NoName057(16), también conocido como 05716nnm o NoName05716, se ha convertido en una amenaza significativa que ataca a los estados miembros de la OTAN y a las organizaciones europeas. El grupo, que se originó como un proyecto encubierto dentro del Centro para el Estudio y la Monitorización de la Red del Entorno Juvenil de Rusia, ha estado llevando a cabo activamente ataques de denegación de servicio distribuido (DDoS) desde marzo de 2022. 

NoName057(16), también conocido como 05716nnm o NoName05716, ha surgido como una amenaza significativa dirigida a los estados miembros de la OTAN y a organizaciones europeas.

El grupo, que se originó como un proyecto encubierto dentro del Centro de Estudio y Monitoreo de Redes del Ambiente Juvenil de Rusia, ha estado llevando a cabo activamente ataques de denegación de servicio distribuido (DDoS) desde marzo de 2022.

Operando con el apoyo del liderazgo dentro de CISM y recibiendo dirección de los intereses del gobierno ruso, la organización se ha posicionado como una importante amenaza cibernética para las instituciones occidentales que se oponen a los objetivos geopolíticos rusos.

La principal capacidad ofensiva del grupo se basa en el Proyecto DDoSia, una botnet de código abierto que recluta voluntarios a través de canales de Telegram.

Los voluntarios están equipados con herramientas de ataque basadas en Go, fáciles de usar, y son recompensados con criptomonedas por su participación. Este modelo basado en voluntarios ha demostrado ser notablemente eficaz para escalar ataques contra diversos objetivos.

Lo que diferencia a DDoSia de las botnets tradicionales es su simplicidad, que permite a personas con conocimientos técnicos mínimos participar en ataques coordinados.

Para 2024, NoName057 (16) amplió su influencia a través de asociaciones con otros grupos hacktivistas pro-rusos, notablemente el Cyber Army of Russia Reborn, que finalmente contribuyó a la formación de Z-Pentest en septiembre de 2024.

Los analistas de Picus Security identificaron un sofisticado protocolo de comunicación de dos etapas que sustenta la infraestructura de ataque de DDoSia.

Mecanismo Técnico

El sistema comienza con la autenticación del cliente a través de una solicitud HTTP POST al endpoint /client/login del servidor de comando y control, donde el cliente transmite información del sistema cifrada, incluyendo detalles del sistema operativo, versión del kernel y especificaciones de la CPU.

Tras la autenticación exitosa, como lo indica una respuesta 200 OK que contiene una marca de tiempo UNIX, el cliente procede a la etapa dos solicitando configuraciones de destino a través de una solicitud GET a /client/get_targets.

La infraestructura operativa emplea una arquitectura resiliente y multinivel diseñada para evadir la detección y la mitigación. El Nivel 1 comprende servidores de comando y control de cara al público que se comunican directamente con los clientes de DDoSia, con una vida útil promedio de aproximadamente nueve días, aunque muchos rotan diariamente.

Los servidores backend del Nivel 2 mantienen la lógica central y las listas de objetivos, con acceso estrictamente controlado a través de listas de control de acceso que permiten conexiones solo desde servidores autorizados del Nivel 1.

Esta compartimentación asegura que incluso cuando los nodos del Nivel 1 son identificados y bloqueados, la infraestructura central permanece operativa.

El análisis revela un alto ritmo operativo, con un promedio de 50 objetivos únicos atacados diariamente, y los patrones de actividad se correlacionan fuertemente con el horario laboral ruso estándar.

Ucrania representa la mayor parte de los ataques con un 29.47%, seguido de Francia con un 6.09%, Italia con un 5.39%, Suecia con un 5.29% y Alemania con un 4.60%. Los sectores gubernamentales representan el 41.09% de los objetivos, con el transporte y las telecomunicaciones también muy afectados.

Los ataques utilizan predominantemente inundaciones TCP y técnicas de capa de aplicación, con los puertos 443 y 80 representando el 66% del tráfico.