Công cụ hoán đổi khuôn mặt tinh vi

Theo Wired, Haotian không chỉ là một ứng dụng giải trí thông thường. Đây là một nền tảng tinh vi cho phép người dùng tinh chỉnh tới 50 thông số khuôn mặt khác nhau để mô phỏng người mà chúng muốn mạo danh, bao gồm khả năng điều chỉnh các yếu tố như kích thước xương gò má và vị trí mắt.

Ứng dụng AI này hiệu quả đến mức đã kiếm được hàng triệu USD bằng cách bán công nghệ hoán đổi khuôn mặt trên Telegram, nó dễ dàng tích hợp với các nền tảng nhắn tin như WhatsApp và WeChat. Báo cáo chỉ ra rằng, Haotian đã tạo ra một "hệ sinh thái" hỗ trợ đắc lực cho các đường dây lừa đảo "mổ lợn" (pig butchering) - nơi tội phạm mạng có thể xây dựng mối quan hệ lâu dài với nạn nhân thông qua các cuộc trò chuyện video thân mật. Haotian và các công cụ Deepfake giúp những kẻ lừa đảo duy trì hình ảnh một con người “thật”, từ đó tạo dựng lòng tin tuyệt đối trong các kịch bản lừa đảo tình cảm, đầu tư tiền điện tử hoặc kinh doanh trực tuyến.

Phân tích của công ty Elliptic về bốn ví tiền điện tử liên kết với Haotian cho thấy, nền tảng này đã nhận được ít nhất 3,9 triệu USD tiền thanh toán trong những năm gần đây, bao gồm các ví tiền điện tử trong các hoạt động tội phạm mạng. Ngoài ra, gần một nửa số tiền thanh toán của Haotian cũng có liên quan mật thiết Huione Guarantee - một sàn giao dịch trung gian tại Campuchia đã bị Chính phủ Mỹ trừng phạt vì tiếp tay cho hoạt động lừa đảo và rửa tiền.

Trao đổi với Wired, ông Ngô Minh Hiếu chia sẻ Haotian xuất hiện từ khoảng năm 2021 và nhanh chóng trở nên phổ biến trong giới tội phạm mạng nhờ độ chân thực cao. Theo chuyên gia an ninh mạng này, kết quả của Haotian gần như hoàn hảo và đang ngày càng được cải thiện mỗi ngày. Qua việc theo dõi các ví tiền điện tử liên quan đến Haotian, ông Hiếu phát hiện dòng tiền bất chính đổ vào hệ thống này hàng ngày, minh chứng cho quy mô hoạt động khổng lồ của dịch vụ này.

Haotian chỉ là một phần của hệ sinh thái công nghệ rộng lớn hơn đã nổi lên xung quanh ngành công nghiệp tội phạm mạng đang bùng nổ ở Đông Nam Á và các đường dây lừa đảo hết sức tinh vi. Trong hai năm qua, các quan chức tại Cơ quan Phòng chống Ma túy và Tội phạm của Liên Hợp Quốc đã xác định được hơn 10 công cụ hoán đổi khuôn mặt có khả năng được tội phạm mạng sử dụng tại Đông Nam Á, bao gồm cả các vụ lừa đảo tiền điện tử và mạo danh cảnh sát.

Theo phân tích của chuyên gia Ngô Minh Hiếu, Haotian có một trang web dành cho công cụ hoán đổi khuôn mặt của mình, nhưng chủ yếu quảng bá ứng dụng dành cho máy tính để bàn thông qua một kênh Telegram công khai, được ra mắt vào tháng 10/2023 và hiện có hơn 20.000 người đăng ký - nơi các đối tượng lừa đảo dễ dàng tiếp cận các dịch vụ "thị trường xám".

Đáng chú ý, sau những nghiên cứu của ông Hiếu được làm rõ, kênh Telegram chính thức của Haotian và một số tài khoản liên quan đã trở nên không thể truy cập hoặc dường như đã bị xóa. Mạng xã hội này không phản hồi yêu cầu bình luận về việc liệu công ty có gỡ bỏ các tài khoản này hay không.

Nghiên cứu được công bố vào tháng 3/2025 bởi công ty an ninh mạng Tehtris cho biết, họ đã theo dõi nhiều tên miền dường như có liên quan đến Haotian trong những năm gần đây, bao gồm trang web hiện tại “haotian.ai” và các địa chỉ trước đây như “haotianai.com” và “haotianai.us”. Trong khi đó, nghiên cứu của ông Hiếu phát hiện ra rằng trang web của Haotian đã công khai đề cập đến các chiến thuật kỹ nghệ xã hội. Trên cả Telegram và trang web riêng của mình, các cuộc thảo luận về các hình thức tấn công của Haotian thường sử dụng cụm từ “精聊” hoặc “jingliao”, nghĩa đen là “trò chuyện sâu sắc” hoặc “trò chuyện tâm linh”. Tuy nhiên trên thực tế, cụm từ này đề cập đến tấn công kỹ nghệ xã hội và đặc biệt ám chỉ các trò lừa đảo pig butchering.

Khi Wired liên hệ với tài khoản Telegram của Haotian bằng tiếng Anh để hỏi về dịch vụ này, tài khoản đó đã trả lời bằng tiếng Trung Quốc rằng họ không thể giao tiếp bằng tiếng Anh và không “chấp nhận” phỏng vấn. “Khách hàng mục tiêu của chúng tôi là những người phát livestream hoặc bán hàng trực tiếp. Chúng tôi chỉ cung cấp phần mềm hoán đổi khuôn mặt cho phát livestream và không cho phép sản phẩm này được sử dụng cho các hoạt động bất hợp pháp”, tài khoản Haotian cho biết bằng tiếng Trung Quốc. 

Haotian nhấn mạnh họ sẽ chấm dứt các tài khoản nếu phát hiện chúng bị sử dụng cho mục đích lừa đảo và khẳng định "không đúng sự thật" khi có thông tin cho rằng Haotian quảng cáo cho các trung tâm lừa đảo. Tài khoản này suy đoán nếu có hoạt động tiếp thị như vậy, thì "rất có thể" đó là từ các tài khoản mạo danh Haotian. Khi được hỏi về ngôn ngữ trên haotian.ai dường như nhắm đến đối tượng lừa đảo, tài khoản Telegram của Haotian cho biết công ty không có trang web. Sau khi Wired gửi cho tài khoản này ảnh chụp màn hình trang web hiện tại của Haotian và liên kết đến phiên bản lưu trữ, tài khoản Telegram của Haotian đã xóa toàn bộ cuộc trò chuyện.

Có một vài cách để sử dụng phần mềm máy tính để bàn của Haotian. Gary Warner, giám đốc tình báo tại công ty an ninh mạng DarkTower, cho biết những bức ảnh hoán đổi khuôn mặt mượt mà nhất đến từ việc sử dụng các khuôn mặt được lập trình sẵn của công ty, hoặc nhập một số ảnh của một người để Haotian có thể xây dựng mô hình khuôn mặt của họ. Ví dụ trong các video quảng cáo bao gồm Elon Musk và Leonardo DiCaprio, thì người dùng cũng có thể cung cấp tài liệu để hệ thống có thể tạo ra khuôn mặt của chính họ hoặc của người khác. Càng ít tài liệu nguồn mà Haotian có để làm việc, kết quả càng kém thuyết phục.

Tuy nhiên, người dùng có thể tinh chỉnh diện mạo hoán đổi khuôn mặt của mình bằng các công cụ chi tiết để trau chuốt các thuộc tính khuôn mặt khác nhau. Theo các nhà nghiên cứu và các video quảng cáo của công ty, đầu ra video có thể được phát trực tuyến đến các cuộc gọi video trên WhatsApp, Line, Telegram, Facebook, Viber, Zoom, WeChat và các nền tảng khác.

Ngoài ra, Haotian còn quảng cáo các tính năng giả giọng nói và chatbot hỗ trợ AI trên một kênh Telegram liên kết. Các bài đăng trên kênh Telegram của công ty cho biết công nghệ của họ hỗ trợ “nhân bản giọng nói của bất kỳ ai để thực hiện cuộc gọi hoặc tin nhắn thoại trực tiếp” và thay đổi giọng nói từ nam sang nữ hoặc ngược lại.

Các chuyên gia an ninh mạng và các nhà chức trách trên toàn thế giới ngày càng cảnh báo về mối đe dọa từ tội phạm mạng sử dụng các công cụ hoán đổi khuôn mặt như một phần của các vụ lừa đảo. Một biện pháp cụ thể mà mọi người có thể thực hiện để giúp phát hiện gian lận tiềm tàng, đó là yêu cầu người mà họ đang trò chuyện video vẫy tay trước mặt để kiểm tra các lỗi hoặc biến dạng có thể cho thấy đó là Deepfake. Tuy nhiên, Haotian tuyên bố trong các bài đăng rằng họ đã bổ sung các cải tiến để hệ thống hoạt động trơn tru nếu ai đó chạm vào mặt bằng tay hoặc vẫy tay trước mặt khi đang gọi video. Các bài đăng trên Telegram cũng tuyên bố rằng dịch vụ này hỗ trợ hôn gió, nháy mắt, liếm môi, hoặc người được gọi quay đầu hoặc lắc đầu.

Mối liên hệ chặt chẽ với Huione Guarantee

Theo nghiên cứu ông Hiếu, vài ngày sau khi Haotian ra mắt kênh Telegram vào tháng 10/2023, công ty này cũng đã lập một tài khoản Telegram liên kết với Huione Guarantee, đôi khi còn được biết đến với tên gọi Haowang Guarantee. Sàn giao dịch trực tuyến này có liên quan đến công ty Huione Group của Campuchia, cung cấp dịch vụ gửi tiền và ký quỹ (escrow) qua Telegram - tạo điều kiện thuận lợi cho việc mua bán nhiều công cụ cần thiết cho các vụ lừa đảo, bao gồm bán dữ liệu nạn nhân, dịch vụ Deepfake,... Vào tháng 01/2025, trước khi Huione Guarantee đóng cửa và sau đó bị Chính phủ Mỹ trừng phạt vì tiếp tay cho các vụ lừa đảo, các nhà nghiên cứu ước tính rằng nền tảng này đã tạo điều kiện cho hơn 24 tỷ USD giao dịch trên "thị trường xám".

Huione Guarantee cũng là đơn vị xử lý thanh toán và dịch vụ ký quỹ của Haotian. Bằng chứng về mối quan hệ này đã xuất hiện nhiều năm nay trên các kênh Telegram liên quan đến cả hai công ty, nơi khách hàng thực hiện thanh toán. Nhật ký trò chuyện mà Wired đã xem xét, cũng như kết quả nghiên cứu từ nhiều chuyên gia an ninh mạng khác nhau đều củng cố về lập luận ày.

Tom Robinson, nhà khoa học và cũng là đồng sáng lập tại công ty Elliptic, cho biết ví tiền điện tử được Haotian sử dụng đã nhận được 3.558 khoản thanh toán với tổng trị giá 3,9 triệu USD trong những năm gần đây. Trong đó, 1,2 triệu USD là giữa Haotian và các thực thể Huione, các giao dịch giữa hai bên kết thúc vào ngày 7/11/2025. Dịch vụ này sử dụng stablecoin Tether, hay còn gọi là USDT. Theo Robinson, có hơn 3.007 khoản thanh toán vượt quá 100 USD và giao dịch lớn nhất đến Haotian là 14.890 USD, cùng với một "số lượng lớn" các giao dịch xung quanh mức 500 USD.

Robinson cho rằng, một số ví tiền điện tử dùng để thanh toán cho Haotian có liên quan đến các hoạt động tội phạm tiềm tàng. Ông giải thích: “Tiền thu được từ ít nhất 52 vụ lừa đảo đã được chuyển vào các ví này”, đồng thời cho biết các đối tác của Elliptic đã gắn cờ các tài khoản liên quan đến các vụ lừa đảo. Mặc dù Haotian thường xuyên phát hành các tính năng mới và cải thiện chất lượng Deepfake của mình, nhưng dĩ nhiên nó chỉ là một trong nhiều công cụ mà tội phạm mạng có thể sử dụng trong hoạt động của chúng. 

Andrew Fierman, người đứng đầu bộ phận tình báo an ninh tại công ty Chainalysis, nhấn mạnh hoạt động của Haotian nhìn chung tương tự như các công ty khác hoạt động trên nền tảng Huione Guarantee đã bị trừng phạt - những thực thể công nghệ thường xử lý các giao dịch trị giá vài trăm nghìn USD hoặc vài triệu USD. Fierman cho rằng những giao dịch nhỏ lẻ này cho các nhà cung cấp công nghệ giúp duy trì hệ sinh thái bất hợp pháp.

Kết luận

Trường hợp Haotian là minh chứng rõ ràng cho việc công nghệ AI, nếu không được kiểm soát và giám sát chặt chẽ, có thể trở thành chất xúc tác mạnh mẽ cho tội phạm mạng toàn cầu. Khi Deepfake thời gian thực ngày càng hoàn thiện, thách thức đặt ra không chỉ là ngăn chặn một ứng dụng cụ thể, mà là làm thế nào để thiết lập hàng rào pháp lý, kỹ thuật và nhận thức xã hội đủ mạnh nhằm bảo vệ con người trong kỷ nguyên số.