Desenmascarando NoName057(16): Botnets, DDoSia y la OTAN

NoName057(16) es un grupo hacktivista prorruso que tiene como objetivo a la OTAN. Sus ataques no son técnicamente sofisticados, pero causan interrupciones reales para los aliados y civiles ucranianos.

Para desestabilizar infraestructuras críticas, el grupo utiliza botnets para desplegar ataques DDoS (denegación de servicio distribuida) a muchos países de la UE y aliados de la OTAN. Los ataques DDoS de NoName05716 han sido comparados con otros grupos hacktivistas prorrusos como KillNet—especialmente debido al volumen de ataques lanzados.

Evaluemos cómo NoName05716 está lanzando sus ataques y qué significa esto para empresas y gobiernos de todo el mundo.

¿Qué es NoName057(16)?

NoName057(16) es un grupo de ciberactivistas prorruso conocido por sus ciberataques a países occidentales, incluidas instituciones financieras, sitios web gubernamentales y servicios de transporte.

Desde marzo de 2022, el grupo de actores de amenazas ha llevado a cabo más de 1.500 ataques DDoS (denegación distribuida de servicio) contra países pro-OTAN en un intento en nombre de Rusia para desestabilizar a las fuerzas anti-rusas.

NoName en números…

NoName05716 ha continuado intensificando sus ataques DDoS desde su concepción en 2022. Tres años después, siguen surgiendo nuevos datos sobre el éxito de sus operaciones y quién podría ser el próximo objetivo.

Aquí hay algunas ideas clave sobre los ciberataques del grupo:

  • Lanzan ataques exitosos de manera constante. El grupo tiene una tasa de éxito del 40% según Avast.
  • Los bancos y las empresas de transporte son objetivos. Para socavar la infraestructura crítica, el grupo se ha dirigido a los sectores verticales de transporte y banca. 25% del tiempo.
  • En 2023 se intensificaron los ataques contra países vecinos de la UE. Los 5 países más afectados en 2023 (T1 – T3) fueron Polonia, Lituania, República Checa, Italia y España.
  • Se enfocan en desmantelar las redes de apoyo de Ucrania. Ucrania estaba solo en posición #6 en la lista de víctimas de NoName057(16) para 2023.

La motivación principal detrás de los ciberataques de NoName057(16) es la protesta contra las políticas y acciones de los gobiernos y organizaciones que consideran hostiles a Rusia.

Impulsado por el nacionalismo prorruso, el grupo hacktivista está motivado principalmente por razones políticas. Cuando Rusia agredió a Ucrania e invadió, el grupo se sintió más motivado que nunca para interrumpir y detener el apoyo a Ucrania.

Cuando el grupo lanzó su manifiesto, resaltó su hostilidad hacia los países de la OTAN.

Una captura de pantalla del manifiesto en inglés. Fuente.

Desde el inicio de la guerra, los ciberataques rusos contra Ucrania se disparó en casi un 70% en 2024. Grupos de hackers como NoName057(16) y Killnet demuestran cómo Rusia ha llevado la guerra a internet, atacando las cadenas de suministro y los gobiernos de naciones de todo el mundo que simpatizan con Ucrania.

¿Cómo opera NoName?

NoName057(16) operates using Telegram channel, Telegram es una aplicación de telecomunicaciones encriptada y de código abierto, a menudo utilizada por ciberdelincuentes para ocultar su organización. El canal actual de Telegram NoName05716 tiene más de 52,000 suscriptores.

Publicación de Telegram de NoName05716. Fuente.

GitHub es utilizado por el grupo para alojar su herramienta DDoS, sitio web y repositorios asociados, lo que les permite compartir materiales y técnicas con su audiencia.

Perfil de GitHub asociado a DDoSia. Fuente.

También han desarrollado una herramienta de DDoS llamada DDoSia, que les permite realizar ataques de DDoS para atacar sitios repetidamente.

¿Cuáles son los ataques más notables atribuidos a NoName057(16)?

Desde 2022, NoName057(16) ha lanzado una serie de ciberataques en sitios web de gobiernos occidentales, incluyendo contra Ucrania, Polonia, Dinamarca, Lituania, Estonia, Italia, la República Checa y Canadá.

Aquí hay algunos de los ataques DDoS conocidos atribuidos a Noname057(16):

Ataque del gobierno ucraniano

En junio de 2022, el grupo lanzó un ataque DDoS contra los sitios web del gobierno, servicios públicos, armamento, transporte y correos de Ucrania. El objetivo era desestabilizar Ucrania durante la guerra en curso contra Rusia.

Poco después, el grupo se centró en interrumpir las fuentes de noticias ucranianas, lanzando ataques contra múltiples servidores de noticias. Su objetivo era detener la difusión de información que pudiera ser perjudicial para el progreso de Rusia en la guerra.

Una captura de pantalla del ataque a Ucrania realizado por NoName05716. Fuente.

Dirigiéndose a los estados bálticos: Lituania, Estonia y Letonia

A mediados de junio de 2022, NoName05716 comenzó a atacar a los países vecinos del Báltico tras la prohibición del tránsito de mercancías sujetas a sanciones de la UE. El grupo atacó a empresas de transporte, así como a empresas locales de transporte ferroviario y de autobuses para interrumpir sus cadenas de suministro.

El grupo también tuvo como objetivo al banco más grande de Lituania, SEB, en julio de 2022.

Ataque al sector financiero danés

In June 2022, NoName057(16) targeted multiple Danish banks, causing operational delays. Among the banks targeted were the largest in the country in a bid not just to disrupt but also to collect data.

Ataque a la elección presidencial checa

En enero de 2023, el grupo comenzó a atacar los sitios web de candidatos presidenciales checos. Entre los sitios web afectados se encontraba una organización sin fines de lucro que presentaba los programas electorales de todos los candidatos. El objetivo del ataque era interrumpir el proceso de elección presidencial, especialmente contra los candidatos que no eran “prorrusos”.

Los sitios web gubernamentales afectados incluyeron el sitio web de la organización Watchman of the State, la Oficina Checa de Estadística y el Ministerio de Asuntos Exteriores.

El candidato prooccidental, el general Petr Pavel, confirmó el ataque DDoS. Fuente.

Ataque contra Polonia

En diciembre de 2022, los hackers crearon sitios web haciéndose pasar por el gobierno polaco. El sitio web de phishing engañó a los usuarios para que recopilaran información de pago bajo el pretexto de una tarifa de verificación. El objetivo era socavar al estado y recopilar información para extorsionar dinero.

sitios web del gobierno canadiense ataques

En septiembre de 2023, el grupo NoName057(16) lanzó un ataque DDoS en muchos sitios web del gobierno canadiense y de Quebec. El grupo asumió la responsabilidad por tumbar los sitios web de los puertos de Montreal, Ciudad de Quebec, Halifax, el Banco Laurentien de Canadá y el Banco TD.

Una captura de pantalla de las redes sociales de NoName05716 alardeando del ataque a Canadá. Fuente.

A continuación, se muestra un desglose de las diferentes industrias que NoName05716 tiene como objetivo. Los gobiernos son el objetivo más grande, representando el 54% de sus ataques. Los objetivos secundarios, las industrias bancaria y de transporte, son elegidos por los hackers para interrumpir el suministro de recursos.

¿Cómo funcionan los ataques de NoName05716?

NoName05716 se basa en múltiples herramientas para llevar a cabo sus ataques.

Los ataques DDoS (denegación de servicio distribuido) se llevan a cabo utilizando una aplicación multihilo fabricada por uno mismo, la llamada Proyecto DDoSia. El kit de ataque se utiliza para saturar las redes con paquetes, de modo que el sitio no pueda funcionar normalmente.

DDoSia se escribió inicialmente en Python utilizando hilos de CPU para lanzar ataques y solicitudes al mismo tiempo. La versión actual de DDoSia ahora se basa en el protocolo HTTP para la comunicación de Comando y Control (C2), con configuraciones JSON distribuidas por el servidor C2, y está disponible en Linux, Windows y MacOS, lo que facilita la participación de cualquiera de sus voluntarios en todo el mundo.

Para llevar a cabo ataques DDoS a gran escala, NoName05716 infecta servidores con malware llamado Bobik—agregándolos a una botnet para llevar a cabo futuros ataques DDoS para el grupo.

Las etapas del ataque se dividen en dos etapas básicas.

  1. Lo primero es distribuir el bot Bobik a través del bot RedLine Stealer.
  2. En la segunda etapa, Actualizador de Bobik extrae y elimina el módulo final de DDoS para asegurar que los ataques de DDoS continúen.
Gráfico de despliegue de Bobik. Fuente.

NoName057(16) está haciendo esfuerzos para hacer que su malware sea compatible con más sistemas operativos para aumentar la usabilidad y la accesibilidad. En el futuro, se esperaba que seguirán fortaleciendo sus aplicaciones y sistemas.

¿A quién tiene como objetivo NoName057(16)?

El grupo de hackers prorruso tiene como objetivo y ataca a Ucrania y a los países de la OTAN, incluidos los países vecinos del este (Lituania, Polonia, República Checa y Letonia). Los países que expresan abiertamente su apoyo a Ucrania frente a Rusia se convierten rápidamente en objetivos del grupo hacktivista, especialmente si el país está proporcionando apoyo militar.

Los países occidentales, por otro lado, son un objetivo secundario para NoName05716. Países como Francia, el Reino Unido, Italia, Canadá y otros países de la UE han aumentado su apoyo a Ucrania, convirtiéndolos a su vez en un objetivo para grupos hacktivistas prorrusos.

¿Cuáles son las actividades recientes del grupo de hackers NoName057(16)?

A principios de 2025, NoName05716 centró su atención en Italia. Los sitios web de ministerios italianos e infraestructura crítica fueron atacados durante la visita del presidente ucraniano Volodímir Zelenski a Roma. Comentarios hechos por el Primer Ministro expresar apoyo a Ucrania y condenar a Rusia han intensificado los ataques contra el país.

El grupo atacó los sitios web de ministerios italianos e infraestructura crítica durante la visita del presidente ucraniano Volodímir Zelenski a Roma.

Los hackers se dirigieron a alrededor de 20 sitios web, incluida la Guardia di Finanza de Italia, los Carabinieri y varios ministerios gubernamentales: Industria y Made in Italy, Asuntos Exteriores, Economía, Infraestructura y Transporte, y Desarrollo Económico.

Defensa contra NoName057(16)

Ataques DDoS algunos de los ciberataques más frecuentes, alcanzando máximos históricos en 2023, y se espera que aumenten en 2025. Es más importante que nunca asegurar que la infraestructura de TI esté fortificada para manejar amenazas cibernéticas a gran escala de actores maliciosos extranjeros.

Aquí hay algunas formas de reforzar la seguridad contra las amenazas cibernéticas patrocinadas por el estado ruso y criminales Según CISA:

  • Limita el tráfico a tu sitio web. Los firewalls son una herramienta útil para restringir estratégicamente el tráfico de internet y detectar patrones anormales para mantenerse seguro.
  • Implementar sistemas captcha en formularios públicos sin autenticación. Los sistemas Captcha dificultan que los bots realicen un ataque DDoS.
  • Evaluar la configuración de seguridad. Restringir el acceso a plataformas y sitios cruciales para minimizar incidentes de recolección de credenciales.
  • Usa una VPN para ocultar direcciones IP. Usar una VPN para ocultar tu dirección IP dificulta que un atacante localice tu red, lo que dificulta que los hackers ataquen a tu empresa.
  • Restringe el número de conexiones por dirección IP. Esto hace menos probable que un atacante encuentre una forma de entrar en la red a través de una dirección IP conocida.
  • Crear un plan de recuperación ante desastres. Planifica para el peor escenario posible y educa a los equipos internos para garantizar que, si ocurre un ataque, se pueda manejar rápidamente.
  • Invierte en servicios de mitigación de DDoS. Aprovechando servicios profesionales de mitigación de DDoS, como CybelAngel, puede ayudar a los equipos internos de ciberseguridad a monitorear el tráfico web y aplicar las técnicas de filtrado necesarias para frustrar ataques.

Lucha contra el ransomware con CybelAngel

Grupos hacktivistas como NoName057(16) operan en estructuras ágiles, lo que hace que sus ataques sean más prolíficos y de mayor alcance. Dado el tumultuoso estado de los asuntos exteriores en 2025, es ahora más importante que nunca garantizar que su organización esté al día con las últimas medidas de ciberseguridad.

CybelAngel ofrece una visión de 360 grados de las amenazas cibernéticas, garantizando que su equipo pueda tomar medidas antes de que ocurran los ataques. Obtenga más información poniéndose en contacto.

Sobre el autor