DDoS

Selon franceinfo (Radio France), le parquet de Paris confirme que le groupe de hackers prorusse Noname057(16) a revendiqué la cyberattaque contre La Poste, en cours depuis lundi 22 décembre. À la suite de cette revendication, les gendarmes de l’Unité nationale cyber (UNC) et la DGSI ont été saisis de l’enquête, ouverte pour des faits d’entrave au fonctionnement d’un système de traitement automatisé de données. 🚨 Impact et perturbations: Accès aux comptes bancaires perturbé. Suivi des colis indisponible 📦. Mardi, certains services en ligne fonctionnent à nouveau, mais la situation demeure instable. Contexte sur l’acteur: Le groupe Noname057(16) a déjà été impliqué en France dans des attaques par déni de service (DDoS) contre des sites officiels (ministère de la Justice, préfectures, villes). En juillet, le parquet de Paris avait annoncé le démantèlement du service central de ce collectif, impliqué dans près de 2 200 attaques en France depuis 2023. ...

Source: NETSCOUT (netscout.com), billet de blog par John Kristoff et Max Resing, publié le 17 décembre 2025. Le rapport examine la pression exercée par les attaques DDoS sur les serveurs racine DNS et met en lumière la robustesse de ce sous-système critique d’Internet. Principaux constats 🧭 Haute résilience et disponibilité du système des racines DNS. Anycast BGP comme mécanisme clé de résilience et d’isolement des attaques. Trafic de flood et de nuisance quotidien significatif. Forte hétérogénéité du trafic entre instances (A à M) selon la topologie et la distribution des instances. Analyse des événements 📈 NETSCOUT, via la plateforme de visibilité ATLAS, recense 38 événements DDoS visant des serveurs racine. Le pic volumétrique observé atteint 21 Gb/s contre le serveur A-root le 17 août 2025. Les instances A et M subissent une plus grande variété de vecteurs d’attaque, alors que D et H–L sont principalement associées à des observations « total traffic » et ICMP (souvent des sondes ou effets sympathiques d’attaques). Le jeu de données n’observe aucune attaque sur g.root-servers.net. Les différences de charge par instance s’expliquent par la sélection des résolveurs, la connectivité topologique, la stratégie anycast et la distribution géographique des instances (avec la spéculation que « A » puisse être ciblé par effet d’ordre alphabétique). ...

Selon Xlab (rapport technique publié le 19 décembre 2025), un nouvel échantillon de botnet Android nommé « Kimwolf » a été reçu le 24 octobre 2025, autour d’un C2 au domaine 14emeliaterracewestroxburyma02132[.]su qui a atteint la 1re place du classement de popularité Cloudflare, signe d’une activité massive. Kimwolf cible principalement des boîtiers TV Android, intègre des fonctions de DDoS, proxy, reverse shell et gestion de fichiers, et met en œuvre des techniques d’évasion (chiffrement simple par XOR, DNS-over-TLS, authentification ECDSA côté C2, et migration vers ENS pour la résilience du C2). ...

Source : Censys (blog, 15 déc. 2025). Le billet de Silas Cutler enquête sur l’infrastructure derrière les attaques de DDoSia, outil DDoS participatif opéré par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025. • Contexte et mode opératoire DDoSia, lancé en mars 2022 sur Telegram, est un outil de déni de service distribué s’appuyant sur des volontaires (ordinateurs personnels, serveurs loués, hôtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionné), avec des versions historiques Python. Des liens OSINT suggèrent un prédécesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des récompenses financières et une propagande pro‑Russie sur Telegram. ...

Source: United States Department of Justice (justice.gov), mise à jour du 10 décembre 2025. Contexte: annonce d’inculpations, récompenses et avis conjoint d’agences américaines visant des groupes hacktivistes pro-russes (CARR, NoName) impliqués dans des attaques mondiales contre des infrastructures critiques. Le DOJ a dévoilé deux inculpations visant la ressortissante ukrainienne Victoria Eduardovna Dubranova (alias « Vika », « Tory », « SovaSonya ») pour son rôle présumé au sein de CyberArmyofRussia_Reborn (CARR) et NoName057(16) (NoName). Extradée plus tôt en 2025, elle a plaidé non coupable dans les deux dossiers. Son procès est prévu le 3 fév. 2026 (NoName) et le 7 avr. 2026 (CARR). Les autorités soulignent la menace des hacktivistes pro-russes soutenus ou sanctionnés par l’État russe. ...

Source et contexte: Cloudflare publie la 23e édition de son rapport trimestriel consacré aux menaces DDoS, focalisée sur le T3 2025 et fondée sur les données issues de son réseau mondial. 📈 Chiffres clés 8,3 millions d’attaques DDoS automatiquement détectées et atténuées au T3 2025 (+15 % vs T2, +40 % vs N-1), soit en moyenne 3 780 attaques/heure. 36,2 millions d’attaques atténuées depuis le début de 2025 (soit 170 % du total de 2024, avec un trimestre restant). 71 % des attaques sur la couche réseau (5,9 M; +87 % QoQ, +95 % YoY) vs 29 % sur la couche HTTP (2,4 M; -41 % QoQ, -17 % YoY). 🚨 Aisuru: botnet hyper‑volumétrique record ...

Source: Center for Security Studies (CSS), ETH Zürich — Ce rapport (novembre 2025) cartographie et analyse les opérations cyber visant le secteur spatial dans le contexte de la guerre de Gaza (et recoupements avec Ukraine et Israël–Iran), en s’appuyant sur un jeu de données de 237 événements. Principaux constats: 237 opérations identifiées; 71% de DDoS; aucune compromission confirmée de satellites en orbite (impacts concentrés sur les segments utilisateur, contrôle et interfaces web). Au total 77 entités spatiales ciblées et 73 groupes impliqués, majoritairement des hacktivistes pro‑palestiniens; pic d’activité de 72 opérations durant la guerre Israël–Iran (juin 2025); effet limité sur le champ de bataille cinétique. ...

Source: FortiGuard Labs (blog Fortinet). Lors d’une perturbation mondiale d’AWS fin octobre, les capteurs Fortinet ont observé la propagation de « ShadowV2 », une variante de Mirai ciblant des appareils IoT via plusieurs vulnérabilités, avec une activité probablement testée en vue d’attaques ultérieures. Le botnet avait déjà été signalé en septembre pour des campagnes visant des instances AWS EC2. Portée et impact : niveau de sévérité élevé avec possibilité pour un attaquant distant de prendre le contrôle des systèmes vulnérables. Sont listées comme plateformes affectées notamment : DD‑WRT 24 sp1, plusieurs D‑Link ShareCenter/GO‑RT‑AC750 (DNS‑320/320LW/325/340L), Digiever DS‑2105 Pro 3.1.0.71-11, TBK DVR‑4104/4216, et la série TP‑Link Archer. Les tentatives d’exploitation ont touché des organisations de sept secteurs (technologie, retail/hôtellerie, manufacturing, MSSP, gouvernement, télécoms/opérateurs, éducation) et de nombreux pays sur tous les continents 🌍. Utilisateurs impactés: toute organisation. ...

Selon techcommunity.microsoft.com (billet Microsoft signé par Sean_Whalen, 17 nov. 2025), Azure DDoS Protection a détecté et atténué automatiquement, le 24 octobre 2025, une attaque DDoS multi‑vecteurs d’ampleur inédite dans le cloud, visant un seul endpoint en Australie. 🚨 Caractéristiques clés de l’attaque: Taille/volumétrie: 15.72 Tbps et près de 3.64 milliards de pps. Vecteur principal: UDP floods à très haut débit contre une adresse IP publique spécifique. Amplitude: >500 000 adresses IP sources réparties sur plusieurs régions. TTPs: faible usurpation (spoofing) de source, ports source aléatoires, facilitant le traceback et l’application de mesures par les fournisseurs. 🧠 Origine de la menace: ...

Source: National Cyber Security Centre (NCSC, Suisse) — Semi-Annual Report 2025/I (janvier–juin 2025). Le NCSC constate un volume d’incidents stabilisé à un niveau élevé (35 727 signalements, dont 58 % de fraude) et une situation globale relativement stable malgré l’innovation des attaquants. Les thèmes majeurs restent phishing, malware/ransomware, vulnérabilités, fraude et ingénierie sociale, DDoS hacktiviste, fuites/exfiltration et cyberespionnage. Depuis le 1er avril 2025, le signalement obligatoire pour les infrastructures critiques est en vigueur. ...