El grupo hacktivista prorruso NoName057(16) ha llevado a cabo una campaña masiva de denegación de servicio distribuido (DDoS) que ha afectado a más de 3,700 dispositivos únicos en un período de trece meses. Esta información fue revelada en una nueva investigación publicada el 22 de julio de 2025. El grupo, que surgió en marzo de 2022, poco después de la invasión a gran escala de Ucrania por parte de Rusia, ha mantenido un ritmo operativo sin precedentes, lanzando ataques contra un promedio de 50 hosts únicos al día, con un pico de actividad de 91 objetivos en un solo día.
Los hacktivistas han centrado sus ataques principalmente en entidades gubernamentales y del sector público en naciones europeas que se oponen a la invasión rusa de Ucrania. Las organizaciones ucranianas representan la mayor parte de los objetivos, con un 29.47%, seguidas por Francia (6.09%), Italia (5.39%) y Suecia (5.29%). Esta campaña demuestra una clara alineación estratégica con los intereses geopolíticos rusos, funcionando como un activo no oficial de guerra cibernética que enmarca los ataques como una represalia directa por las acciones tomadas por los adversarios de Rusia.
Analistas de Recorded Future identificaron la principal arma del grupo como una herramienta DDoS personalizada llamada "DDoSia", sucesora de una botnet anterior conocida como Bobik. Esta herramienta facilita ataques DDoS de capa de aplicación, saturando los sitios web objetivo con un alto volumen de solicitudes basura. El modelo de operación de DDoSia se basa en voluntarios, que son reclutados a través de canales de Telegram y recompensados con criptomonedas por sus contribuciones a los ataques. Este enfoque descentralizado y basado en la comunidad ha permitido al grupo escalar rápidamente sus operaciones y mantener un flujo constante de ataques.
En cuanto a la infraestructura técnica y el protocolo de comunicación, el malware DDoSia emplea un sofisticado proceso de comunicación de dos pasos. El registro del cliente comienza con una solicitud HTTP POST al punto final /client/login, donde el malware valida la autenticidad utilizando cargas útiles cifradas protegidas con cifrado AES-GCM. La clave de cifrado se genera dinámicamente utilizando una combinación de "User Hash" y "Client ID", lo que crea un mecanismo de autenticación robusto y difícil de eludir.
La infraestructura de múltiples niveles del malware consta de servidores de comando y control (C2) de Nivel 1 que rotan rápidamente, con una vida útil promedio de nueve días. Estos servidores de Nivel 1 tienen permiso exclusivo para establecer conexiones con los servidores de Nivel 2, que están protegidos por listas de control de acceso. Esta arquitectura garantiza la resiliencia operativa y mantiene una funcionalidad C2 confiable, incluso bajo la presión de las fuerzas del orden. Un ejemplo de esta resiliencia se vio durante la Operación Eastwood, entre el 14 y el 17 de julio de 2025, que resultó en arrestos y registros en seis países europeos, pero no logró desmantelar por completo las operaciones del grupo NoName057(16). La capacidad del grupo para adaptarse y persistir a pesar de los esfuerzos de aplicación de la ley subraya la naturaleza desafiante de contrarrestar a estos actores.
Fuente:
https://cybersecuritynews.com/noname05716s-hackers-attacked-3700-unique…