Operazione Eastwood: colpito il gruppo cybercriminale filorusso NoName057(16), italiani coinvolti

Una complessa operazione di polizia internazionale, denominata Eastwood, ha colpito il gruppo di cybercriminali filorussi NoName057(16), attivo dal 2022 e ritenuto responsabile di migliaia di attacchi informatici DDoS contro infrastrutture pubbliche e private in Europa e in altri Paesi che supportano l'Ucraina.

Coordinata da Europol ed Eurojust, con il coinvolgimento delle autorità giudiziarie e investigative di 12 Paesi, l'azione ha avuto luogo tra il 14 e il 17 luglio 2025 e ha portato a due arresti, sette mandati internazionali di cattura, oltre 24 perquisizioni e la disattivazione di oltre 100 server utilizzati dalla rete.

Il gruppo NoName057(16), nato all'indomani dell'invasione russa dell'Ucraina, si distingue per una struttura decentralizzata composta da simpatizzanti, reclutati attraverso canali Telegram e forum legati al mondo del gaming o dell'hacktivism. Gli attacchi sono realizzati tramite strumenti come DDoSia, un software che consente anche a utenti non esperti di partecipare alle campagne contro obiettivi designati.

Secondo le autorità, la rete conta più di 4.000 sostenitori attivi, molti dei quali reclutati attraverso una dinamica di gamification che prevede premi in criptovaluta, classifiche e riconoscimenti simbolici per i partecipanti più attivi. Gli obiettivi principali sono stati siti governativi, banche, infrastrutture critiche, aziende energetiche e media in vari Paesi europei, tra cui Italia, Germania, Svezia, Svizzera, Paesi Bassi, Polonia e Ucraina.

In Italia, l'attività investigativa è stata coordinata dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) e dalla Procura della Repubblica di Roma, con la collaborazione della Polizia Postale. Le indagini hanno portato all'identificazione di cinque soggetti italiani, sospettati di aver partecipato direttamente agli attacchi e di aver contribuito alla gestione dell'infrastruttura tecnica del gruppo. Le autorità italiane hanno eseguito perquisizioni domiciliari e stanno valutando ulteriori posizioni.

I membri principali dell'organizzazione, secondo le autorità tedesche, risiederebbero in Russia, motivo per cui sei dei sette mandati di arresto europei sono indirizzati a cittadini russi, due dei quali considerati i coordinatori del gruppo. Nonostante l'intervento abbia inflitto un duro colpo alla rete, le autorità non escludono una ricostruzione dell'infrastruttura, già in parte tentata dai membri attivi.

Durante l'azione coordinata, sono stati notificati oltre 1.000 messaggi a utenti coinvolti nelle attività del gruppo, compresi 15 amministratori, informandoli della responsabilità penale per la loro partecipazione. Tali messaggi, inviati via Telegram, fanno parte di una campagna di prevenzione e deterrenza promossa da Europol e rivolta soprattutto ai soggetti meno consapevoli delle implicazioni legali.

Europol ha supportato l'intera operazione con analisi forensi, tracciamento di criptovalute, attività di intelligence e il coordinamento logistico tra i Paesi membri. Eurojust ha invece agevolato le richieste di assistenza giudiziaria e le indagini incrociate tra le autorità coinvolte.

Tra i casi più noti attribuiti a NoName057(16) vi sono gli attacchi durante le elezioni europee, il Vertice per la pace in Ucraina in Svizzera e il Summit NATO nei Paesi Bassi. In Germania, il gruppo ha sferrato 14 ondate di attacchi che hanno coinvolto oltre 250 organizzazioni, tra cui aziende del settore difesa e istituzioni pubbliche.

L'operazione Eastwood rappresenta uno dei più ampi sforzi congiunti a livello europeo nel contrasto alla criminalità informatica con matrice geopolitica. Tuttavia, resta alta l'attenzione da parte delle autorità sull'evoluzione del gruppo, considerato ancora attivo su alcuni canali Telegram e in grado di riconfigurare parte della propria rete in breve tempo.