Испанская полиция сообщила о задержании мужчины, которого следствие связывает с хактивистскими группами CyberArmy of Russia Reborn — CARR, Z-Pentest и NoName057(16). Операция прошла в городе Паленсия ещё в марте 2026 года, но публично о ней объявили 6 июля после завершения основного этапа расследования. Информацию о подозреваемом испанским силовикам передало Федеральное бюро расследований США.
Сам арест проводила Национальная полиция Испании при сотрудничестве с ФБР. Следствие называет мужчину человеком, тесно связанным с несколькими группами, но опубликованных судебных доказательств его членства пока нет.
Испанские источники называют задержанного 34-летним гражданином Италии, проживавшим в Паленсии. Министерство внутренних дел Испании не раскрыло его имя и национальность в официальном сообщении. Власти также не сообщили, находится ли мужчина под стражей после мартовского задержания.
Дело открыли в августе 2025 года после сигнала ФБР. Американская сторона передала информацию о предполагаемой помощи украинскому хакеру, связанному с CARR. Мужчина из Паленсии якобы обеспечивал ему логистическую поддержку и планировал маршрут из Украины в Россию через Польшу и Белоруссию.
Подробности операции не раскрываются. Неизвестно, дошёл ли предполагаемый участник CARR до границы, когда именно готовился маршрут и состоялась ли попытка выезда. В опубликованном сообщении говорится лишь о действиях, направленных на организацию побега.
Следователи также утверждают, что задержанный общался с участниками хактивистских объединений через мессенджеры со сквозным шифрованием, координировал отдельные действия и оказывал техническую или организационную поддержку. Ему приписывают участие в операциях, которые позднее публиковались от имени NoName057(16).
Во время мартовского обыска полиция изъяла компьютерное оборудование и устройства для хранения криптовалюты. Следователи заблокировали один криптокошелёк, куда, как предполагается, поступали деньги от продажи информации, полученной преступным способом.
Размер заблокированных активов, вид криптовалюты и список связанных транзакций не опубликованы. Власти также не уточнили, какую именно информацию якобы продавал подозреваемый и кто выступал покупателем.
Криптовалютный кошелёк сам по себе не подтверждает связь с хакерской группой. Прокуратуре потребуется сопоставить транзакции с продажей конкретных данных, перепиской, аккаунтами и другими цифровыми следами.
Расследование проводили Главное информационное управление испанской полиции, подразделение в Паленсии и ФБР. Дело контролируют Центральный следственный суд №1 и прокуратура Национальной судебной палаты Испании.
Испанские власти расследуют возможное участие мужчины в террористической организации, сотрудничество с ней, публичное прославление терроризма и причинение вреда компьютерным системам. Финальное обвинительное заключение и возможные сроки пока не опубликованы.
На текущем этапе мужчина считается подозреваемым. Его виновность, принадлежность к конкретной группе и роль в операциях должен установить суд.
Представитель Z-Pentest сообщил SecPost, что группе неизвестна личность задержанного. Собеседник редакции допустил ошибочную атрибуцию и обратил внимание на четырёхмесячный разрыв между арестом и публичным сообщением.
Группа заявила, что запросила сведения у контактов в Европе и Испании. Независимого подтверждения её версии нет. В SecPost прозвучала версия, что задержанным мог быть итальянский журналист Крис Барлатти. Она основана на предположении представителя другой группы и не подтверждена полицией, прокуратурой или судебными документами. Испанские СМИ подтверждают только возраст и итальянское гражданство мужчины со ссылкой на источники расследования. Официальные органы сохраняют его анонимность.
Официальные документы США дают разные описания отношений между группами.
Совместное предупреждение ФБР, CISA и других ведомств сообщает, что Z-Pentest появился в сентябре 2024 года. Его создали администраторы CARR и NoName057(16), которые продолжили применять похожие методы, но отделились от прямого участия российской военной разведки. В документе Z-Pentest рассматривается как самостоятельная группа, специализирующаяся на проникновении в промышленные системы, взломе с последующей публикацией данных и подмене содержимого сайтов.
Декабрьское заявление Минюста США использует другую конструкцию: CARR там назван группой, «также известной как Z-Pentest». Это фактически объединяет два названия.
Испанская полиция снова перечисляет CARR и Z-Pentest отдельно. Такое расхождение усложняет атрибуцию.
CARR действует как минимум с 2022 года. Группе приписывают распределённые атаки отказа в обслуживании, проникновения в системы промышленного управления и публикацию видео с изменением параметров оборудования. Американские ведомства связывают её с атаками на водоканалы, сельскохозяйственные предприятия и энергетическую инфраструктуру.
Вопросы и ответы
Когда задержали подозреваемого?
В марте 2026 года. Публично об операции объявили 6 июля после окончания основного расследования.
Кто провёл арест?
Национальная полиция Испании. ФБР предоставило исходную информацию и участвовало в расследовании.
Известно ли имя задержанного?
Нет. Власти его не раскрывают. Испанские СМИ называют мужчину 34-летним гражданином Италии.
Доказано ли его членство в Z-Pentest?
Нет. Это версия следствия. Представитель Z-Pentest сообщил, что группе неизвестно, кого именно задержали.
Что ему вменяют?
Возможное участие и сотрудничество с террористической организацией, прославление терроризма и повреждение компьютерных систем. Окончательное обвинение не опубликовано.
Что нашли при обыске?
Компьютеры, устройства хранения криптовалюты и кошелёк, который следователи связывают с продажей похищенной информации.
Как он связан с украинским хакером?
Следствие считает, что подозреваемый помогал организовать его выезд из Украины в Россию через Польшу и Белоруссию.
CARR и Z-Pentest — одна группа?
Источники расходятся. Совместное предупреждение американских ведомств описывает Z-Pentest как отдельную группу, созданную выходцами из CARR и NoName057(16). Минюст США в другом документе называет CARR группой, также известной как Z-Pentest.
Что такое Operation Red Circus?
Операция ФБР против групп, которые американские власти связывают с атаками на критическую инфраструктуру США и союзников.
NoName057(16) известна прежде всего массовыми DDoS-кампаниями. Для них применялся инструмент DDoSia, который распространялся среди добровольцев. Участникам могли начислять криптовалютные вознаграждения в зависимости от количества выполненных заданий.
Z-Pentest делает упор на операционные технологии — OT — и промышленные системы управления. Группа заявляла о доступе к человеко-машинным интерфейсам, через которые операторы управляют насосами, резервуарами и другим оборудованием.
Вместо сложных уязвимостей операторы часто ищут промышленные компьютеры с доступным из интернета VNC — протоколом удалённого управления рабочим столом.
ФБР ведёт операцию Red Circus с целью пресечения атак на американскую критическую инфраструктуру. В декабре 2025 года Минюст США раскрыл обвинения против гражданки Украины Виктории Дубрановой, которую связали с CARR и NoName057(16). Она не признала вину.
В рамках той же кампании США назначили вознаграждение до $2 млн за информацию об участниках CARR и до $10 млн за сведения об операторах NoName057(16).
ФБР назвало выявление и задержание участников подобных групп одной из целей Red Circus. Испанская операция стала продолжением этой линии, хотя отдельного обвинения в США против мужчины из Паленсии пока не опубликовано.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.