Пророссийская хакерская группировка вербует людей для участия в координированных DDoS‑атаках на сайты правительств и компаний по всей Европе, маскируя набор как «патриотическую онлайн‑игру». Попытки ликвидации сети со стороны западных правоохранительных органов не дали ожидаемого результата — активность только выросла.
Как работает схема
Организаторы предлагают установить программу под названием DDoSia, которая превращает устройство добровольца в инструмент для автоматизированных запросов на целевые сайты. Вербовка ведётся через Telegram‑каналы и другие сообщества с обещаниями заработка и «помощи на информационном фронте».
Пользователям начисляют внутриигровую валюту — «декоины» — за каждую успешную операцию; декоины можно обменять на криптовалюту TON и затем вывести через сторонние сервисы. По данным анализа, например, за 500 тысяч успешных атак в сутки пользователь получает 50 декоинов, один декоин оценивается примерно в два рубля.
Масштаб и цели атак
Анализ конфигураций команд, рассылаемых на подключённые устройства, показывает рост активности: если до июля 2025 года средний объём команд составлял около 6 300 в месяц, то позднее — примерно 7 708 в месяц. В среднем около 300 атак ежемесячно были успешными, приводя к недоступности сайтов на некоторое время.
Мишенями становились компании, банки и государственные учреждения западных стран. В отдельном эпизоде в ноябре 2025 года под удар попали ресурсы нескольких госструктур, политических партий и СМИ в Дании — это создавало риск воздействия на местные выборы.
Рейды правоохранителей и их эффект
С 14 по 17 июля 2025 года правоохранители ряда стран ЕС, Швейцарии и США провели крупную операцию: изъяли более сотни серверов, провели 24 обыска, допросили 13 человек и выдали семь ордеров на арест. Больше тысячи людей получили предупреждения об ответственности за киберпреступления.
Несмотря на это, атаки возобновились через несколько дней и даже участились, что указывает на то, что операция не привела к полномасштабному прекращению активности группировки.
Кто может стоять за группировкой
В числе предполагаемых организаторов правоохранители называют двух граждан России: 39‑летнего Михаила Б. и 36‑летнего Максима Л. По утечкам следует, что они проживают в Москве. Один из них занимает пост генерального директора Центра изучения и сетевого мониторинга молодёжной среды, второй — его заместителя; в прошлом один из них участвовал в заседаниях профильных советов и профильных конгрессах.
Сочетание простоты вербовки, экономического вознаграждения и автоматизации делает такую схему устойчивой и трудной для полного пресечения, пока не будут устранены каналы распространения ПО и системы вывода средств.
