Ahora, NoName057(16) se dirige a cualquier país que exprese su apoyo a Ucrania, centrándose principalmente en sitios web gubernamentales, bancos y proveedores de energía. Mientras que otros grupos han ido y venido, NoName057(16) ha sido constante en sus actividades durante los últimos 18 meses, realizando al menos un ataque DDoS por día. El grupo rara vez se desvía de su procedimiento de ataque sistemático, que comúnmente está vinculado con el ciclo informativo, pero cuando lo hace es reactivo. Por ejemplo, el 15 de diciembre de 2022, el grupo llevó a cabo un ataque DDoS en el sitio web del Parlamento polaco después de Polonia reconoció a Rusia como Estado patrocinador del terrorismo.
El modus operandi del grupo parece abarcar tres componentes: desinformación, intimidación y creación de caos. El componente de desinformación se evidencia en los continuos ataques contra numerosos medios de comunicación ucranianos. El componente de intimidación consiste en ataques repetidos contra el mismo objetivo. Como NoName057(16) lo pone: «la repetición es la madre del aprendizaje.» Por último, la creación del caos se evidencia en la Más de 70 ataques DDoS contra España durante las semanas previas e inmediatamente después de las elecciones generales del país en julio de 2023. Acontecimientos similares tuvieron lugar antes de la Elecciones presidenciales checas en enero y el Elecciones parlamentarias polacas en octubre.
NoName057(16) no tiene un líder enigmático y no hay evidencia de quién patrocina financieramente al grupo o si tienen vínculos con el gobierno. se caracteriza por su disciplina de tipo militar y la naturaleza calculada y repetitiva de sus ataques. El grupo es mucho más riguroso en el reconocimiento de sus objetivos que cualquier otro grupo hacktivista prorruso. También publica evidencia de la falta de disponibilidad global de los sitios web específicos en el sitio web CheckHost, lo que probablemente aumente su propio ego.
Lo que también es único del grupo es su proceso técnico de selección de objetivos, que depende completamente de voluntarios para llevar a cabo sus operaciones DDoS. Una lista de objetivos se actualiza diariamente y los administradores del grupo la distribuyen a través de servidores C2 cifrados. La ejecución de los ataques, por lo tanto, depende de un grupo de simpatizantes rusos que ofrecen voluntariamente sus dispositivos privados y reciben pagos en criptomonedas por su participación. Quedan muchas preguntas sobre quién es responsable de elegir los objetivos y cargar la lista, pero existe una gran posibilidad de que un grupo central de personas tome estas decisiones ejecutivas. También es peculiar que, a diferencia de cualquier otro grupo de hackers en el conflicto ruso-ucraniano, NoName057(16) no restringe su base de usuarios y está dispuesto a mezclar ideología con incentivos financieros para reclutar personas que se unan a sus esfuerzos.
Cómo se promociona NoName057(16)
NoNombre057(16) lanzó su botnet de colaboración colectiva, DDoSia, en julio de 2022. Para que el kit de herramientas de ataque sea más accesible, también cuenta con un canal de Telegram tanto en ruso como en inglés para obtener instrucciones y soporte. Su kit de herramientas también estuvo alojado en GitHub hasta hace poco, pero desde entonces ha sido eliminado, lo cual es curioso dado el volumen de contenido ilícito que sigue estando disponible en el sitio web.
Se puede establecer un paralelo entre las operaciones cibernéticas de NoName057(16) y el Ejército de TI de Ucrania, que también cuenta con un robot DDoS totalmente automatizado dirigido a organizaciones rusas. Lo que distingue a NoName057(16) es su plataforma de pago integrada, que es difícil de rastrear ya que el grupo utiliza la criptomoneda de código abierto TON para pagos. Los expertos de Radware, un proveedor de ciberseguridad, afirman que es «básicamente imposible de rastrear».