NoName057(16)

🌐 Contexte Publié le 6 mai 2026 sur Margin Research par Justin Sherman, cet article analyse les connexions cyber entre secteurs privés russe et iranien, en réponse à des rapports récents (Reuters, Flashpoint) sur une supposée coopération cyber russo-iranienne dans le cadre des conflits en cours. 🔗 Acteurs et groupes mentionnés NoName057(16) : groupe hacktiviste russe ciblant des entités NATO et européennes depuis mars 2022, ayant revendiqué des attaques DDoS contre des partis politiques israéliens et un contractant de défense en mars 2026. Cyber Islamic Resistance : groupe parapluie pro-iranien coordonnant plusieurs groupes hacktivistes, décrit comme ayant collaboré avec NoName057(16). Positive Technologies : entreprise russe de cybersécurité, contractant de la FSB, impliquée dans le recrutement de hackers pour la FSB et le GRU, ayant des équipes locales en Iran en 2024 et approuvée par le gouvernement iranien pour fournir des services de détection et réponse aux menaces. Protei (Protei Ltd.) : entreprise russe de télécommunications fournissant à l’opérateur iranien Ariantel des capacités d’authentification, d’inspection profonde des paquets (DPI), d’interception légale et de surveillance des communications mobiles. Ravin Academy : entreprise iranienne de cybersécurité sanctionnée par les États-Unis en 2022, fondée par deux membres du MOIS (Ministry of Intelligence and Security), ayant participé à la conférence Positive Hack Days en 2024. 🏛️ Partenariats institutionnels clés Juillet 2023 : Le ministère russe du Développement numérique annonce des discussions avec l’Iran sur l’export de logiciels russes, impliquant Rostelecom, Rostelecom-Solar, Positive Technologies, Speech Technology Center, Protey Scientific and Technical Center. Avril 2025 : L’université russe MPEI accueille une délégation de l’Autorité nationale iranienne de cybersécurité avec des représentants de Positive Technologies, discutant de cybersécurité énergétique et d’IA de confiance. Juillet 2024 : Le gouvernement iranien approuve Positive Technologies (avec Acron et Sangfour) pour des services de détection et réponse aux menaces sous supervision du Centre de gestion stratégique présidentiel. 2024 : ANO Digital Economy (Moscou) accueille une délégation iranienne incluant la Chambre de commerce de Téhéran et le Forum des organisations iraniennes basées sur la connaissance. 🎯 Capacités transférées Interception légale des télécommunications mobiles (DPI, signalisation réseau mobile) via Protei à Ariantel/Iran Détection et réponse aux menaces managées via Positive Technologies en Iran Cybersécurité des infrastructures IT/OT et énergétiques via Positive Technologies Formation, recrutement et entraînement de hackers via Ravin Academy (MOIS) 📌 Type d’article Il s’agit d’une analyse de menace basée sur des sources ouvertes (OSINT), visant à documenter et structurer les connexions entre secteurs privés cyber russe et iranien, notamment leurs liens avec les services de renseignement respectifs (FSB, GRU, SVR, IRGC, MOIS). ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...

🗓️ Contexte Source : The Record Media, publié le 15 avril 2026. L’information est rapportée lors d’une conférence de presse à Stockholm par Carl-Oskar Bohlin, ministre suédois de la défense civile, en référence à un incident survenu au printemps 2025. 🎯 Incident Un groupe de hackers suspecté d’être pro-russe a tenté de perturber les opérations d’une centrale thermique située dans l’ouest de la Suède. La tentative d’intrusion a échoué grâce aux protections de sécurité intégrées de l’installation. Le nom de la centrale n’a pas été divulgué. ...

📋 Contexte : Rapport semestriel publié le 30 mars 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse, couvrant la période juillet–décembre 2025. Premier rapport intégrant à la fois les déclarations volontaires et les 145 déclarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques. 📊 Statistiques clés : 29 006 déclarations volontaires reçues au S2 2025 52 % des annonces concernent la fraude 57 incidents ransomware signalés directement (79 au total toutes sources confondues) 73 cas de Business Email Compromise (BEC) au S2 2025 Secteurs les plus touchés par les déclarations obligatoires : secteur public (25 %), IT/télécoms (18 %), finance/assurances (15,7 %) 🦠 Ransomware – menace dominante : ...

🌐 Contexte Article de presse généraliste publié le 28 mars 2026 par RTS, basé sur une enquête de l’émission Temps Présent. Il documente une accumulation de menaces hybrides visant la Suisse, selon les déclarations du Service de renseignement de la Confédération (SRC) et d’autorités cantonales. 🕵️ Espionnage physique en Argovie La police cantonale argovienne a intercepté des agents étrangers sur sol suisse. Sur une douzaine d’incidents recensés ces deux dernières années, huit sont qualifiés d’activités de renseignement, attribuées principalement à des services russes ou chinois. Les cibles d’intérêt incluent : ...

Selon franceinfo (Radio France), le parquet de Paris confirme que le groupe de hackers prorusse Noname057(16) a revendiqué la cyberattaque contre La Poste, en cours depuis lundi 22 décembre. À la suite de cette revendication, les gendarmes de l’Unité nationale cyber (UNC) et la DGSI ont été saisis de l’enquête, ouverte pour des faits d’entrave au fonctionnement d’un système de traitement automatisé de données. 🚨 Impact et perturbations: Accès aux comptes bancaires perturbé. Suivi des colis indisponible 📦. Mardi, certains services en ligne fonctionnent à nouveau, mais la situation demeure instable. Contexte sur l’acteur: Le groupe Noname057(16) a déjà été impliqué en France dans des attaques par déni de service (DDoS) contre des sites officiels (ministère de la Justice, préfectures, villes). En juillet, le parquet de Paris avait annoncé le démantèlement du service central de ce collectif, impliqué dans près de 2 200 attaques en France depuis 2023. ...

Source : Censys (blog, 15 déc. 2025). Le billet de Silas Cutler enquête sur l’infrastructure derrière les attaques de DDoSia, outil DDoS participatif opéré par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025. • Contexte et mode opératoire DDoSia, lancé en mars 2022 sur Telegram, est un outil de déni de service distribué s’appuyant sur des volontaires (ordinateurs personnels, serveurs loués, hôtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionné), avec des versions historiques Python. Des liens OSINT suggèrent un prédécesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des récompenses financières et une propagande pro‑Russie sur Telegram. ...

Source: United States Department of Justice (justice.gov), mise à jour du 10 décembre 2025. Contexte: annonce d’inculpations, récompenses et avis conjoint d’agences américaines visant des groupes hacktivistes pro-russes (CARR, NoName) impliqués dans des attaques mondiales contre des infrastructures critiques. Le DOJ a dévoilé deux inculpations visant la ressortissante ukrainienne Victoria Eduardovna Dubranova (alias « Vika », « Tory », « SovaSonya ») pour son rôle présumé au sein de CyberArmyofRussia_Reborn (CARR) et NoName057(16) (NoName). Extradée plus tôt en 2025, elle a plaidé non coupable dans les deux dossiers. Son procès est prévu le 3 fév. 2026 (NoName) et le 7 avr. 2026 (CARR). Les autorités soulignent la menace des hacktivistes pro-russes soutenus ou sanctionnés par l’État russe. ...

Selon Imperva (blog), une analyse de l’efficacité de l’Opération Eastwood contre le groupe hacktiviste pro-russe NoName057(16) montre une perturbation temporaire suivie d’une reprise accélérée des activités. • Impact global: l’opération internationale a saisi plus de 100 serveurs et arrêté des membres clés, imposant une courte pause opérationnelle. Toutefois, le groupe a repris avec une augmentation de 80% du volume d’attaques, la formation de nouvelles alliances et l’extension des cibles aux pays impliqués dans le démantèlement. Le bilan met en évidence la valeur mais aussi les limites des actions de perturbation coordonnées. ...

L’article publié sur europol.europa.eu relate une opération internationale menée entre le 14 et le 17 juillet, coordonnée par Europol et Eurojust, visant le réseau cybercriminel NoName057(16). Cette opération, appelée Eastwood, a impliqué des autorités judiciaires et de police de plusieurs pays, notamment la République tchèque, la France, la Finlande, l’Allemagne, l’Italie, la Lituanie, la Pologne, l’Espagne, la Suède, la Suisse, les Pays-Bas et les États-Unis. Elle a conduit à la perturbation d’une infrastructure d’attaque composée de plus de cent systèmes informatiques à travers le monde et à la mise hors ligne d’une grande partie de l’infrastructure centrale du groupe. ...