Tra il 14 e il 17 luglio 2025, le autorità di tredici Paesi, tra cui l’Italia, hanno preso parte a un’operazione internazionale coordinata da Europol ed Eurojust, denominata Operazione “Eastwood”, contro il collettivo filorusso NoName057(16), responsabile di numerosi attacchi informatici a sostegno della guerra russa in Ucraina.

L’operazione ha visto anche il coinvolgimento tecnico di soggetti privati come ShadowServer e abuse.ch, e il supporto di altri nove Stati, oltre all’assistenza di ENISA.

Infrastruttura interrotta e arresti eseguiti

Durante le attività operative, sono stati interrotti oltre 100 server e disattivata una parte consistente dell’infrastruttura centrale del gruppo. Le autorità hanno condotto 24 perquisizioni in diversi Paesi e disposto 7 mandati d’arresto, sei dei quali emessi dalla Germania nei confronti di cittadini russi.

Due arresti sono stati eseguiti in Francia e Spagna. Inoltre, più di mille affiliati al network sono stati identificati e notificati via app di messaggistica. Cinque soggetti legati al gruppo sono ora presenti tra i più ricercati dell’Unione Europea.

Italia tra i Paesi colpiti

Tra il 26 e il 27 dicembre 2024, il collettivo aveva colpito l’Italia con una serie di attacchi DDoS mirati a siti istituzionali. Sono stati resi temporaneamente inaccessibili i portali del Ministero delle Infrastrutture, del Ministero dello Sviluppo Economico, della Guardia di Finanza, delle Forze Armate, dei Carabinieri, della Marina Militare e del Ministero degli Esteri.

Anche i siti degli aeroporti di Linate e Malpensa sono stati coinvolti, senza però impatti sulle operazioni di volo. Le rivendicazioni sono arrivate tramite Telegram con il messaggio: “I russofobi italiani ricevono una meritata risposta informatica”.

Gli attacchi DDoS

Gli attacchi DDoS (Distributed Denial of Service) consistono nel sovraccaricare un sito o servizio online con un’enorme quantità di traffico generato artificialmente, utilizzando una rete di dispositivi compromessi (botnet), con l’obiettivo di bloccarne il funzionamento e renderlo inaccessibile agli utenti legittimi.

Nuova escalation nel febbraio 2025

Il collettivo è tornato a colpire nel febbraio 2025, lanciando attacchi contro istituti finanziari, come Mediobanca e Nexi, e industrie delle armi, come Franchi, Danieli, Fiocchi munizioni, Benelli, più l’Aci, l’Automobile club italiano e numerosi portali istituzionali, di aziende di trasporto locale, porti e aeroporti.

L’offensiva sembra essere stata una risposta diretta alle dichiarazioni del Presidente della Repubblica Sergio Mattarella, che aveva paragonato l’aggressione russa all’Ucraina all’espansionismo del Terzo Reich.

Coordinamento europeo e reazione condivisa

La neutralizzazione del collettivo NoName057(16) dimostra come la minaccia cibernetica di matrice russa e filorussa sia attiva, persistente e strategicamente orientata a colpire istituzioni e infrastrutture nei Paesi che sostengono l’Ucraina. In questo contesto, risulta fondamentale una risposta europea coordinata, che rafforzi la resilienza degli Stati membri contro le campagne di disinformazione e gli attacchi digitali. Il ruolo di Europol ed Eurojust si conferma determinante nel coordinare azioni sinergiche tra forze di polizia, autorità giudiziarie e partner privati a livello transnazionale, con l’obiettivo di prevenire, contenere e reprimere ogni forma di minaccia cibernetica, in un contesto sempre più segnato dalle dinamiche della guerra ibrida.