Кратко
Группа NoName057(16) вербует добровольцев для DDoS‑атак на сайты госорганов, компаний и СМИ в Европе, маскируя набор участников под «патриотическую онлайн‑игру». Несмотря на масштабные рейды правоохранительных органов, активность группировки не только не снизилась, но и выросла.
Данные анализа
Анализ конфигураций команд, рассылаемых организаторами с 2023 по 2026 год, показал рост средней месячной активности: с примерно 6 300 команд в месяц до около 7 708. Это отражает как расширение набора участников, так и увеличение масштабов атак.
Операция правоохранителей и её последствия
В ходе международной операции в середине июля 2025 года были изъяты более сотни серверов, проведены 24 обыска, опрошены 13 человек и выдано семь ордеров на арест; свыше тысячи человек получили предупреждения о возможной ответственности за киберпреступления. Тем не менее атаки возобновились через несколько дней и в ряде случаев даже участились, что указывает на частичную неэффективность репрессий против инфраструктуры.
Цели атак и инциденты
Мишенями становились компании, банки и государственные структуры. В ноябре 2025 года серия атак поразила сайты ряда государственных учреждений, политических партий и СМИ в Дании — это создало риск срывов в подготовке к местным выборам; несмотря на опасения, отключений электроэнергии в итоге не зафиксировали.
Как работает схема и система вознаграждений
Для атак используется программа DDoSia, которую добровольцы устанавливают на свои устройства. Приложение генерирует сотни автоматических запросов в день; за успешные запросы пользователи получают внутриигровую валюту — декоины, которую можно обменять на криптовалюту TON и затем вывести в реальные деньги через сторонние сервисы. По имеющимся данным, за 500 тысяч успешных атак в сутки начисляют 50 декоинov; один декоин оценивается примерно в два рубля. Одно инфицированное устройство способно сгенерировать до нескольких миллионов запросов в сутки.
Приложение рекламируется в тематических Telegram‑каналах как способ заработка и «помощи на информационном фронте», что облегчает вербовку добровольцев.
Кто может стоять за разработкой
Европол называет предполагаемыми ключевыми фигурами двух россиян: 39‑летнего Михаила Бурлакова и 36‑летнего Максима Лупина, которые, по утечкам данных, проживают в Москве. Максим Лупин указан как генеральный директор Центра изучения и сетевого мониторинга молодёжной среды (ЦИСМ), Михаил Бурлаков — как его заместитель. В своей профессиональной деятельности Лупин, по данным из открытых источников, участвовал в заседаниях совещательных органов, включая заседания при президенте и мероприятия, где присутствовали высокопоставленные чиновники.
