Désinformation
Analyse de la menace

Moscou s'en mêle, décryptage des opérations informationnelles russes à travers les outils et méthodes de la CTI

Meunier Anais
Analyste - OWN-CERT
Doppelgänger, Invisible Ink, RRN… Depuis l’invasion de l’Ukraine par la Russie, le 24 février 2022, les opérations d'ingérence informationnelle ciblant l'Europe et les États-Unis, pour leur soutien et l'aide fournie à l'Ukraine, se sont multipliéesOWN Security

Introduction

Doppelgänger, Invisible Ink, RRN… Depuis l’invasion de l’Ukraine par la Russie, le 24 février 2022, les opérations d'ingérence informationnelle ciblant l'Europe et les États-Unis, pour leur soutien et l'aide fournie à l'Ukraine, se sont multipliées. Elles se sont diversifiées et sophistiquées pour exploiter diverses opportunités, telles que les élections, les événements sportifs ou encore le conflit Israël-Hamas, avec des succès variables.

Depuis cette période, les services des États concernés, les ONG, les plateformes numériques ainsi que des entreprises spécialisées dans le renseignement sur les menaces cyber (Cyber Threat Intelligence ou CTI) ont régulièrement mis en lumière et enquêté sur ces campagnes. On observe d’ailleurs une montée en puissance des éditeurs de CTI, qui publient de plus en plus d’analyses attribuant ces opérations informationnelles à la Russie.

Les liens entre cyberattaque classique et manipulation de l'information sont aussi davantage explorés et étudiés. Dès 2017, Kevin Limonier et Colin Gérard, chercheurs à Géode, dans un article intitulé « Guerre hybride dans le cyberespace1 », analysent une opération de hack & leak visant l’équipe de campagne d’Hillary Clinton. Cette attaque, attribuée à APT 28, un groupe d'acteurs alignés sur les intérêts russes, avait pour objectif de favoriser l'élection de Donald Trump. L'opération avait débuté par une cyberattaque classique : une opération d'ingénierie sociale permettant à l'attaquant de pénétrer les réseaux du Parti démocrate. Au-delà des nombreux éléments éclairant le comportement de la Russie dans le domaine cyber, Limonier et Gérard mettent en évidence l’utilisation d’une attaque sur un système d’information comme première étape d'une campagne informationnelle.

Le présent article a également pour objet de montrer que les opérations informationnelles font largement partie du domaine cyber et qu’elles peuvent, de ce fait, être étudiées, caractérisées et anticipées à l’aide des outils et méthodes de la CTI.  

Ces méthodes permettent de modéliser les opérations informationnelles russes répertoriées depuis 2022, afin d’en comprendre les structures et les interactions.

La particularité des opérations russes

Doppelgänger illustrent les spécificités des opérations informationnelles menées par la Russie. Selon le chercheur Colin Gérard2, la stratégie informationnelle russe est profondément ancrée dans l'héritage soviétique, où le contrôle de l'espace informationnel et les actions d'influence externe étaient déjà prioritaires. Après avoir consolidé son emprise sur les médias russes dans les années 2000, le Kremlin a orienté ses efforts vers l'extérieur, réagissant aux menaces perçues en développant une stratégie offensive au service de sa politique étrangère. Cette approche, mise en œuvre par divers acteurs étatiques et non étatiques, combine diplomatie publique et opérations clandestines, rendant difficile la détection de ces activités et renforçant la perception d'une menace informationnelle omniprésente.

Par ailleurs, il est compliqué de déterminer précisément le périmètre de ces opérations, car il n'existe pas réellement de playbook russe présentant un ensemble de TTPs récurrentes permettant de caractériser cet acteur. Camille François3, alors responsable de l’innovation chez Graphika, souligne la difficulté à définir le comportement de la Russie. En effet, cet acteur expérimente en permanence, teste de nouvelles approches et se renouvelle constamment. Un point intéressant de cet article est la description du changement de comportement de l'Internet Research Agency qui, en 2018, expérimente ce que Camille François appelle le « meta trolling » : des campagnes sur les réseaux sociaux conçues pour être découvertes et couvertes par les médias afin de raviver les débats polarisants et chaotiques autour de l’ingérence russe.

L’acteur russe démontre ainsi une capacité d’adaptation et une réactivité importantes, testant continuellement de nouvelles techniques. Il bénéficie également d’une certaine autonomie grâce à la délégation de ces campagnes à des acteurs tiers, ce qui lui permet d’expérimenter sans rendre directement compte au donneur d’ordre, qu’il s’agisse de réussites ou d’échecs. Cette approche lui permet également de mener des opérations rentables parallèles, tout en s’adaptant à l’actualité.

Les méthodes et les outils de la CTI appliquées aux opérations informationnelles

Dans le domaine de la Cyber Threat Intelligence (CTI), plusieurs méthodes permettent d’analyser et de comprendre les campagnes d'ingérence informationnelle, notamment lorsqu’elles sont supposément orchestrées par des acteurs étatiques.  

La modélisation de la CTI repose sur des nomenclatures ou ontologies4 spécifiques pour partager de l’information de manière standardisée.  

Tout d’abord, les étapes d’une attaque sont modélisées en tactiques, techniques et procédures (TTPs) par l’intermédiaire de matrices5.  Le travail des analystes en CTI est soutenu par deux matrices de référence en matière de TTPs : la matrice ATT&CK6 de la société Mitre, utilisée pour décrire les techniques d’intrusions dans les systèmes d’information, et la matrice DISARM7 de la fondation du même nom, dédiée aux campagnes de manipulation de l’information.

Ces modélisations des phases d’une intrusion ou d’une attaque avec un langage standardisé autorise le partage et la corrélation entre des éléments qui présentent des caractéristiques similaires, indépendamment des éléments techniques.  

Les TTPs sont au cœur de l’analyse en CTI. Elles caractérisent la manière dont une opération est conduite, du choix des cibles aux méthodes de diffusion de l’information manipulée. Lorsque ces TTPs sont récurrentes et suffisamment discriminantes, les analystes peuvent les imputer à une entité spécifique.

Les principales techniques observées

Au fil des mois, l'Intrusion Set Doppelgänger a évolué dans ses TTPs pour garantir sa persistance dans l'espace informationnel. On peut identifier deux campagnes distinctes :

  • La campagne initiale avec la campagne RRN proprement dite, débutant en février/mars 2022.
  • La campagne après l'été 2023, à la suite des sanctions de l'Union européenne contre deux sociétés russes (Struktura et Social Media Agency) impliquées dans la création de contenus pour RRN. Cette période marque un changement dans les TTPs et l’apparition de campagnes plus sophistiquées, adaptant les méthodes aux nouvelles conditions imposées par les sanctions.

Les principales techniques utilisées par cet intrusion set sont présentées ci-dessous ainsi que leur équivalence dans la matrice DISARM.

  • Clones de sites de presse connus (Le Monde, Der Spiegel, le Washington Post, etc.) ou de sites gouvernementaux (ici, France Diplomatie, le site du ministère des affaires étrangères). T0099.002 Parodier, imiter des comptes, des sites| Spoof/Parody Account/Site 8.

Figure 1. Capture d'écran d'un clone du site Der Spiegel (26/06/2024 - OWN-CERT)
Figure 2. Extrait de RRN, une campagne numérique de manipulation de l'information, p. 12 (2023 - VIGINUM)
  • Création de faux sites (anti Ukraine,pro-russes, etc.). T0013 : créer des sites webs inauthentiques | CreateInauthentic Websites.
Figure 4. Captures d'écran des sites RRN et War on Fakes (source : OWN-CERT, 20/08/2024)
  • Incidents hybrides comme les étoiles de David9. Lors de ces incidents, des actions dans la vie réelle sont perpétrées (ici, des étoiles de David bleues sont tagguées sur des murs et l’information est ensuite reprise soit « artificiellement » sur les réseaux et sites de Doppelgänger, soit « naturellement » lorsque l’information est relayée par la presse). T0057.002 : conduire des actions symboliques | Conduct Symbolic Action10.
  • Amplification des campagnes par la publication de commentaires sur les réseaux sociaux par de faux comptes (Meta ou X). T0116.001 : publier des commentaires inauthentiques sur les réseaux sociaux | Post inauthentic social media comment.
Figure 5. Source : Schliebs, Marcel. « Deutschland im Fokus der pro-russischen Desinformationskampagne “Doppelgänger” ». Technischer Bericht zur Analyse des Auswärtigen Amts. Auswärtiges Amt, 5 juin 2024, p. 12
  • Dissimulation de l’origine des contenus : cette technique employée par Doppelgänger consiste à diffuser uniquement une adresse web ou la vignette d’un post, plutôt que les mots d'un message, afin d'entraver les recherches de ces artefacts. Sur X, les URL des articles partagés n’apparaissent pas dans le tweet qui ne présentent plus qu’une vignette de l’article ou du post cité. Ainsi, les analystes ne peuvent faire de recherche sur X par mot-clé afin de détecter la publication coordonnée de contenus. Cette technique pourrait être décrite ainsi par DISARM : T0129.009 : Supprimer les origines d’une publication | Remove Post Origins.

Une autre technique de dissimulation utilisé par cet intrusion set consiste à rediriger les internautes à travers une série de sites web apparemment aléatoires jusqu'à ce qu'ils arrivent à un article trompeur11 : T0123.004 : opérer une redirection de serveur | Conduct Server Redirect.

Figure 6. Publication d'articles dans les commentaires de comptes (source : Writing with Invisible Ink, 27/03/2024, p. 8)
  • Achat de publicités sur les réseaux sociaux : si les achats d’espace publicitaires étaient d’abord utilisés afin de donner de la visibilité aux articles publiés sur des sites typosquattés, les publications les plus récentes (depuis 2024 notamment) servent d’abord de support aux récits idéologiques portés par l’intrusion set : l’Ukraine est corrompue, le président Macron est faible, le soutien à l’Ukraine augmente le coût de la vie, etc. T0114.001 : Sponsoriser du contenu sur les réseaux sociaux | Social media
Figure 7. Capture d'écrans de publicités sur la plateforme META créées par Doppelgänger (source : OWN-CERT, 27/05/2024)

La modélisation STIX

Une deuxième étape de modélisation permet, cette fois-ci, de s’intéresser aux éléments techniques. Il s’agit de décrire, de manière standardisée encore une fois, les informations techniques, les cibles de l’attaque ou de l’intrusion et les acteurs de celle-ci, sous forme d’objets et de relations entre ces objets. Pour ce faire, on utilise la nomenclature STIX12 (Structured Threat Information eXpression). Ce langage permet le partage automatisé de connaissances sur les menaces cyber. Il sert également de base conceptuelle, car il définit les termes clés et les relations entre ces termes, tels que campagnes, incidents, threat actors, infrastructures, etc., pour décrire les menaces cyber.

Doppelgänger, un intrusion set

Selon la définition STIX 2.1, un Intrusion Set désigne un ensemble de comportements et de ressources adverses coordonnés par une organisation ou entité unique. Contrairement à une campagne, qui se concentre sur des attaques spécifiques et limitées dans le temps pour atteindre un objectif précis, un Intrusion Set regroupe l’ensemble des ressources, techniques et tactiques utilisées à long terme pour mener plusieurs campagnes distinctes. Ces activités sont liées par des attributs communs qui pointent vers un même acteur de la menace, même si cet acteur reste parfois difficile à identifier avec précision.

Un Intrusion Set peut rester actif sur plusieurs années, changer de forme ou d’objectif, mais il conserve une cohérence dans ses caractéristiques, ce qui rend son attribution complexe.  

Doppelgänger correspond à cette définition puisqu'il englobe plusieurs campagnes (comme Invisible Ink et Overload), partagent des ressources, des techniques et des objectifs communs. Ces campagnes visent toutes à manipuler l’information et à entraver le soutien à l’Ukraine, en s’appuyant sur les mêmes infrastructures techniques et réseaux de diffusion, malgré les différentes formes que prennent les opérations. L’Intrusion Set Doppelgänger se distingue ainsi par une continuité d'activité à travers plusieurs opérations, ce qui en fait un ensemble cohérent et persistant.

La Russie s’emmêle, panorama des campagnes informationnelles russes

RRN (CAMPAGNE – mars 2023 - juillet 2023)

Cette campagne fondatrice débute à la suite de l’invasion de l’Ukraine par la Russie. Elle a été documentée par EuDisinfolab, Meta13 ou bien encore Viginum14. Elle s’appuie notamment sur le média Reliable Russian News15 (RRN), qui lui donne son nom. Cette campagne exploite des pages web typosquattées de médias reconnus (Der Spiegel, Le Parisien, etc.), des réseaux de faux comptes sur Facebook, ainsi qu'une série de sites inauthentiques. Tous ces éléments coordonnés visent à donner de la visibilité aux récits et artefacts de la campagne. Elle est marquante tant par la variété de ses techniques (création de faux commentaires, pages typosquattées de média ou de sites officiels, faux médias, exploitation de mèmes, caricatures, sondages en ligne, dessins animés, vidéos Youtube, comptes de bots, fausses publicités Facebook, etc.) que par la densité de son infrastructure. En effet, la campagne RRN, telle que décrite et modélisée par VIGINUM, recense plus de 200 noms de domaines typosquattés et une quinzaine de sites inauthentiques, ainsi que des comptes de bots créés par les sociétés russes Structura, ASD et Ano Dialog

Invisible Ink (CAMPAGNE - août 2023 - 202X)

Documentée notamment par la société Alethea dans un rapport intitulé Writing with Invisible Ink16 et par la société Sekoia.io sous le nom Master of Puppets17, cette campagne est surtout connue pour ses techniques de dissimulation de contenus, largement exploitées dans d'autres campagnes telles que Overload. Documentée par ces éditeurs de CTI en 2024, cette campagne semble débuter en août 2023. Après la publication des rapports sur la campagne RRN et les sanctions de l'Union européenne contre deux sociétés russes (Structura et Social Media Agency) impliquées dans la création de contenus pour RRN, Doppelgangland adapte ses TTPs en utilisant des URL obfusquées et les fonctionnalités de X pour masquer son origine et diffuser de la propagande anti-ukrainienne.

L’une de ces techniques consiste à diffuser uniquement une URL, plutôt que le texte du message, afin d'entraver la recherche de ces artefacts. Cette tactique de dissimulation décrite plus haut permet d’échapper à la détection et de persister dans l’environnement informationnel18.

Invisible Ink illustre également la concentration des efforts de la Russie pour ralentir l’aide à l'Ukraine en provenance de l’Europe et des États-Unis. En effet, elle a ciblé ces derniers avec des contenus variés et multiplateformes destinés à un public conservateur, notamment les Républicains occupant des postes dans l'appareil d'État. Pour ce faire, elle s’est appuyée sur des narratifs conservateurs, jouant sur la peur de l’immigration ou sur le coût de l’aide à l’Ukraine.

Parmi les TTPs remarquables de cette campagne, trois techniques se distinguent particulièrement :

  • L’utilisation de comptes jetables à courte durée de vie sur X : Ces comptes, créés par des fermes de bots, publient le matériel de la campagne (généralement un article de presse soutenant ses objectifs). Lorsque ce matériel est repris par un autre compte (souvent un autre bot ou un compte associé à la campagne), le premier post est effacé pour dissimuler son origine.
  • L'implantation dans des réseaux sociaux spécifiques comme Truth Social : Ce réseau social, fondé par Trump et principalement fréquenté par un public conservateur aux États-Unis, permet de diffuser des contenus moins censurés. Pendant ce temps, des comptes jetables publient des contenus éphémères sur X.
  • Un mode opératoire de redirection d’URL permettant de masquer le nom de domaine à travers une triple redirection d’un domaine jetable vers un domaine de redirection, puis l’URL de l’article a proprement parlé.

Overload (CAMPAGNE – août 2023 - 202X)

L'opération Overload19 est une campagne informationnelle russe complexe et à plusieurs niveaux, visant à diviser les sociétés occidentales, en particulier en France et en Allemagne, tout en modifiant l'opinion publique sur l'Ukraine. L'opération combine des campagnes d'e-mails ciblés, l'engagement sur les réseaux sociaux et la diffusion massive de contenus manipulés. Débutée en août 2023, elle a été révélée par le groupe d'activistes anonymes Antibot4Navalny en collaboration avec l'AFP. L'opération est structurée autour de la diffusion initiale de contenus sur des chaînes Telegram en russe, qui sont ensuite relayés sur des plateformes russes comme VKontakte et Odnoklassniki, ainsi que sur des sites alignés sur le Kremlin. Le contenu est ensuite propagé sur X via des comptes coordonnés pour cibler des journalistes, des institutions et des fact-checkers.  

La particularité d'Overload réside dans sa stratégie de surcharge : en multipliant les tactiques de diffusion, l'objectif est de submerger les experts en désinformation, les poussant à vérifier et à démystifier des contenus spécifiquement conçus pour les cibler. Cela vise également à exploiter ces professionnels pour amplifier les fausses allégations en les faisant circuler plus largement sous forme de vérifications de faits. Cette opération se distingue par sa capacité à donner l'illusion d'une diffusion organique et omniprésente de ces fausses informations en ligne, notamment grâce à l’utilisation de la technique d’ « amalgamation de contenu20» : la publication de vidéos et d'images trompeuses combinées pour créer une fausse histoire en un temps très court. Cette technique sophistiquée exploite des photomontages de graffitis repris dans des articles inauthentiques (médias pro-russes, sites d’information de la galaxie Pravda (cf. infra) ou faux sites se faisant passer pour des médias légitimes : Euronews, Deutsche Welle, etc.).

Figure 8. Capture d'écran d'un photomontage ridiculisant Paris accueillant les JO (Operation Overload, op. cit. p. 21)

L'opération Matryoshka21, quant à elle, est une sous-campagne découverte en janvier 2024. Elle se concentre principalement sur la manipulation de comptes X possiblement compromis ou inactifs pour diffuser des récits pro-russes et discréditer l'Ukraine, avec pour cible principale les journalistes occidentaux. La différence clé réside dans le fait qu'Overload se concentre sur la surcharge des experts via une combinaison de canaux publics et privés (e-mails). Par ailleurs, cette sous-campagne a spécifiquement visé les Jeux olympiques de Paris 202422 avec des vidéos crées pour diffuser un sentiment de peur et dissuader les touristes ou les amateurs de se rendre à Paris pendant l’été.

CopyCop (CAMPAGNE – août 2023 – 202X)

CopyCop23 n’est pas à proprement parler une campagne liée à l'intrusion set Doppelgänger. Rattachée à Storm-1516 par Microsoft et dénommée False Façade24 par le Service européen pour l’action extérieure (SEAE), cette campagne s’articule autour d’un réseau de sites affiliés à la Russie, utilisé pour "blanchir" l’information à destination d’une audience occidentale. Le circuit de blanchiment suit généralement ce schéma : les articles, souvent des traductions automatiques de médias d’État russes, sont d'abord publiés sans mention de leur source originale. Ils sont ensuite relayés sur des chaînes Telegram, des publications sur Medium, ou encore sur des plateformes grand public comme Facebook ou X. Enfin, ces informations sont réintégrées sur les médias d’État russes. De plus, ce mode opératoire repose en partie sur des ressources issues de l’infrastructure Portal Kombat.  

Au-delà de la similarité de certaines techniques (exploitation de la crédibilité de certains médias), les récits ( la corruption du président Zelensky ou ses problèmes de drogues ont été auparavant utilisés lors de la campagne RRN),  et des publics visés (Europe et États-unis), l’activité de CopyCop s’inscrit dans une dynamique plus large des opérations d’influence russes clandestines au cours des six derniers mois, incluant notamment les sites liés à Doppelgänger et Portal Kombat, ce qui suggère une potentielle interconnexion entre ces campagnes.  

Portal Kombat25 (INFRASTRUCTURE)

Ce réseau de sites coordonné diffusant des contenus pro-russes a d’abord visé un public russe, puis son « étranger proche26 » et enfin les pays occidentaux.  Cette infrastructure est constituée de près de 200 sites, regroupés en trois écosystèmes différents. Ainsi, l’écosystème Pravda est toujours actif et continue de produire des ressources visant un public extra-européens : Taïwan, le Japon ou certains publics africains sont désormais visés par celui-ci.

Figure 9. Capture d'écran de la page d'accueil du site Pravda-Burkina Faso (source : OWN-CERT, 09/09/2024)

Bad Grammar (SOUS CAMPAGNE – printemps 2024)

Les éléments rapportés par OpenAI ne sont pas directement associés à Doppelgänger. Le rapport d'OpenAI de mai 2024 sur les opérations d'influence exploitant ses ressources a mis en lumière des activités de création de contenus publiés en commentaires sur des chaînes Telegram en anglais et en russe.

Le OWN-CERT estime, avec un niveau de confiance modéré, que les TTPs et récits observés partagent des caractéristiques notables avec ceux de l’intrusion set Doppelgänger. Les récits relevés par OpenAI, visant à affaiblir le soutien à l'Ukraine, montrent des objectifs et une infrastructure similaires à Doppelgänger. De plus, l'adaptation des récits à l'actualité locale rappelle fortement les stratégies employées dans les publicités Meta liées à Doppelgänger.

Le OWN-CERT suppose que ces éléments constituent une sous-campagne d’Invisible Ink adaptant ses TTPs de dissimulation à Telegram. D'ailleurs, OpenAI souligne l'exploitation de son IA générative dans cette campagne.

La création de contenu en anglais sur Telegram a ciblé les États-Unis, en exploitant les récits de corruption du gouvernement ukrainien et de son président. Les contenus publiés sur les chaînes américaines incluaient aussi des thèmes anti-immigration et des critiques sur le coût de la vie, similaires à ceux observés dans Invisible Ink. Par ailleurs, les récits en russe ont visé la Moldavie et les États baltes avec des thèmes analogues.  

Figure 10. Capture d'écran d'un commentaire Telegram imputé à Bad Grammar ; capture d'écran d'une fausse publicité Meta, imputée à Doppelgänger (sources : Rapport Open AI ; OWN-CERT)

Conclusion

L’objectif de cet article est de clarifier les différents niveaux d'organisation, en distinguant notamment les campagnes de l'Intrusion Set qui les soutient. L'Intrusion Set Doppelgänger désigne l'ensemble des infrastructures, tactiques et contenus utilisés pour cibler les pays soutenant l'Ukraine. Cependant, l’acteur qui orchestre réellement ces opérations, désigné comme Threat Actor dans l’ontologie STIX, reste encore à identifier précisément. Contrairement à un Intrusion Set, un Threat Actor peut orchestrer plusieurs Intrusion Sets au fil du temps et mobiliser diverses ressources en soutien à des objectifs politiques, comme dans ce cas, le soutien à la Russie et la justification de l'invasion de l'Ukraine.

En distinguant clairement l’Intrusion Set Doppelgänger et le Threat Actor que je nommerai Doppelgangland, on comprend mieux la structure et la continuité de ces opérations au fil du temps. Cette distinction est cruciale pour appréhender les mécanismes derrière ces campagnes informationnelles.

Le nom Doppelgangland27, inspiré du terme allemand "doppelgänger" (sosie ou double) et de "gangland" (milieu criminel organisé et secret), désigne un acteur particulièrement flexible et insaisissable. Contrairement à d’autres acteurs plus statiques, Doppelgangland adapte en permanence ses TTPs pour échapper à la détection et maximiser l'impact de ses opérations. Il exploite l’Intrusion Set Doppelgänger pour mener des campagnes de désinformation, diffusant la propagande pro-russe et cherchant à réduire le soutien à l'Ukraine.

Notes de bas de page

[1] Kévin Limonier et Colin Gérard, «Guerre hybride russe dans le cyberespace», Hérodote 166‑167, no3‑4 (2017) : 145‑63, https://doi.org/10.3917/her.166.0145.

[2] Colin Gérard, « La stratégie d’influence informationnelle de la Russie en France : acteurs, pratiques et circulation » (Thèse de doctorat, Saint-Denis, Université Paris 8, 2023).

[3] Camille François, «Moving Beyond Fears of the ‘Russian Playbook’», Lawfare (blog), 15 septembre 2020, https://www.lawfaremedia.org/article/moving-beyond-fears-russian-playbook.

[4] En informatique, une ontologie est une représentation structurée des connaissances dans un domaine spécifique. Elle définit un ensemble de concepts, leurs relations, ainsi que les règles qui les régissent. Utilisée pour organiser et interconnecter des données dans des bases de données ou des systèmes d'information, l'ontologie permet une compréhension partagée et standardisée des informations, facilitant ainsi le partage, la réutilisation et l'interopérabilité des données entre différentes applications ou organisations.En ce sens, le langage STIX est une base de données.

[5] Pour en savoir plus sur DISARM : https://m82-project.org/articles/disarm_cti/disarm_cti/.

[6] « MITRE ATT&CK® », consulté le 19 août 2024, https://attack.mitre.org/.

[7] «DISARM Foundation», consulté le 19août 2024, https://www.disarm.foundation/.

[8] «T0099.002 : Parodier, imiter des comptes, des sites | Spoof/Parody Account/Site Il s’agit de parodier/imiter un compte de réseau social ou de typosquatter un nom de domaine. Le typosquatting est un mode opératoire qui consiste à enregistrer des noms de domaine avec des noms délibérément mal ortographiés de sites web connus pour trompeur des internautes peu avertis. Exemple : la campagne RRN/Doppelgänger.”

[9]« Star of David Graffiti in Paris- the Russian Connection », 8 novembre 2023, https://www.bbc.com/news/world-europe-67360768.

[10] Il s’agit d’actions visant à envoyer un message particulier à une audience ciblée.

[11] Anaïs Meunier, OWN-CERT, «L’Empire contre-attaque :un nouvel AS pour Doppelgänger», 12 juillet 2024, https://www.own.security/ressources/blog/un-nouvel-as-pour-doppelganger.

[12] «STIX Version 2.1», OASIS Open(blog), consulté le 19 août 2024, https://www.oasis-open.org/standard/stix-version-2-1/.

[13] Ben Nimmo et Mike Torrey, « Taking down coordinated inauthentic behavior from Russia and China », Coordinated Inauthentic Behavior Report(Meta, septembre 2022), https://about.fb.com/wp-content/uploads/2022/11/CIB-Report_-China-Russia-Sept-2022.pdf.

[14] Viginum, « RRN : une campagne numérique de manipulation de l’information complexe », 19 juin 2023, https://www.sgdsn.gouv.fr/files/files/20230619_NP_VIGINUM_RAPPORT-CAMPAGNE-RRN_VF.pdf.

[15] Le site existe encore aujourd’hui sous le nom de ReliableRecent News.

[16]A lathea, « Writing with InvisibleInk », 27 mars 2024, https://ink-alethea.s3.us-east-2.amazonaws.com/Alethea-Writing-With-Invisible-Ink.pdf.

[17] Sekoia TDR et al., « Master of Puppets: Uncovering the DoppelGängerpro-Russian Influence Campaign », Sekoia.Io Blog (blog), 21 mai2024, https://blog.sekoia.io/master-of-puppets-uncovering-the-doppelganger-pro-russian-influence-campaign/.

[18] A. Meunier, OWN-CERT, «L’Empire contre-attaque :un nouvel AS pour Doppelgänger».

[19] Aleksandra Atanasova et al.,« Operation Overload: How pro-Russian Actors Flood Newsrooms with FakeContent and Seek to Divert Their Efforts » (Check First, 4 juin 2024), https://checkfirst.network/operation-overload-how-pro-russian-actors-flood-newsrooms-with-fake-content-and-seek-to-divert-their-efforts/.

[20] Alathea, «Writing with Invisible Ink».

[21] « What Is the Doppelganger Operation? List of Resources », EU DisinfoLab (blog), consulté le 5 septembre 2024, https://www.disinfo.eu/doppelganger-operation/.

[22] De nombreux incidents ont ainsi visé les JOP : une vidéo prétendument publiée par la CIA, par la BBC ou bien encore par Netflix reprenant l’image de Tom Cruise ou d’Elon Musk: Mathur, Lakshya,et Karnik Karnik. «Olympics Has Fallen – A Misinformation Campaign Featuring a Voice Cloned Elon Musk». McAfee Blog (blog), 26 juillet 2024. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/olympics-has-fallen-a-misinformation-campaign-featuring-elon-musk.

[23] Recorded Future et Insikt Group, « Russia-Linked CopyCop Uses LLMsto Weaponize Influence Content at Scale » (Recorded Future, 9 mai 2024).

[24] SEAE, « Operation False Façade: Insights from a FIMI InformationLaundering Scheme », Technical Report on FIMI Threats (SEAE, avril 2024), https://euvsdisinfo.eu/uploads/2024/05/EEAS-TechnicalReport-False-Facade.pdf.

[25] Viginum, « Portal Kombat : un réseau structuré et coordonné de propagande pro russe » (SGDSN, 12 février2024), http://www.sgdsn.gouv.fr/publications/portal-kombat-un-reseau-structure-et-coordonne-de-propagande-prorusse.

[26] Le terme d' « étranger proche » est utilisé en Russie pour désigner les quatorze autres ex-républiques soviétiques.

[27] Doppelgangland est inspiré du titre du 16e épisode de la saison 3de la série télévisée Buffy contre les vampires.

[28] United States District Court, «In TheUnited States District Court for The Eastern District of Pennsylvania UnitedStates of America vs Certain Domains», Case No.: 24-mj-1395 § (2024), https://www.justice.gov/opa/media/1366261/dl.

Partager l'article :

Your OWN cyber expert.