Source : Censys (blog, 15 déc. 2025). Le billet de Silas Cutler enquête sur l’infrastructure derrière les attaques de DDoSia, outil DDoS participatif opéré par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025.

• Contexte et mode opératoire DDoSia, lancé en mars 2022 sur Telegram, est un outil de déni de service distribué s’appuyant sur des volontaires (ordinateurs personnels, serveurs loués, hôtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionné), avec des versions historiques Python. Des liens OSINT suggèrent un prédécesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des récompenses financières et une propagande pro‑Russie sur Telegram.

• Portée et ciblage Les attaques visent fortement l’Ukraine, des alliés européens et des États de l’OTAN, notamment dans les secteurs gouvernement, militaire, transport, services publics, finance et tourisme.

• Infrastructure observée (Censys, mi‑2025 → nov. 2025) Censys observe en moyenne ~6 serveurs de contrôle actifs, à la durée de vie courte (moyenne 2,53 jours ; plus de la moitié <24 h ; ~10 % actifs 10–15 jours). L’hébergement est principalement sur des VPS (notamment Azea, sanctionné par l’US Treasury en 2025, et AS56971/HostVDS). L’exposition réseau minimale comprend surtout 22/TCP (SSH) et 80/TCP (HTTP check‑ins). DDoSia opérerait une infrastructure C2 multi‑couches: des nœuds de « Tier 1 » fournis via bots Telegram aux attaquants, une couche intermédiaire éphémère servant de proxy, et un noyau de gestion/comptabilité (bases de données, métriques, files de service), observation étayée par des travaux antérieurs (Gen, Team Cymru) et un visuel de panneau web suspecté.

• Perturbation par les forces de l’ordre (opération Eastwood, juil. 2025) Europol/Eurojust annoncent : 2 arrestations, 7 mandats, 24 perquisitions, 13 auditions, >1000 supporters notifiés de leur responsabilité légale et >100 serveurs perturbés. DDoSia se rétablit en quelques jours, mais la communication opérateurs‑volontaires est fortement interrompue : le canal Telegram passe d’~45k abonnés avant l’action à ~14k en déc. 2025. Censys estime à faible confiance que le parc de bots actifs est <10k, en s’appuyant sur le volume de supporters notifiés.

• IOCs et TTPs IOCs (hashs clients DDoSia fournis, déc. 2025) :

  • 8ba11c9e3d3f38a2473620579f61119be9ada9bc0e4dc37fc045017f56248473 — d_freebsd_arm
  • 0e19deac3d64a33495d237ed4cdb3581813b88b6ed2afe84b8c2908201feaf91 — d_freebsd_x32
  • 95375dac86bf8daf101cb8120d78f0340e6b1cdbea16b859d96d7aef946be983 — d_freebsd_x64
  • e3f229dc71ce65c1f2de05e2cfbd7ae848d330661d9b9b3fa00d594bf84f4d93 — d_lin_arm
  • 48e9d5b0f8a2d56d31b4e845597789a81e3733c03751139a22f55ceebd15b75a — d_lin_arm_wr
  • 307e3ea1cb140f375443ef3c9b62028dd5c6449c1bf242b83d6db5d730bd2121 — d_lin_x32
  • 2aaf3c08da86d5d0f6f9c00d4011991fd2cd50fa0777d51d5552b98365b15774 — d_lin_x64
  • 7ee3574b0693e78060d863a5794437960aec0614af6c1909dd075daec0bcaf92 — d_mac_arm64
  • 87cd40fbf9f363c212a8402cc8350f624fd6760799c013a0cdd301707a5bd083 — d_mac_x64
  • 0eae66824c65efe6b69937bf8427b7f28df591f2788b8088fbe9a05e8c26e077 — d_win_arm64.exe
  • b81734717f36d3cea59e5690b984333c5a6908a15883a0463d77cb20dadcec0c — d_win_x32.exe
  • 532edcad0f1637b4cb6fe2638c84c9cee2a52786b89f8d155c910bf60f43da9c — d_win_x64.exe Autres indicateurs contextuels : hébergeurs/AS observés (Azea ; AS56971/HostVDS) ; services exposés 22/TCP et 80/TCP. TTPs : DDoS participatif via volontaires ; distribution via Telegram (bots/canaux) ; binaires Golang multi‑OS ; C2 multi‑couches (Tier 1 + proxies éphémères + backend de gestion) ; VPS dédiés ; renouvellement fréquent des serveurs C2 ; incitation financière/idéologique ; ciblage centralisé sans choix des volontaires. Il s’agit d’une analyse de menace visant à documenter l’infrastructure et les modes opératoires de DDoSia.

🧠 TTPs et IOCs détectés

TTP

[‘DDoS participatif via volontaires’, ‘Distribution via Telegram (bots/canaux)’, ‘Binaires Golang multi-OS’, ‘C2 multi-couches (Tier 1 + proxies éphémères + backend de gestion)’, ‘VPS dédiés’, ‘Renouvellement fréquent des serveurs C2’, ‘Incitation financière/idéologique’, ‘Ciblage centralisé sans choix des volontaires’]

IOC

{‘hashes’: [‘8ba11c9e3d3f38a2473620579f61119be9ada9bc0e4dc37fc045017f56248473’, ‘0e19deac3d64a33495d237ed4cdb3581813b88b6ed2afe84b8c2908201feaf91’, ‘95375dac86bf8daf101cb8120d78f0340e6b1cdbea16b859d96d7aef946be983’, ’e3f229dc71ce65c1f2de05e2cfbd7ae848d330661d9b9b3fa00d594bf84f4d93’, ‘48e9d5b0f8a2d56d31b4e845597789a81e3733c03751139a22f55ceebd15b75a’, ‘307e3ea1cb140f375443ef3c9b62028dd5c6449c1bf242b83d6db5d730bd2121’, ‘2aaf3c08da86d5d0f6f9c00d4011991fd2cd50fa0777d51d5552b98365b15774’, ‘7ee3574b0693e78060d863a5794437960aec0614af6c1909dd075daec0bcaf92’, ‘87cd40fbf9f363c212a8402cc8350f624fd6760799c013a0cdd301707a5bd083’, ‘0eae66824c65efe6b69937bf8427b7f28df591f2788b8088fbe9a05e8c26e077’, ‘b81734717f36d3cea59e5690b984333c5a6908a15883a0463d77cb20dadcec0c’, ‘532edcad0f1637b4cb6fe2638c84c9cee2a52786b89f8d155c910bf60f43da9c’], ‘domains’: [], ‘ips’: []}

🔗 Source originale : https://censys.com/blog/ddosia-infrastructure