Inledning
En ny rapport från Insikt Group, underrättelseavdelningen inom Recorded Future, analyserar den pro-ryska hacktivistgruppen NoName057(16) – ett nätverk som sedan våren 2022 har riktat dagliga DDoS-attacker mot Ukraina och flera EU-länder. Rapporten visar hur dessa attacker blivit ett allt viktigare inslag i det ryska hybridkriget (Insikt Group, 2025).
Kraftfull DDoS‑infrastruktur
Rapporten, publicerad den 17 juli 2025, avslöjar ett avancerat och flerskiktat tekniskt system där snabbt roterande Tier 1-kommandoservrar kopplas till skyddade Tier 2-noder bakom autentiseringslager. Tier 1-servrarna byts i genomsnitt var 9:e dag. Mellan juli 2024 och juli 2025 attackerades i genomsnitt 50 unika mål varje dag, med toppar på 91 attackerade mål på ett dygn (Insikt Group, 2025).
Målprofil: Civil infrastruktur
Totalt identifierades 3 776 unika mål under tolvmånadersperioden. Av dessa låg 29 % i Ukraina, följt av Frankrike (6 %), Italien (5,4 %) och Sverige (5,3 %). Offentliga myndigheter var det främsta målet (56 %), tätt följt av transportsektorn och mediehus (Insikt Group, 2025).
Timing och geografisk prägel
NoName057(16):s attacker sker främst i två tidsfönster: omkring 05–07 och 11 UTC – vilket sammanfaller med kontorstid i Moskva. Den rytmiska attackplanen stödjer tesen att aktörerna befinner sig i ryskt närområde och följer en form av arbetsdag (Insikt Group, 2025; Insikt Group, januari 2025).
Konsekvenser och motåtgärder
Rapporten listar flera tekniska och organisatoriska åtgärder som särskilt sårbara sektorer bör vidta:
• Användning av distribuerade innehållsnätverk (CDN)
• Lagerbaserat DDoS-skydd
• Webbapplikationsbrandväggar (WAF)
• Incidentplanering och kontinuitetsövningar
Trots rättsliga insatser som Operation Eastwood – en internationell insats mot hacktivister i juli 2025 – bedöms effekten vara temporär (Insikt Group, 2025).
Kontext – cyberkrigets skuggsida
NoName057(16) är en del i en större rysk strategi för “proxy-krigföring”, där statsstödda aktörer agerar utan formell koppling till Kreml. Genom att inrikta sig på civil och kritisk infrastruktur – samtidigt som man bedriver informationskrigföring i Telegram-kanaler – förskjuts cyberkriget allt mer in i den gråzon där traditionella gränser mellan militärt och civilt suddas ut (Insikt Group, 2025).
Slutsats
Insikt Groups analys visar att NoName057(16) är en strategisk aktör med tillgång till sofistikerade resurser och tydliga mål. Att Sverige finns bland de mest attackerade länderna understryker behovet av kraftigt utökad cybersäkerhet, särskilt inom offentlig sektor, transport och infrastruktur.
Sammanfattning
• NoName057(16) är en pro-rysk hacktivistgrupp med ett avancerat DDoS-nätverk.
• 3 776 mål attackerades under ett år, främst offentliga myndigheter.
• Sverige är ett av de fem mest attackerade länderna.
• Tekniken visar på stark organisation och möjlig statlig koppling.
• Skyddsåtgärder som WAF, CDN och incidentplanering är avgörande.
• Operationer som Eastwood har kortsiktig effekt mot denna typ av nätverk.
⸻
Källförteckning
1. Insikt Group, “Anatomy of DDoSia: NoName057(16)’s DDoS Infrastructure and Targeting”, 17 juli 2025
2. Insikt Group, “NoName057(16) Telegram and DDoS Ecosystem”, 28 januari 2025