El grupo hacktivista pro-ruso Noname057 (16) ha orquestado una campaña de denegación de servicio distribuida masiva que se dirige a más de 3.700 anfitriones únicos durante trece meses, según una nueva investigación publicada el 22 de julio de 2025.
El grupo, que surgió en marzo de 2022 poco después de la invasión a gran escala de Rusia de Ucrania, ha mantenido un tempo operativo sin precedentes al lanzar ataques contra un promedio de 50 anfitriones únicos diariamente, con una actividad alcanzada en 91 objetivos en un solo día.
Los hacktivistas centraron principalmente su asalto a las entidades gubernamentales y del sector público en las naciones europeas que se oponen a la invasión de Rusia de Ucrania, con organizaciones ucranianas que comprenden la mayor parte de los objetivos con un 29.47%, seguido de Francia (6.09%), Italia (5.39%) y sueco (5.29%).
La campaña demuestra una clara alineación estratégica con los intereses geopolíticos rusos, que funciona como un activo de guerra cibernética no oficial que enmarca ataques como represalias directas por las acciones tomadas por los adversarios de Rusia.
Flujo de comunicación DDOSIA C2 (Fuente – Futuro registrado)
Analistas futuros grabados identificado El arma principal del grupo como una herramienta DDOS personalizada llamada “Ddosia”, el sucesor de una botnet anterior llamada Bobik.
La herramienta facilita los ataques DDoS de la capa de aplicación por sitios web objetivo abrumadores con altos volúmenes de solicitudes de basura, operando a través de un modelo impulsado por voluntarios que recluta a los participantes a través de canales de telegrama y recompensa a los contribuyentes con criptomonedas.
Protocolo de infraestructura técnica y comunicación
El malware DDOSIA emplea un sofisticado proceso de comunicación de dos pasos con el registro del cliente comienza con una solicitud de publicación HTTP al punto final /cliente /inicio de sesión, donde el malware valida la autenticidad utilizando cargas útiles cifradas aseguradas con cifrado AES-GCM.
La clave de cifrado se genera dinámicamente utilizando una combinación del hash del usuario y la identificación del cliente, creando un mecanismo de autenticación robusto.
La infraestructura de niveles múltiples del malware consiste en servidores de comando y control de nivel 1 que giran rápidamente con una vida útil promedio de nueve días, permitido exclusivamente establecer conexiones a los servidores de nivel 2 protegidos por listas de control de acceso.
Esta arquitectura garantiza la resiliencia operativa al tiempo que mantiene la funcionalidad de C2 confiable incluso bajo la presión policial, como se demostró durante la Operación Eastwood entre el 14 y el 17 de julio de 2025, lo que resultó en arrestos y búsquedas en seis países europeos.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
%27s%20Hackers%20Attacked%203,700%20Unique%20Devices%20Over%20Last%20Thirteen%20Months.webp?w=1600&resize=1600,900&ssl=1){kind=link}