Du 14 au 17 juillet 2025, l’Europe a mené une riposte sans précédent contre NoName057(16), désorganisant leur cyber‑infrastructure pro‑russe en pleine guerre d’influence numérique.
Entre le 14 et le 17 juillet 2025, l’opération conjointe Eastwood, pilotée par Europol et Eurojust, a mobilisé 12 pays pour frapper le réseau cybercriminel pro‑russe NoName057(16). Plus de 100 serveurs ont été neutralisés, deux arrestations ont été opérées, sept mandats d’arrêt émis, et des centaines de sympathisants ont été alertés. Grâce à l’implication d’organismes comme ENISA, ShadowServer, abuse.ch et d’États tiers, la coordination judiciaire et technique a permis de mettre hors d’usage l’essentiel de l’infrastructure. Ce coup porté aux DDoS idéologiques marque une étape majeure dans la lutte européenne contre la cyber‑guerre. ZATAZ avait été le premier media à vous parler de ces Hacktivistes pas comme les autres.
Un assaut numérique coordonné à l’échelle paneuropéenne
L’opération Eastwood, pilotée du 14 au 17 juillet par Europol et Eurojust, a réuni les efforts des services policiers et judiciaires de Tchéquie, France, Finlande, Allemagne, Italie, Lituanie, Pologne, Espagne, Suède, Suisse, Pays‑Bas et États‑Unis, avec le soutien actif d’ENISA, ainsi que de Belgique, Canada, Estonie, Danemark, Lettonie, Roumanie et Ukraine.
Europol a assuré l’échange d’informations, animé une trentaine de réunions et opération “sprints” pour synchroniser le moment des actions. La mise en place d’un Virtual Command Post a permis un pilotage quasi‑temps réel au sein même de ses locaux Europol. Eurojust, quant à elle, a orchestré les rouages judiciaires, lançant les demandes d’entraide et les European Investigation Orders nécessaires aux interventions du 15 juillet.
Démantèlement en profondeur de l’infrastructure
Les forces internationales ont neutralisé plus de 100 serveurs à travers le monde, mettant hors ligne la majeure partie des serveurs centraux du groupe. En parallèle, 24 perquisitions ont été effectuées : 2 en Tchéquie, 1 en France, 3 en Allemagne, 5 en Italie, 12 en Espagne et 1 en Pologne.
Côté arrestations, deux individus ont été appréhendés (un en France, un en Espagne), tandis que sept mandats d’arrêt internationaux ont été émis ; six étaient à l’encontre de ressortissants russes, dont deux accusés d’en être les instigateurs principaux. Ces derniers sont désormais inscrits sur la liste des fugitifs de l’UE.
A noter que ce ne sont pas les premières arrestations concernant NoName057(16). ZATAZ vous expliquait, il y a quasiment 1 an, jour pour jour, l’arrestation de trois espagnoles, membres proches des Hacktivistes prorusses.
Neutralisation de la base idéologique et juridique
Les autorités ont contacté plus de 1 000 sympathisants, dont 15 administrateurs, via Telegram, les avertissant de leur responsabilité pénale au regard des législations nationales. Une action de communication et d’éducation auprès de certains participants, certains trés jeunes.
NoName057(16) est composé majoritairement de volontaires russophones utilisant des outils simples de génération de trafic DDoS, sans structures hiérarchiques formelles ni compétences techniques avancées, poussés par une idéologie pro‑russe et la promesse de récompenses en cryptomonnaie comme l’a révélé ZATAZ.
C’est avec la guerre en Ukraine comme toile de fond que NoName057(16) a monté en gamme. En 2024, il devient un acteur central du cyberespace pro‑Kremlin. Sa spécialité : les attaques DDoS éclairs contre les sites d’intérêt public et privé. Leur arme principale, DDOSIA, combine automatisation et « gamification ». Le système permettait à des cyber activistes amateurs d’être récompensés pour leur participation, via un classement et des paiements en cryptomonnaies.
Leurs cibles ?
-
Banques, hôpitaux, ministères.
-
Événements hautement visibles (sommet de l’OTAN, Eurovision, interventions de Zelensky).
-
Sites symboliques, comme les Assemblées nationales, souvent choisis pour leur valeur politique.
La sophistication des campagnes, l’intensité des attaques et leur volume ont fini par alerter les grands acteurs institutionnels. Mais entre‑temps, Zataz continuait d’informer en amont, décrivant les évolutions du collectif et mettant en lumière ses nouvelles cibles.
Une guerre numérique à visage humain
Le groupe a recruté via des canaux pro‑russe, forums, et groupes Telegram, utilisant le logiciel maison DDoSia pour simplifier l’engagement des volontaires. Afin de renforcer la motivation, le réseau a utilisé une stratégie de gamification : tableaux de classements, badges, shout‑outs publics, instillant un sentiment d’appartenance et d’accomplissement, notamment chez les plus jeunes. ZATAZ vous racontait aussi comme la diffusion de stickers numériques et de photos permettaient au groupe de « communiquer ».
Parmi les photos, le nom de NoName057(16) sur des autocollants devant le parlement européen (une base de l’OTAN avait été tagguée par un autre collectif disparu lui aussi, Killnet), sans parler de certains obus russes signés par des soldats locaux NoName057(16). Cette manipulation émotionnelle s’appuyait sur une narration du soutien à « la défense de la Russie » ou la vengeance symbolique face à « la politique anti russe occidentale ». NoName057(16) s’était fait connaitre aussi via des « partenariats » avec des groupes pirates (souvent créés pour l’occasion) pour commercialiser en parallèle des méthodes de DDoS.
Une cyber‑agression ciblée contre les alliés de Kiev
Né en mars 2022, NoName057(16) a commencé par cibler les institutions ukrainiennes avant de se tourner vers les pays de l’OTAN soutenant Kiev. Bien avant les grandes agences, c’est Zataz qui détectait les premiers signaux faibles du groupe NoName057(16). En 2022 déjà, le site alertait sur les attaques DDoS ciblant des collectivités françaises. Ce collectif proposait déjà à l’époque « DDOSIA », un outil et des forums sur Telegram dédiés aux cibles DDoS.
Parmi les victimes notables :
-
Suède : autorités nationales et sites bancaires (2023–2024).
-
Allemagne : 14 vagues d’attaques touchant plus de 250 entités depuis novembre 2023.
-
Suisse : DDoS lors du discours de Zelensky au Parlement (juin 2023) et du Peace Summit for Ukraine à Bürgenstock (juin 2024).
-
Pays‑Bas : attaque confirmée pendant le dernier sommet de l’OTAN.
- France : plus d’une centaine de DDoS dont ceux ayant visé Assemblee-nationale.fr et senat.fr
En Espagne, ce sont plus de 500 campagnes cumulées, ciblant ministères, INE, Renfe, Casa Real, souvent atténuées sans interruption notable. Je vous expliquait d’ailleurs à l’époque que ces attaques avaient été lancées aprés l’arrestation de trois espagnoles, proches du groupe de pirates prorusses.
Résultats chiffrés et impact stratégique
Les principaux chiffres de l’opération Eastwood :
-
2 arrestations (France, Espagne)
-
7 mandats d’arrêt (6 émis par l’Allemagne, 1 par l’Espagne)
-
24 perquisitions dans 6 pays
-
13 personnes interrogées (2 Allemagne, 1 France, 4 Italie, 1 Pologne, 5 Espagne)
-
>1 000 sympathisants notifiés dont 15 administrateurs
-
>100 serveurs disruptés
-
Infrastructure principale de NoName57(16) mise hors ligne. [A noter que les Telegram du groupe sont HS depuis plusieurs semaines]
Si l’opération a indéniablement porté un coup sévère à la capacité opérationnelle du réseau, Europol met en garde : les cyber‑activistes idéologiques comme NoName057(16) restent résilients, capables de se réorganiser ou d’émerger à nouveau.
L’opération Eastwood représente un tournant majeur dans la cyber‑guerre européenne, démontrant qu’une riposte « rapide », coordonnée, et multisectorielle peut faire plier une force numérique idéologique. Cependant, alors que les conflits géopolitiques migrent de plus en plus vers le cyberespace, la capacité de l’Europe à anticiper, détecter et neutraliser ce type de menaces reste cruciale. Eastwood ouvre une voie pour renforcer la cyber‑défense collective, mais la vigilance reste la seule garantie d’une sécurité durable.
