Анализ инфраструктуры DDoSia: как просуществовала хактивистская платформа после удара правоохранителей

Проект DDoSia, впервые анонсированный в Telegram в марте 2022 года, представляет собой инструмент для коллективных DDoS-атак. Его архитектура напоминает более ранние разработки, такие как Low Orbit Ion Cannon (LOIC). Ключевое отличие от классических ботнетов вроде Mirai заключается в том, что DDoSia не использует самораспространяющееся вредоносное ПО. Вместо этого она полагается на добровольцев, которые самостоятельно устанавливают и запускают клиентское ПО на своих устройствах - от персональных компьютеров до арендованных серверов. Операторы из NoName057(16) мотивируют участников финансовыми вознаграждениями для топ-контрибьюторов и активной идеологической кампанией в социальных сетях.

Целями атак DDoSia традиционно становятся объекты в Украине, странах НАТО и государствах, поддерживающих Киев. Под удар попадают правительственные, военные, транспортные, финансовые учреждения, а также объекты критической инфраструктуры и туристического сектора.

Переломным моментом в истории проекта стала операция «Иствуд», проведённая Europol и Eurojust в июле 2025 года. Правоохранители сообщили об арестах, обысках, а также о целенаправленном уведомлении более 1000 сторонников проекта об их юридической ответственности. Это действие, по мнению аналитиков Censys, даёт редкую возможность оценить масштабы сети. С высокой долей вероятности общее количество активных ботов DDoSia не превышает 10 000 единиц. Кроме того, в ходе операции было выведено из строя более 100 серверов и закрыт основной Telegram-канал с аудиторией в 45 000 подписчиков.

Однако, как показывают данные Censys, уже через несколько дней после операции проект начал восстанавливать инфраструктуру. К декабрю 2025 года новая Telegram-группа набрала около 14 000 участников. Мониторинг, который компания ведёт с июня 2025 года, выявил характерные черты обновлённой сети управления.

Инфраструктура контроля демонстрирует высокую динамику обновления. В среднем, срок жизни одного управляющего сервера составляет около 2,5 дней. При этом более половины инстансов активны менее суток, но около 10% остаются в сети до двух недель, что обеспечивает необходимую стабильность. Большинство серверов размещаются на виртуальных хостингах (VPS), в частности у провайдеров Azea (попавшего под санкции Минфина США в 2025 году) и HostVDS. На самих серверах обычно открыто минимальное количество портов - только SSH (22/TCP) и HTTP (80/TCP) для регистрации ботов, что затрудняет их обнаружение.

Аналитики предполагают, что DDoSia использует многоуровневую архитектуру управления, что характерно для зрелых ботнетов. Первый уровень (Tier 1) состоит из серверов, с которыми напрямую взаимодействуют боты, запущенные волонтёрами. Адреса этих серверов распространяются через Telegram-бота. Второй уровень, вероятно, служит для обфускации трафика между первым уровнем и ядром управления. Эти серверы крайне недолговечны и могут выполнять функции простых прокси. Третий, внутренний уровень включает в себя системы управления, базы данных и панели мониторинга (dashboard). Данные от исследовательских групп Team Cymru и Gen, опубликованные ещё в 2023 году, указывают на существование подобной веб-панели управления, предназначенной для операторов.

Таким образом, несмотря на ощутимый удар международных правоохранительных органов, проект DDoSia продемонстрировал живучесть. Его операторы быстро адаптировались, перестроив инфраструктуру по классической для киберпреступников многоуровневой схеме. Это позволяет им сохранять способность координировать DDoS-атаки, хотя и с меньшим, чем прежде, пулом добровольцев. Постоянная смена управляющих серверов и использование определённого круга хостинг-провайдеров остаются отличительными чертами этой хактивистской платформы, которая продолжает оставаться инструментом гибридного воздействия в условиях текущего geopolitical конфликта.

IPv4

• 102.129.165.164
• 103.136.69.227
• 103.231.75.120
• 103.80.86.26
• 103.80.86.66
• 104.194.143.96
• 104.194.145.88
• 104.194.149.73
• 104.194.149.9
• 104.194.150.61
• 107.158.128.97
• 107.189.18.52
• 109.120.150.76
• 109.120.176.4
• 116.202.251.4
• 141.98.233.53
• 145.223.68.34
• 145.249.109.202
• 147.45.124.28
• 147.45.125.58
• 147.45.60.149
• 148.113.3.14
• 148.135.195.131
• 151.245.104.231
• 154.18.239.180
• 154.58.204.118
• 156.227.6.32
• 159.100.6.144
• 168.100.11.21
• 172.86.66.222
• 176.10.118.173
• 176.10.119.121
• 176.10.119.132
• 176.10.119.245
• 176.10.125.102
• 176.10.125.69
• 176.98.40.6
• 178.22.31.6
• 178.248.75.62
• 180.131.145.148
• 181.214.58.65
• 181.214.58.92
• 185.121.15.235
• 185.143.238.166
• 185.158.248.141
• 185.158.248.72
• 185.161.251.123
• 185.167.234.109
• 185.167.234.4
• 185.178.231.30
• 185.196.11.216
• 185.196.8.140
• 185.196.9.151
• 185.208.158.23
• 185.208.158.30
• 185.212.47.40
• 185.219.7.231
• 185.219.7.53
• 185.225.17.32
• 185.232.205.16
• 185.232.205.198
• 185.232.205.52
• 185.234.66.126
• 185.234.66.239
• 185.250.180.171
• 185.255.123.84
• 185.39.204.86
• 185.39.207.45
• 185.82.219.192
• 188.116.20.254
• 188.132.183.175
• 192.142.10.76
• 192.142.18.24
• 193.124.44.66
• 193.149.189.208
• 193.17.183.123
• 193.17.183.18
• 193.233.193.65
• 193.233.193.90
• 193.56.135.252
• 193.56.135.81
• 194.180.158.26
• 194.180.158.48
• 194.87.186.215
• 194.87.199.69
• 194.87.79.223
• 194.87.97.75
• 195.133.88.10
• 195.133.88.48
• 195.133.88.59
• 195.133.88.72
• 195.133.88.73
• 195.20.19.241
• 195.20.19.34
• 195.20.19.76
• 195.35.19.138
• 209.200.246.58
• 212.192.31.34
• 213.165.63.179
• 213.218.212.59
• 216.185.57.42
• 23.177.184.108
• 23.177.185.118
• 31.13.195.87
• 31.15.16.216
• 31.192.236.13
• 31.214.157.223
• 31.56.117.251
• 31.57.29.202
• 37.252.7.168
• 38.180.101.98
• 38.180.116.107
• 38.180.58.186
• 45.128.232.253
• 45.136.198.80
• 45.136.199.235
• 45.143.200.29
• 45.155.53.201
• 45.59.118.247
• 45.82.13.121
• 45.84.0.235
• 45.85.93.177
• 45.85.93.246
• 45.89.55.4
• 46.29.238.184
• 46.29.238.44
• 46.8.228.233
• 5.135.51.196
• 5.135.60.52
• 5.181.156.90
• 5.182.86.132
• 5.196.101.196
• 5.252.178.167
• 5.252.178.168
• 5.252.23.100
• 5.39.113.53
• 5.44.42.29
• 51.75.84.93
• 51.89.33.92
• 62.106.66.153
• 62.133.62.99
• 62.60.159.248
• 62.60.234.87
• 64.190.113.62
• 65.38.121.22
• 77.239.101.153
• 77.75.230.221
• 77.91.74.55
• 78.153.130.43
• 79.132.135.171
• 80.77.25.194
• 80.85.241.183
• 81.180.92.165
• 81.180.92.53
• 81.19.140.125
• 81.19.141.191
• 82.118.22.151
• 83.217.9.109
• 83.217.9.48
• 84.54.51.18
• 85.121.5.198
• 85.158.57.64
• 85.192.26.92
• 85.192.27.166
• 86.54.42.84
• 87.121.52.9
• 87.251.88.39
• 88.218.248.182
• 89.107.10.231
• 89.185.84.159
• 91.239.148.151
• 91.239.148.54
• 91.92.43.242
• 93.185.165.235
• 94.131.96.82
• 94.140.112.17
• 94.140.114.239
• 94.140.115.89
• 94.183.187.222
• 94.183.189.68
• 94.232.249.17
• 94.247.42.147
• 95.163.152.28

IPv4 Port Combinations

• 87.121.52.9:5001

SHA256

• 0e19deac3d64a33495d237ed4cdb3581813b88b6ed2afe84b8c2908201feaf91
• 0eae66824c65efe6b69937bf8427b7f28df591f2788b8088fbe9a05e8c26e077
• 2aaf3c08da86d5d0f6f9c00d4011991fd2cd50fa0777d51d5552b98365b15774
• 307e3ea1cb140f375443ef3c9b62028dd5c6449c1bf242b83d6db5d730bd2121
• 48e9d5b0f8a2d56d31b4e845597789a81e3733c03751139a22f55ceebd15b75a
• 532edcad0f1637b4cb6fe2638c84c9cee2a52786b89f8d155c910bf60f43da9c
• 7ee3574b0693e78060d863a5794437960aec0614af6c1909dd075daec0bcaf92
• 87cd40fbf9f363c212a8402cc8350f624fd6760799c013a0cdd301707a5bd083
• 8ba11c9e3d3f38a2473620579f61119be9ada9bc0e4dc37fc045017f56248473
• 95375dac86bf8daf101cb8120d78f0340e6b1cdbea16b859d96d7aef946be983
• b81734717f36d3cea59e5690b984333c5a6908a15883a0463d77cb20dadcec0c
• e3f229dc71ce65c1f2de05e2cfbd7ae848d330661d9b9b3fa00d594bf84f4d93