Netcrook Logo
👤 BYTESHIELD
🗓️ 16 Dec 2025   🌍 Europe

Au cœur du barrage numérique : comment NoName057(16) orchestre l’implacable assaut DDoS contre l’Europe

Des hacktivistes russes mobilisent des volontaires et des malwares de pointe pour paralyser les organisations liées à l’OTAN dans une cyberguerre à haut risque.

À l’aube du cyberespace, alors que les réseaux gouvernementaux européens s’éveillent, une autre armée se prépare au combat. Derrière des pseudonymes et des messages chiffrés, un collectif pro-russe dans l’ombre - NoName057(16) - a transformé l’infrastructure numérique du continent en champ de bataille, déclenchant une campagne implacable d’attaques par déni de service distribué (DDoS) contre les organisations alliées à l’OTAN. Leur arme de prédilection : le projet DDoSia, un outil piloté par malware qui transforme de simples volontaires en fantassins de la perturbation.

Les enquêteurs ont retracé les origines de NoName057(16) à une initiative secrète de l’État russe, le Centre d’étude et de surveillance en réseau de l’environnement des jeunes (CISM) fournissant, selon les soupçons, à la fois l’infrastructure technique et l’orientation stratégique. Les opérations du groupe sont étroitement alignées sur les intérêts du Kremlin, utilisant des canaux Telegram non seulement pour la coordination mais aussi pour recruter et récompenser une base de « volontaires » en constante expansion.

Le cœur de leur stratégie réside dans DDoSia, une plateforme de malware basée sur Go qui démocratise les cyberattaques. En quelques clics, même les novices peuvent prêter la puissance de leur ordinateur pour inonder des sites ciblés de trafic malveillant. La participation est ludifiée : plus un volontaire contribue, plus il peut gagner de cryptomonnaie - un puissant moteur dans l’underground cybercriminel.

La sophistication technique du système DDoSia est la clé de sa résilience. La chaîne d’attaque commence par une poignée de main chiffrée entre l’appareil du volontaire et un serveur de commande et contrôle (C2). Une fois authentifié, le client reçoit une liste de cibles et de protocoles d’attaque - d’inondations HTTP/2 à l’épuisement par connexions lentes - le tout transmis via une architecture proxy sécurisée et multi-niveaux. Cette structure en couches rend extrêmement difficile la tâche des défenseurs pour remonter, bloquer ou démanteler l’infrastructure, les serveurs proxy étant éphémères et les serveurs principaux bien protégés.

Les analystes rapportent que le rythme de la campagne reflète les horaires de bureau russes, avec jusqu’à 50 attaques par jour. Plus de 40 % des cibles sont des agences gouvernementales, avec une concentration géographique sur l’Ukraine, mais les institutions françaises et italiennes ont également été durement touchées. L’influence du groupe s’est accrue grâce à des alliances comme la Cyber Army of Russia Reborn (CARR) et la coalition Z-Pentest, qui ont élargi la portée des attaques vers les infrastructures critiques occidentales.

Malgré des arrestations très médiatisées lors de l’opération Eastwood en juillet 2025, NoName057(16) ne montre aucun signe de ralentissement. Leurs canaux Telegram continuent de vibrer au rythme des mises à jour opérationnelles et des appels à la mobilisation, illustrant la nature évolutive de la cyberguerre hacktiviste - où idéologie, technologie et incitations économiques fusionnent en une menace puissante et omniprésente.

Alors que les institutions européennes renforcent leurs défenses cyber, la saga de NoName057(16) rappelle crûment qu’à l’ère numérique, les lignes de front du conflit sont partout - et que quiconque possède un ordinateur peut devenir un combattant.

WIKICROOK

  • DDoS (Déni de service distribué) : Une attaque DDoS submerge un service en ligne de trafic provenant de multiples sources, le rendant lent ou indisponible pour les utilisateurs légitimes.
  • Botnet : Un botnet est un réseau d’appareils infectés contrôlés à distance par des cybercriminels, souvent utilisé pour lancer des attaques massives ou voler des données sensibles.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Serveur proxy : Un serveur proxy est un intermédiaire qui achemine le trafic réseau, permettant de masquer l’identité des utilisateurs, contourner des restrictions et gérer l’accès à Internet.
  • Flood HTTP/2 : Le flood HTTP/2 est une attaque DDoS exploitant les fonctionnalités du protocole HTTP/2 pour saturer les serveurs web par des requêtes rapides et simultanées, provoquant des interruptions ou une dégradation du service.
DDoS attacks NoName057(16) cyberwarfare
BYTESHIELD BYTESHIELD
Cloud Security Defender
← Back to news