Deux arrestations en France et en Espagne n’ont pas suffi. Le collectif pro-russe NoName057(16) repart à l’attaque, revendiquant de nouvelles cyber-offensives contre l’Europe.En juillet 2025, l’opération Eastwood a conduit à deux arrestations en France et en Espagne, frappant l’organisation pro-russe NoName057(16), connu pour ses attaques DDoS contre l’Occident. Mais la résilience du groupe se confirme. Les membres restants, encore actifs, relancent la machine. Attaques revendiquées contre la France, menaces contre l’Allemagne et la Roumanie, glorification des volontaires et appel à rejoindre leur botnet. NoName057(16) adapte sa propagande au storytelling cyber. Malgré un démantèlement partiel, leur stratégie d’influence, de recrutement et d’intimidation persiste. Ce nouvel épisode démontre l’inefficacité des démantèlements techniques si l’idéologie et l’écosystème ne sont pas également ciblés.
Arrestations en France et Espagne : un coup partiel mais symbolique
L’opération Eastwood, déployée du 14 au 17 juillet 2025, a ciblé l’infrastructure cyber du groupe pro-russe NoName057(16), connu pour ses attaques DDoS sur des cibles européennes en lien avec l’Ukraine. Deux arrestations ont été effectuées : une en France, l’autre en Espagne. Selon les autorités, ces individus jouaient un rôle logistique et stratégique dans la gestion des serveurs de commande de DDoSia, l’outil centralisé du collectif. Un message a été envoyé par les autorités aux abonnés de l’espace de NoName057(16) : « Vous ne pouvez pas vous soustraire à la loi. Vos supérieurs hiérarchiques ne vous protégeront pas. Arrêtez maintenant avant qu’il ne soit trop tard. ».
Plus de 600 serveurs ont été désactivés dans 20 pays. 42 en Espagne. Les policiers ont également mené trois perquisitions à Madrid, une à Saragosse et une à Barcelone, et interrogé cinq suspects. Mais la dispersion et la redondance du réseau ont permis au groupe de préserver une partie de ses capacités. De plus, la structure décentralisée et la culture de la clandestinité font que l’arrestation de deux opérateurs clés ne suffit pas à désorganiser la mouvance dans son ensemble.
Quelques jours après l’opération, NoName057(16) est réactivé. Un message sarcastique découvert par ZATAZ s’adresse à la presse occidentale : « La fin de NoName057(16) ? Vous avez juste pu nous toucher la joue. » En clair, la communication offensive reprend. Le collectif revendique une série d’attaques DDoS visant plusieurs régions et ville françaises : Seine‑Maritime ; Bouche‑du‑Rhône ; Dunkerque ; Moselle ou encore la Sarthe, Atout France et l’agence de promotion touristique. Le groupe joue sur l’effet de visibilité : chaque action est « mise en scène », non pour la gravité réelle de son impact, mais pour entretenir la peur et asseoir son retour.DDoSia, propagande et infrastructures critiques
DDoSia n’est pas seulement un outil technique. C’est une interface communautaire : elle récompense les utilisateurs qui lancent des attaques DDoS en leur offrant de la visibilité, des grades, voire des cryptomonnaies comme ZATAZ avait pu le révéler, il y a deux ans. C’est une gamification de la cyber-guerre. L’outil reste opérationnel, même après l’opération Eastwood, confirmant que certains relais techniques n’ont pas été neutralisés.
Dans un second message, le groupe revendique une cyberintrusion dans une station de pompage à Bucarest. Une méthode étonnante, qui n’est pas dans les habitudes du groupe. Ils affirment contrôler les réglages des pompes, la surveillance en temps réel de la pression et du débit, la configuration des alarmes d’urgence, la fréquence des moteurs et la gestion des réservoirs.
Le groupe de pirates aurait malmené un centre de traitement des eaux. Cette intrusion, si elle s’avère vraie, représente un cap dangereux : des systèmes industriels critiques deviennent cibles. Si les faits sont avérés, cela constituerait un acte de cyberguerre ciblée. D’autres pirates avaient effectué le même type de « communication » comme SandWorm, en 2024. SandWorm avait annonçait le piratage du barrage de Courlon-sur-Yvonne pour, en fait, perturbé une centrale hydraulique privée par erreur.
L’Allemagne et la Roumanie sont sous les coups de DDoS rapides depuis l’opération Eastwood.
Le collectif se positionne comme un rempart idéologique contre l’Occident. Dans leur rhétorique, les arrestations sont perçues comme un aveu d’impuissance de la part des démocraties. Le message est clair : « Vous nous avez sous-estimés, nous revenons plus fort. » Ils appellent à une nouvelle opération « Time of Retribution », incitant tous les volontaires russophiles à les rejoindre. Le tout est assorti d’un hommage aux activistes européens « qui osent afficher leur soutien en public », photos de graffitis à l’appui. A noter que certaines images affichées comme réelles ont été générées par l’IA. On notera aussi aucun message pour les trois pirates du groupe arrêtés, 1 an jour pour jour, en Espagne.
Selon les hacktivistes, cette image aurait été prise par un membre. A vous de juger ! Les arrestations en France et en Espagne (à Saragosse, les trois autres étaient de Majorque, Huelva et Séville.) ont permis d’infliger un revers stratégique à NoName057(16). Mais leur communication offensive, les revendications multiples et la persistance de leur outil DDoSia montrent que l’idéologie et les relais opérationnels du groupe restent vivaces.
Ce qui inquiète le plus les responsables de l’enquête est l’implication d’un autre Espagnol, en l’occurrence le chef présumé du groupe de pirates informatiques, à qui la police attribue un rôle important de « recruteur et propagandiste » pour l’organisation. Un mandat d’arrêt international a été émis à son encontre. Il est accusé de sabotage à des fins terroristes. Il serait en Russie.
L’arrestation ne suffit pas : il faut démanteler la légitimité que ces groupes prétendent se forger dans l’espace informationnel. La coordination rapide d’une nouvelle vague d’attaques prouvent une chose : le cyberespace, à la différence du terrain physique, ne se conquiert pas une fois pour toutes.
merci à ZATAZ
