NoName057(16) ou l’armée fantôme du cyberespace pro-russe

Les photos d’Andrey Muravyov, Maxim Lupin, Olga Estratova, Mihail Evgeyevich Burlakov et Andrej Stanislavovich Avrosimow ont été rendues publiques sur le site d’Europol. Le point commun entre ces cinq personnes ? Outre leur citoyenneté russe, ils ont été identifiés suite à l’Opération Eastwood en juillet dernier comme faisant partie du groupe activiste pro-russe NoName057(16), responsable de plusieurs attaques par DDoS au sein de l’Union Européenne. 

Coordonnée par Europol et Eurojust, l’opération Eastwood a débouché sur l’émission de 7 mandats d’arrêt internationaux, deux arrestations en France et en Espagne, la mise en service de plus de 100 systèmes informatiques utilisés par le groupe et l’identification d’un millier de sympathisants ainsi que de 17 administrateurs affiliés à NoName057(16).  

Malgré ce coup de filet, NoName057(16) reste actif encore aujourd’hui. Selon un rapport de Recorded Future publié à ce sujet, le groupe a ciblé plus de 3 700 sites entre juillet 2024 et juillet 2025, avec une moyenne de 50 cibles par jour, témoignant ainsi d’un certain dynamisme. 

Un groupe né du conflit ukrainien

L’émergence de NoName057(16) est profondément liée à l’invasion russe en Ukraine. En mars 2022, le groupe apparaît sur l’application Telegram, en revendiquant un objectif très clair : soutenir activement la Russie dans sa guerre contre l’Ukraine, exploitant le cyberespace comme une extension du champ de bataille. Si l’on se penche un peu plus sur le contexte de son apparition, les mois qui ont suivi le début du conflit en Ukraine ont été un terreau fertile à l’émergence de groupes hacktivistes pro-russes, répondant à une logique de cyber-guerre parallèle dans laquelle l’émergence de NoName057(16) s’inscrit. 

Ce nom que le groupe s’est lui-même attribué, NoName057(16), pourrait d’ailleurs être l’expression de cette position activiste et patriotique. Le terme « NoName” serait une référence ironique à Anonymous, célèbre collectif hacktiviste, souvent perçu comme pro-occidental. On peut d’ailleurs noter à ce sujet que le groupe s’oppose idéologiquement à ce collectif, ayantannoncé en 2022 vouloir s’en prendre à la Russie. Par ailleurs, le choix des chiffres pourrait être symbolique, puisque 057 est le code régional de Kharkiv (une ville ukrainienne hautement stratégique dans le conflit). Concernant le nombre 16, la signification est un peu plus complexe, mais pourrait faire référence à 2016, année marquée par des cyberattaques massives (une hypothèse très discutée, étant donnée que le groupe est apparu en 2022). La deuxième hypothèse serait relative à un code interne, voire celui-ci n’aurait volontairement aucun sens et servirait uniquement à brouiller les pistes. Le nom du groupe, jouant avec une esthétique cryptique et anonyme, reste donc objet à interprétations, mais traduit néanmoins une volonté d’être non incarné pour rester insaisissable. 

Dès mars 2022, il mène des attaques DDoS contre des sites ukrainiens. NoName057(16) tente de réduire la presse ukrainienne au silence en ciblant des médias comme Detector Media, Odessa Online et l’agence de presse Competitor. Il essaye aussi de perturber le fonctionnement du pays en attaquant des sites gouvernementaux, afin de perturber leur services. Rapidement, il élargit son champ d’action aux pays alliés de l’Ukraine (Pologne, Italie, France, pays baltes, Allemagne,etc.). Selon l’agenda politique et diplomatique, NoName057(16) n’hésite pas à s’en prendre à des institutions publiques puis à des entreprises privées. Divers secteurs sont touchés : banques, médias, transport, etc. En plus d’une volonté de déstabilisation sur le territoire ukrainien, l’action de  NoName057(16) est également marquée par les représailles lorsque des puissances occidentales tentent de soutenir l’Ukraine ou de condamner les opérations militaires russes. Par exemple, en Italie, une attaque a eu lieu en 2025 après que le président Sergio Mattarella ait comparé les actions de la Russie en Ukraine à celles du Troisième Reich. 

Un activisme collaboratif très structuré

Dès 2022, NoName057(16) se fait connaître sur l’application Telegram, qui devient le canal principal de diffusion et d’organisation du groupe. Ils y publient leurs revendications, leurs justifications politiques, leurs listes de cibles et leurs résultats d’attaques. Adoptant une communication principalement visuelle à base de mèmes, slogans et autres infographies, ils réussissent à mobiliser autour d’eux une communauté active, composée de sympathisants russophones. Cela leur permet de recruter près de 4000 volontaires, en leur proposant des outils DDoS et des récompenses financières en cryptomonnaies. Un système de gamification est mis en place : les contributeurs reçoivent des badges et des classements selon leur niveau d’activité (notamment dans les attaques DDoS). NoName057(16) revendique un modèle collaboratif ouvert et intègre des membres novices qu’il accepte de former.

NoName057(16) a développé DDoSia, un logiciel open source développé et maintenu par le groupe. Celui-ci permet à n’importe quel utilisateur de participer à des attaques DDoS simplement en téléchargeant le programme et en suivant les instructions. Il a aussi pour fonction d’automatiser les attaques, car les cibles définies peuvent être renouvelées quotidiennement. Enfin, le logiciel enregistre les performances de chaque utilisateur et les classe, ce qui sert le système de gamification mis en place par NoName057(16) et de récompenser les utilisateurs les plus performants.Certains membres s’impliquent aussi dans la recherche de vulnérabilités, la traduction des messages en plusieurs langues ou la diffusion des revendications sur les réseaux.

NoName057(16) a toujours essayé de se présenter sous la forme d’un collectif sans leader identifié et sans hiérarchie apparente. Malgré cette apparente horizontalité, les analyses montrent une coordination importante, suggérant un noyau central assurant le pilotage technique et stratégique. Ce mode d’organisation semble confirmé par les informations recueillies lors de l’opération Eastwood, puisque parmi les 7 mandats d’arrêts émis, deux concerneraient des individus identifiés comme instigateurs du groupe selon le communiqué de presse d’Europol.

Par ailleurs, les analystes observent une montée en compétence depuis 2023 avec des campagnes plus ciblées, des délais de réactions plus courts et une meilleure synchronisation avec l’agenda géopolitique russe. Cela laisserait penser à une collaboration indirecte avec des services russes ou à un appui logistique ou financier discret. De plus, comme il est indiqué dans le rapport de Recorded Future à propos de DDoSia publié en juillet 2025, le groupe suit des horaires typiques de bureau russes, avec des pics d’activité en début de matinée et vers midi. Il pourrait s’agir d’un autre élément indiquant une possible professionnalisation de NoName057(16). 

Un ciblage géopolitique assumé

En termes de ciblage, NoName057(16) ne laisse rien au hasard. Les pays principalement touchés sont ceux considérés comme hostiles à la Russie, principalement ceux qui soutiennent l’Ukraine (que ce soit économiquement, militairement ou diplomatiquement) ainsi que ceux qui sont membres de l’OTAN ou de l’Union européenne. En premier lieu, le groupe vise des institutions gouvernementales (ministères, parlement, agences publiques, etc.), mais NoName057(16) n’a pas hésité à s’attaquer à des entreprises (appartenant principalement au monde du transport, de la banque et de la finance ou des médias). Le groupe agit souvent en amont ou le jour même d’événements diplomatiques ou militaires, lors d’élections nationales ou européennes et lors d’annonces majeures sur la livraison d’armes ou les sanctions contre la Russie. Les attaques du groupe répondent donc à un timing précis, souvent placé sous le signe des représailles.

Les campagnes de NoName057(16) sont pensées pour avoir un effet psychologique sur les cibles. Tout d’abord, le groupe se concentre sur les attaques DDoS, qui demandent peu d’efforts et peuvent être spectaculaires. Ensuite, les revendications sont publiées presque en temps réel sur la chaîne Telegram du groupe. Chaque campagne est mise en scène avec des visuels provocateurs, des slogans pro-russes et des captures d’écran de sites hors service, dans le but de renforcer l’effet de guerre psychologique et médiatique. NoName057(16) semble suivre quatre objectifs : désorganiser temporairement les services cibles – malgré des dégâts limités – , envoyer un message politique clair à destination des gouvernements et de l’opinion publique, mobiliser leur communauté pour donner une impression d’action collective efficace ainsi que renforcer leur présence médiatique et leur notoriété au sein d’une sphère pro-russe.

Et NoName057(16) serait d’ailleurs particulièrement inscrit dans l’écosystème cyberhacktiviste pro-russe. En effet, les observations suggèrent une forme de synergie ou de collaboration opportuniste avec d’autres groupes partageant un narratif anti-occidental similaire, tels que Killnet ou UserSec. Cette hypothèse est appuyée par des attaques qui semblent coordonnées dans le temps et des relais croisés sur Telegram (les revendications de NoName057(16) sont parfois partagées par d’autres groupes). Selon un rapport de Microsoft Threat Intelligence intitulé “A Year of Russian Hybrid Warfare” publié en mars 2023, ces groupes seraient tolérés voire soutenus par le Kremlin, comme pourrait le suggérer l’absence de répression interne à leur encontre ainsi que leur alignement idéologique. Par leurs actions complémentaires, ils participent à instaurer une forme de guerre hybride dans le conflit russo-ukrainien.

Avec son organisation opaque et décentralisée, sa forte idéologie russophile et ses tactiques simples mais efficaces, NoName057(16) s’inscrit comme un acteur d’influence dans le conflit entre la Russie et l’Ukraine, qui reste l’une de ses principales cibles. Il est le témoignage de la transformation des conflits à l’ère du XXIe siècle, en incarnant l’expression d’une menace hybride  qui brouille la frontière entre acteurs étatiques et non étatiques. Dans ce contexte, ce type d’attaque représente un défi pour les gouvernements et les organisations internationales, qui peinent encore à les attribuer et à les contrer.