Source: United States Department of Justice (justice.gov), mise à jour du 10 décembre 2025. Contexte: annonce d’inculpations, récompenses et avis conjoint d’agences américaines visant des groupes hacktivistes pro-russes (CARR, NoName) impliqués dans des attaques mondiales contre des infrastructures critiques.

Le DOJ a dévoilé deux inculpations visant la ressortissante ukrainienne Victoria Eduardovna Dubranova (alias « Vika », « Tory », « SovaSonya ») pour son rôle présumé au sein de CyberArmyofRussia_Reborn (CARR) et NoName057(16) (NoName). Extradée plus tôt en 2025, elle a plaidé non coupable dans les deux dossiers. Son procès est prévu le 3 fév. 2026 (NoName) et le 7 avr. 2026 (CARR). Les autorités soulignent la menace des hacktivistes pro-russes soutenus ou sanctionnés par l’État russe.

Côté CARR (alias Z-Pentest), le DOJ décrit une entité fondée, financée et dirigée par le GRU. Le groupe a revendiqué des centaines d’attaques, notamment contre des systèmes d’eau potable américains, causant dommages aux contrôles et déversement de centaines de milliers de gallons d’eau, ainsi qu’un site de transformation de viande à Los Angeles (nov. 2024) avec denrées avariées et fuite d’ammoniac. CARR a également visé l’infrastructure électorale et des sites d’organismes de régulation nucléaire. Un acteur « Cyber_1ce_Killer » (associé à au moins un officier du GRU) aurait orienté les cibles et financé des DDoS-for-hire. CARR comptait parfois >100 membres (dont des mineurs) et >75 000 abonnés sur Telegram. Les chefs d’accusation incluent: complot pour endommager des ordinateurs protégés et altérer des systèmes d’eau, dommages à des ordinateurs protégés, fraude aux dispositifs d’accès et usurpation d’identité aggravée (peine maximale cumulée: 27 ans).

Côté NoName057(16), le DOJ le présente comme un projet d’État administré en partie par le CISM (créé par ordre présidentiel russe en oct. 2018). Le groupe a mené des attaques DDoS mondiales via son outil propriétaire DDoSia, reposant sur une infrastructure réseau mise en place par des employés du CISM. Victimes: agences gouvernementales, institutions financières, infrastructures critiques (dont chemins de fer et ports). Le groupe recrutait des volontaires pour utiliser DDoSia, publiait un classement quotidien sur Telegram et rémunérait en cryptomonnaie les meilleurs participants. Chef d’accusation: complot pour endommager des ordinateurs protégés (peine maximale: 5 ans).

Actions concomitantes: le Département d’État offre des récompenses jusqu’à 2 M$ (CARR) et jusqu’à 10 M$ (NoName). Un avis conjoint FBI/CISA/NSA/DOE/EPA/DC3 évalue que des groupes pro-russes ciblent des connexions VNC exposées et peu sécurisées pour pénétrer des dispositifs OT au sein d’infrastructures critiques, pouvant causer des dommages physiques. Le 19 juil. 2024, l’OFAC a sanctionné deux membres de CARR: Yuliya Vladimirovna Pankratova (cheffe) et Denis Olegovich Degtyarenko (hacker principal). Les dossiers sont menés par le FBI Los Angeles dans le cadre d’Operation Red Circus. Rappel: présomption d’innocence.

TTPs et IOCs clés 🧩

  • TTPs: DDoS (outil DDoSia), DDoS-for-hire, recrutement de volontaires et paiements en cryptomonnaie, revendications/coordination via Telegram, ciblage de VNC exposés, intrusions OT/ICS, altération de systèmes d’eau, fraude aux dispositifs d’accès, usurpation d’identité, direction/financement par le GRU.
  • Identifiants/IOCs (non techniques): Groupes CARR (Z-Pentest), NoName057(16); outil DDoSia; entité CISM; alias Cyber_1ce_Killer; individus Victoria Eduardovna Dubranova, Yuliya V. Pankratova, Denis O. Degtyarenko.

Type: opération de police / annonce judiciaire visant à perturber et poursuivre des menaces cyber soutenues par l’État.

🔗 Source originale : https://www.justice.gov/opa/pr/justice-department-announces-actions-combat-two-russian-state-sponsored-cyber-criminal