Hakerzy zatrzymani w Gruzji byli poszukiwani czerwoną notą Interpolu wydaną w związku ze śledztwem prowadzonym w Łodzi. 36-letni Ukrainiec i 26-letni Rosjanin są podejrzani o udział w międzynarodowej grupie, która miała przetransferować około 350 milionów dolarów pochodzących z cyberprzestępczości.
Hakerzy zatrzymani dzięki śledztwu prowadzonemu w Łodzi
Zatrzymania przeprowadzono 10 czerwca 2026 roku na terenie Gruzji. Jak poinformowała Prokuratura Regionalna w Łodzi, w ręce służb wpadł 36-letni Ukrainiec, podejrzany o kierowanie zorganizowaną grupą przestępczą, oraz 26-letni Rosjanin, który miał należeć do tej organizacji.
Obaj mężczyźni byli poszukiwani czerwoną notą Interpolu. Podstawą międzynarodowych poszukiwań były decyzje podjęte w śledztwie prowadzonym przez Prokuraturę Regionalną w Łodzi oraz Zarząd w Łodzi Centralnego Biura Zwalczania Cyberprzestępczości. Polscy śledczy skierowali już do Gruzji wnioski o ekstradycję podejrzanych.
Ważną rolę w rozpracowaniu grupy odegrali policjanci łódzkiego zarządu CBZC. Jednym z przełomowych momentów było zatrzymanie 15 września 2025 roku w Polsce obywatela Ukrainy powiązanego z działalnością grupy AudiA6. To właśnie policjanci z Łodzi doprowadzili do tego, że hakerzy zatrzymani zostali i został przerwany przestępczy proceder.
Funkcjonariusze zabezpieczyli wtedy urządzenia elektroniczne należące do podejrzanego. Ich szczegółowa analiza pozwoliła łódzkim policjantom ustalić kolejne osoby uczestniczące w procederze prania pieniędzy. Zdobyte dowody wykorzystano następnie do wszczęcia międzynarodowych poszukiwań i przygotowania operacji przeprowadzonej w Gruzji.
Śledztwo nadzoruje Prokuratura Regionalna w Łodzi, a na szczeblu krajowym koordynuje je departament do spraw cyberprzestępczości i informatyzacji Prokuratury Krajowej. Działania polskich służb wspierały Eurojust i Europol, a w operacji uczestniczyli także funkcjonariusze i śledczy między innymi z Gruzji i Stanów Zjednoczonych. Gruzińska prokuratura podała, że w szeroko zakrojone czynności zaangażowano blisko 100 przedstawicieli organów ścigania.
Gang przetransferował około 350 milionów dolarów
Według ustaleń śledczych grupa działała pod nazwą AudiA6 i świadczyła usługi hakerom przeprowadzającym włamania na konta kryptowalutowe oraz ataki ransomware. Jej członkowie pomagali ukrywać pochodzenie skradzionych środków i pieniędzy przekazywanych przez ofiary w zamian za odzyskanie dostępu do zaszyfrowanych danych.
W latach 2022–2025 przez kontrolowaną przez przestępców infrastrukturę miały przejść środki o łącznej wartości około 350 milionów dolarów. Serwis był wykorzystywany do zamiany i transferowania kryptowalut w sposób utrudniający organom ścigania odtworzenie drogi pieniędzy.
Podejrzani mieli otrzymywać skradzione kryptowaluty na kontrolowane przez siebie portfele, a następnie przeprowadzać liczne transakcje pomiędzy rachunkami założonymi na fikcyjne, kupione lub skradzione dane. Po około godzinie klient otrzymywał środki, których pochodzenie zostało ukryte. Za usługę hakerzy, zatrzymani ich współpracownicy i inni członkowie gangu pobierali prowizję wynoszącą od 3 do 10 procent.
Śledczy zidentyfikowali ponad 6 tysięcy dokumentów związanych z weryfikacją kont używanych przez tzw. muły finansowe. Część rachunków była powiązana z rosyjskojęzycznymi pośrednikami werbowanymi do transferowania pieniędzy przez giełdy kryptowalut. Grupa miała również prowadzić forum Dark2Web, na którym reklamowano nielegalne usługi i nawiązywano kontakty pomiędzy cyberprzestępcami z różnych krajów.
Miliony z włamania i okupu za odblokowanie danych
Zarzuty stawiane zatrzymanym obejmują między innymi pranie kryptowalut o wartości przekraczającej 2,4 miliona złotych. Pieniądze te miały zostać skradzione po włamaniu na konto kryptowalutowe jednej z zagranicznych firm.
Podejrzani mieli także uczestniczyć w legalizowaniu 900 tys. dolarów, które cyberprzestępcy otrzymali jako okup za przywrócenie dostępu do danych zablokowanych podczas ataku na system informatyczny polskiego przedsiębiorstwa.
Obydwaj podejrzani są o pranie brudnych pieniędzy, w tym kryptowalut o wartości ponad 2,4 mln zł, skradzionych po włamaniu na konto kryptowalutowe jednej z zagranicznych firm oraz 900 tysięcy dolarów uzyskanych jako okup za odzyskanie dostępu do danych zablokowanych w wyniku ataku hakerskiego na system polskiego podmiotu gospodarczego
informuje prok. Krzysztof Kopania, rzecznik Prokuratury Regionalnej w Łodzi.
Zajęto serwery, kryptowaluty i 143 pojazdy
Międzynarodowa operacja nie ograniczyła się do zatrzymania dwóch podejrzanych. Służby uderzyły także w infrastrukturę informatyczną i majątek grupy.
Zlikwidowano 25 domen internetowych i zajęto ponad 30 serwerów wykorzystywanych w przestępczej działalności. Zamrożono lub przejęto kryptowaluty o łącznej wartości około 778 tysięcy euro. Zabezpieczono również nieruchomości oraz 143 wartościowe pojazdy.
Działania prowadzono na podstawie wniosków o pomoc prawną skierowanych przez stronę polską do Gruzji. W czynnościach uczestniczyli przedstawiciele państw, w których działalność grupy wywołała skutki. Po zakończeniu procedur ekstradycyjnych zatrzymani mają zostać przekazani polskim organom ścigania.
