra chống cự
- Trong phòng có laptop mở, TV bật, 3 điện thoại đặt trên bàn
- Tổ đặc nhiệm CCIB mang áo “CYBER” và “Division 6”
- Một người nước ngoài (có thể là FBI) có mặt giám sát
CCIB thu giữ:
- Laptop mã hóa cấp quân đội
- Smartphone Android cài ROM tùy chỉnh
- Ledger Nano ví lạnh crypto
- 432.000 USD tiền số (đã đóng băng)
- Hộ chiếu chưa rõ quốc tịch (Thái Lan chưa công bố)
VI. Lukashev có thật sự là người bị bắt?
Đây là câu hỏi then chốt.
Những dữ kiện ủng hộ:
- Giới phân tích The Insider đối chiếu mặt – dáng – tai – trán giữa ảnh FBI và ảnh bị bắt → “khớp 90%”
- Nghi phạm 35 tuổi – cùng tuổi với Lukashev
- Thời điểm vào Thái Lan trùng khớp với hoạt động crypto GRU bị theo dõi
- FBI phối hợp trực tiếp – điều hiếm gặp với hacker thông thường
- Tội danh phù hợp với hồ sơ Lukashev (tấn công chính phủ Mỹ – châu Âu)
Những điểm còn thiếu:
- CCIB chưa xác nhận tên
- FBI tuyên bố tiêu chuẩn: “Chỉ công bố khi nghi phạm rời Thái hoặc khi lệnh dẫn độ được chấp thuận”
Nếu đây là Lukashev, đây sẽ là lần đầu tiên Mỹ bắt được một sĩ quan GRU trong nhóm 12 người bị truy nã vì can thiệp bầu cử 2016.
VII. Địa chính trị: Hệ quả có thể chấn động
1. Mỹ – Nga: Căng thẳng leo thang
Nếu Thái Lan dẫn độ Lukashev:
- Nga có thể trả đũa bằng bắt giữ công dân Mỹ/Âu
- GRU sẽ thay đổi toàn bộ cấu trúc hoạt động mạng
- Mỹ sẽ có cơ hội khai thác thông tin từ một sĩ quan GRU cấp thực chiến
2. Thái Lan vào thế “kẹt giữa các cường quốc”
Bangkok sẽ đối mặt:
- Áp lực từ Mỹ yêu cầu dẫn độ
- Áp lực từ Nga yêu cầu thả người
- Rủi ro bị kéo vào cuộc đối đầu Mỹ–Nga
3. Tác động đến bầu cử Mỹ 2026
Nếu một thành viên can thiệp bầu cử 2016 bị bắt ngay dưới thời Trump, câu hỏi sẽ là:
- Trump sẽ cho dẫn độ hay sẽ can thiệp?
- Bộ Tư pháp Mỹ có dám làm đến cùng?
VIII. Kết luận: Một mảnh ghép lớn của cuộc chiến bí mật
Những gì xảy ra ở Phuket không chỉ là một vụ bắt hacker thông thường.
Nó là:
- Cuộc đối đầu âm thầm giữa FBI và GRU
- Đòn đánh hiếm hoi vào “cỗ máy tấn công mạng mạnh nhất của Nga”
- Một phép thử cho Thái Lan trong trật tự an ninh mới của châu Á
- Và có thể là vụ bắt giữ quan trọng nhất liên quan đến can thiệp bầu cử 2016 kể từ 2018
Nếu nghi phạm đúng là Aleksey Lukashev, đây sẽ là bước ngoặt lớn trong cuộc chiến tình báo mạng toàn cầu.
Và câu chuyện chắc chắn chưa kết thúc.