Source et contexte — Radware. Dans un rapport couvrant la période du 28 février au 2 mars 2026, Radware relie une vague coordonnée d’attaques DDoS hacktivistes à l’offensive militaire « Operation Epic Fury » (États‑Unis/Israël, dite « Roaring Lion » en Israël). Les collectifs pro‑iraniens et alliés se sont mobilisés en moins de neuf heures, déclenchant une campagne de perturbation numérique à grande échelle.

Points clés et volumétrie. Entre le 28 février et le 2 mars, neuf groupes ont revendiqué 107 attaques contre 81 organisations dans huit pays du Moyen‑Orient. Le paysage est très concentré : Keymous+ (35,5%) et DieNet (32,7%) totalisent près de 70% des revendications, suivis par Conquerors Electronic Army (11,2%), 313 Team (6,5%), NoName057(16) (6,5%) et Nation of Saviors (3,7%). À l’échelle mondiale sur la même fenêtre (149 revendications, 110 organisations, 16 pays, 12 groupes), Keymous+ (26,8%), DieNet (25,5%) et NoName057(16) (22,2%) cumulent 74,6% des revendications.

Ciblage sectoriel et géographique. Les institutions gouvernementales concentrent 53% des attaques au Moyen‑Orient, devant la finance (13,7%) et les télécoms (8,8%). La pression est surtout exercée sur le Koweït (28%), Israël (27,1%) et la Jordanie (21,5%), puis sur les EAU (7,5%), Bahreïn (6,5%), Qatar (4,7%), Arabie saoudite (3,7%) et Oman (1%). En Europe (34 revendications, 23 organisations, 5 pays), NoName057(16) domine (73,53%), suivi de ServerKillers (17,65%) ; le Danemark (55,9%) est le plus visé, devant l’Allemagne et l’Espagne (17,65% chacun). Globalement, le Moyen‑Orient (71,8%) et l’Europe (22,8%) absorbent l’essentiel de l’activité.

Chronologie saillante (28 fév. – 2 mars). Le 28 fév., Hider Nex (a.k.a. Tunisian Maskers Cyber Force) ouvre les hostilités en ciblant Bezeq (télécom en Israël). DieNet frappe ensuite un site gouvernemental du Qatar, puis étend à des cibles à Bahreïn et aux EAU. Nation of Saviors (NOS) revendique un DDoS contre Alon Group (Israël). Keymous+ lance une série d’attaques en Israël (télécoms et technologies : Bezeq, Partner Communications, ITC, NCT, Advantech Wireless, Adagio Software). Le 1er mars, Conquerors Electronic Army (CEA) vise le retail et la finance en Israël (dont Terminal X et une plateforme d’agents IA pour gérants d’investissement). Sylhet Gang cible le ministère de l’Intérieur saoudien (HCM et systèmes de gestion interne) et affiche son soutien à l’Iran. Le 2 mars, NoName057(16) rejoint la campagne pro‑palestinienne, visant des cibles gouvernementales, télécoms et business en Israël.

Méthodologie et validation. Radware analyse exclusivement les revendications DDoS publiées sur Telegram, croisées avec Check-Host.net (vérification de la ressource ciblée, unicité et horodatage). Les échecs de rapport Check-Host ne sont pas interprétés comme mesure d’impact, les revendications étant traitées comme des indicateurs d’intention stratégique plutôt que des métriques de réussite.

IOCs et TTPs

  • IOCs : Aucun indicateur technique (IP, domaines, échantillons) n’est fourni.
  • TTPs :
    • Campagnes coordonnées de DDoS à visée de perturbation de services publics et financiers.
    • Communication et revendications sur Telegram ; vérification via Check-Host.net.
    • Ciblage prioritaire des gouvernements, banques et télécoms pour visibilité et impact civil.
    • Convergence d’alliances (pro‑iraniennes/pro‑palestiniennes) et pivot pro‑russe (entrée de NoName057(16)).

Le rapport se conclut par des recommandations de mitigation DDoS et de durcissement proactif des infrastructures dans un contexte où l’attaque est présentée comme inévitable. Il s’agit d’une analyse de menace visant à documenter la montée en puissance des campagnes DDoS hacktivistes liées à l’escalade régionale.

🧠 TTPs et IOCs détectés

TTP

Campagnes coordonnées de DDoS à visée de perturbation de services publics et financiers; Communication et revendications sur Telegram; vérification via Check-Host.net; Ciblage prioritaire des gouvernements, banques et télécoms pour visibilité et impact civil; Convergence d’alliances (pro-iraniennes/pro-palestiniennes) et pivot pro-russe (entrée de NoName057(16))

IOC

Aucun indicateur technique (IP, domaines, échantillons) n’est fourni.

🔗 Source originale : https://www.radware.com/security/threat-advisories-and-attack-reports/ddos-activity-following-operation-epic-fury-roaring-lion