Что произошло
Пророссийская хакерская группировка NoName057(16) привлекает людей к DDoS‑аткам на сайты западных госструктур, банков и СМИ, маскируя наборы команд и выплаты под «патриотическую онлайн‑игру». Вместо официального ресурса источник информации — анализ конфигураций и данных, собранных расследователями.
По результатам анализа, если до июля 2025 года организаторы в среднем рассылали около 6 300 команд об атаке в месяц, то позднее этот показатель вырос до примерно 7 708.
В середине июля 2025 года правоохранители из ряда стран ЕС, Швейцарии и США провели масштабную операцию: изъяли более сотни серверов, провели обыски, допрашивали подозреваемых и выдали ордера на арест. Больше тысячи человек получили предупреждения о возможной ответственности за участие в кибератаках. Тем не менее атаки возобновились уже через несколько дней и даже участились, что говорит о частичном провале операции.
В среднем около 300 атак в месяц оказывались успешными — сайты несколько часов или дней оставались недоступны для пользователей. В ряде случаев мишенями становились госорганы, политические партии и СМИ: в ноябре 2025 года удары затронули несколько датских учреждений и СМИ, что создавало риски для избирательного процесса.
Как устроена схема
Атаки выполняются с помощью программы DDoSia, которую добровольцы устанавливают на свои устройства. Приложение генерирует сотни и даже миллионы автоматических запросов в сутки, создавая нагрузку на сайты‑мишени.
За активность пользователям начисляют внутриигровую валюту — «декоины», которую обещают обменять на криптовалюту TON и затем на реальные деньги через сторонние сервисы. Например, за 500 тысяч успешных атак в сутки пользователь может получить 50 декоинов; стоимость одного декоина в оценках источников составляет около двух рублей.
Рекрутинг и реклама приложения ведутся в Telegram‑каналах с призывами «заработать» или «помочь на информационном фронте».
Подозреваемые и их связи
Европол и другие расследователи называют разработчиками и координаторами двух граждан России: 39‑летнего Михаила Бурлакова и 36‑летнего Максима Лупина. По данным утечек, они живут в Москве. Лупин приписывается роль генерального директора Центра изучения и сетевого мониторинга молодёжной среды, а Бурлаков — его заместителя.
В ранее доступных сведениях отмечается, что в своей профессиональной деятельности один из них участвовал в заседаниях Совета при президенте и в комиссиях Госсовета, а также в конгрессах молодёжи, где присутствовали высокопоставленные лица.
Выводы
Масштабные операции правоохранительных органов оказались недостаточны для полной нейтрализации инфраструктуры — активность группы продолжила расти, а схема с выплатами в «игровой» валюте делает набор участников дешёвым и массовым. Это создаёт устойчивую угрозу для устойчивости работы сайтов государственных и коммерческих организаций.
