The Future of Remote Work

Điều tra Hoakhuya

Xin chào các độc giả. Trước hết xin cảm ơn tất cả cộng đồng và mọi người đã và đang điều tra đã cho mình bằng chứng cần thiết, mình sẽ cố gắng theo vụ này đến khi tổ chức này được phanh phui.

Tổng quan

Tên miền hoakhuya.com

Đăng ký từ 2017 đến 2022, sử dụng dịch vụ ẩn danh tính WhoisGuard, đặt máy chủ ở nước ngoài.

Tính chất cộng đồng

Bài viết từ blog CyberLances (phần 1 và 3) cho thấy đây là một tổ chức liên quan đến nội dung đồi trụy

Server ở nước ngoài, bảo mật, không rõ người đứng sau, có thể ra đời từ 2010 hoặc 2017. Bên trong từng có đăng ký thành viên, giao dịch (VIP, gói tiền ~120k VNĐ…), hệ thống chat, chatbot hỗ trợ, như một nền tảng chuyên nghiệp .

Hoạt động đáng ngờ

Từng được mô tả là "thiên đường ấu dâm, đồi trụy", chứa tài nguyên bất hợp pháp, các bước giao dịch, hướng dẫn ẩn danh cho người dùng.


Hoạt động chặn truy cập

Sau khi bị lộ, cộng đồng tạm khóa hệ thống, thay đổi cơ chế vào, yêu cầu chứng thực thủ công qua email như execs@qq.com,develop@execs.com.

I. Internet

1. urlscan.io

urlscan.io là 1 trang web để quét các trang web và lấy dữ liệu về các trang web đó. Và đây là thứ mình tìm được, chụp vào 10/1/2021.

urlscan.io

Tạm dịch:
Chúng tôi trân trọng đội ngũ Cyber Space, nhưng rất thất vọng vì một nửa nội dung trong phần 2 chỉ là tin giả, có lẽ là để nổi tiếng đúng không? Chúng tôi không hoạt động như những gì họ nói. Chúng tôi làm việc cho chính mình... Một lần nữa, chúng tôi đã đóng cửa trước khi câu chuyện đi quá xa. Sự an toàn của các thành viên là ưu tiên hàng đầu của chúng tôi. Cơ sở dữ liệu thông tin cá nhân của tất cả thành viên đã bị phá hủy hoàn toàn, hãy chờ đợi phiên bản tiếp theo, các thành viên hiện tại hãy gửi email cho tôi qua địa chỉ develop@execs.com kèm theo tên người dùng, chữ ký, hoặc số visa Hong Kong của bạn để tham gia lại.

Thứ mình chú ý là, shadowbot?, mình chưa thấy ai nhăc gì đến nó cả, nhưng mình thấy nó có vẻ là 1 cái gì đó và, fetch?. Mình chỉ suy đoán shadowbot vẫn còn ở góc nào đó của google hoặc 1 trình duyệt nào đó, có thể tìm manh mối về nó sau này. Hiện tại vẫn chưa có manh mối về nó.

Tụi mình tìm được những IP của Hoakhuya.com nhưng đây chỉ là server của công ty cho thuê tên miền, không phải server của Hoakhuya.com.

ip
ip
ip
ip
ip

Tên miền hiện tại đã bị bán và không có ai sử dụng. Tuy nhiên, vẫn có một vài tin đồn về việc tên miền này vẫn hoạt động ngầm, thông tin này sẽ được kiểm chứng lại sau.

2. ww1.hoakhuya.com

Một bản quét công khai của https://www.bba.hoakhuya.com/ chuyển hướng đến https://ww1.hoakhuya.com/lander. Máy chủ chính có IP 15.197.204.56, được lưu trữ bởi Amazon tại Mỹ. Chứng chỉ TLS được cấp ngày 15 tháng 2 năm 2025 (hết hạn sau một năm). Trang web này liên hệ với nhiều địa chỉ IP ở nhiều quốc gia và chứa quảng cáo từ Google, Akamai, Godaddy. Không bị đánh giá là độc hại — chỉ là một trang đỗ (parking page) hoặc trang chuyển hướng tạm thời.

Thông tin kỹ thuật chính:

10 giao dịch HTTP, 5 địa chỉ IP ở 3 quốc gia
90% sử dụng giao thức HTTPS; dùng dịch vụ tăng tốc toàn cầu AWS & CDN của Akamai
Có cookie lưu trữ lâu dài như sid, country=IN, lander_type=parking


3. account.hoakhuya.com

Chỉ có một bản quét duy nhất vào ngày 8 tháng 6 năm 2020: trang đặt tại Singapore với IP 139.180.128.23 (thuộc ASN của Choopa). Máy chủ sử dụng nginx với chứng chỉ Let’s Encrypt hợp lệ từ tháng 6 đến tháng 9 năm 2020. Không có liên kết bên ngoài hoặc chuyển hướng; sử dụng hoàn toàn HTTPS, không có cookie. Có thể là trang phụ dành cho quản trị hoặc tài khoản, nhưng đã không hoạt động từ năm 2020.

4. Các tên miền/phụ khác

Hầu như không có bản quét gần đây. Có một số bản quét cũ như bbs.hoakhuya.com/login.php từ khoảng 5 năm trước. Không ghi nhận thêm hoạt động nào đáng chú ý gần đây. ww1.hoakhuya.com và www.bba.hoakhuya.com (quét ngày 24/5/2025) .Trang cuối cùng là https://ww1.hoakhuya.com/lander, trỏ đến IP 15.197.204.56 (thuộc Amazon AWS - Mỹ), cũng liên quan đến hạ tầng CDN tại Hà Lan (NL) dùng chứng chỉ GoDaddy phát hành ngày 15/2/2025 (hiệu lực 1 năm)

II . Các đối tượng tình nghi:

1. Quản trị viên tên Khánh

doi tuong doi tuong doi tuong



Cực kì ít thông tin về tên này, đây là quản trị viên của hoakhuya và thiết lập các quy định nội bộ, đặc biệt cho phép “chợ đen” trao đổi tài nguyên nhạy cảm, bao gồm phần download tải hình/video đồi trụy