L’Insikt Group a publié une analyse détaillée des activités du groupe hacktiviste pro-russe NoName057(16), qui a ciblé plus de 3 700 hôtes uniques en Europe entre juillet 2024 et juillet 2025. Ce groupe, apparu en mars 2022 après l’invasion de l’Ukraine par la Russie, utilise une plateforme nommée DDoSia pour mener des attaques par déni de service distribué (DDoS).
Les cibles principales de NoName057(16) sont des entités gouvernementales et publiques dans des pays européens opposés à l’invasion russe, avec une concentration géographique notable en Ukraine, France, Italie, et Suède. Le groupe maintient un rythme opérationnel élevé, avec une moyenne de 50 cibles uniques par jour.
L’infrastructure de NoName057(16) est multi-niveaux, avec des serveurs de commande et de contrôle (C2) de Tier 1 qui se renouvellent rapidement, et des serveurs de Tier 2 protégés par des listes de contrôle d’accès (ACL). Les attaques sont souvent synchronisées avec les développements géopolitiques et militaires en Ukraine.
Le DDoSia Project repose sur une application facile à utiliser, permettant à des volontaires, recrutés via Telegram, de participer aux attaques en échange de récompenses en cryptomonnaie. Le groupe justifie ses attaques comme des représailles aux actions des adversaires de la Russie.
Cet article est une analyse de menace qui met en lumière le rôle de NoName057(16) en tant qu’acteur cybernétique aligné sur les intérêts stratégiques russes, soulignant l’importance pour les organisations de se préparer à de telles menaces persistantes.
🧠 TTPs et IOCs détectés
TTP
T1498 - Network Denial of Service, T1583.005 - Acquire Infrastructure: Botnets, T1071.001 - Application Layer Protocol: Web Protocols, T1065 - Unsecured Credentials: Telegram, T1585.001 - Establish Accounts: Social Media Accounts
🔗 Source originale : https://www.recordedfuture.com/research/anatomy-of-ddosia