Comment le même écosystème alimente les campagnes de désinformation et la cybercriminalité

Sites de désinformation relayant le langage du Kremlin, clients des mêmes hébergeurs bâclés et prestataires peu scrupuleux que des développeurs de logiciels malhonnêtes : un nouveau rapport, publié jeudi 11 juillet par l’ONG de défense des médias Qurium, révèle comment les auteurs d’une campagne de désinformation, le réseau russe « Doppelgänger », s’appuient sur les mêmes infrastructures techniques que les groupes cybercriminels.

Depuis près de deux ans, chercheurs, journalistes, autorités et entreprises privées suivent de près le développement de Doppelgänger, une vaste campagne en ligne visant à diffuser la propagande russe en Europe, mais aussi aux États-Unis, en Russie, en Ukraine et en Israël. Sa tactique, observée notamment au début de l’opération, consiste à créer de faux sites se faisant passer pour de vrais sites d’information français, allemands, britanniques, etc. Le monde.

Doppelgänger regroupe avant tout des réseaux de faux comptes X et Facebook, utilisés quotidiennement depuis deux ans pour tenter de diffuser du contenu de propagande au plus grand nombre – la plupart du temps sans gagner d’audience. Ils ne servent pas seulement à republier de faux articles du Indiquerde Parisien ou Mondemais aussi d’amplifier l’audience de vidéos ou d’articles créés par d’autres acteurs ayant des liens plus ou moins lâches avec les autorités russes.

Depuis plusieurs mois, Qurium scrute la machinerie complexe utilisée par cette campagne, attribuée à une poignée de sociétés marketing russes – privées mais soupçonnées d’opérer pour le compte du Kremlin. Car pour déjouer la vigilance de Facebook ou Twitter, qui déploient des filtres pour bloquer automatiquement ces publications, Doppelgänger a mis en place un système qui repose, entre autres, sur l’achat continu de dizaines de milliers de noms de domaine. Chacun d’entre eux n’est utilisé que quelques jours, le temps de rediriger les internautes vers des sites de propagande, avant d’être abandonné une fois détecté. Or, selon l’enquête de Qurium, la grande majorité de ces noms de domaine sont hébergés par des acteurs également utilisés par des infrastructures criminelles.

Un conglomérat de fournisseurs d’hébergement

L’ONG suédoise a ainsi remonté la trace de Doppelgänger jusqu’à TNSecurity, un service d’hébergement qui a également été utilisé par des malwares utilisés pour voler des identifiants ou installer des virus. Les chercheurs ont également remarqué que certains de ces noms de domaine étaient liés à GIR-AS, ​​une société dont les services avaient été utilisés dans certaines opérations de Gamaredon, un groupe de hackers fortement soupçonné d’être lié aux services de renseignement russes.

Plusieurs des entreprises identifiées par Qurium semblent appartenir à un grand conglomérat de fournisseurs de services secrets appelé Aeza, utilisé à la fois par Doppelgänger et par des infrastructures de malwares connues sous les noms de Lumma et Meduza. Un conglomérat qui, malgré ses origines russes, parvient apparemment à s’implanter en Europe de l’Ouest, notamment en créant des sociétés ayant une existence légale au Royaume-Uni. « L’enquête de Qurium montre qu’il existe un chevauchement évident entre l’infrastructure utilisée pour la désinformation et une série d’activités cybercriminelles. »explique l’ONG dans un communiqué.

Ce n’est pas la première fois que l’on constate que les chaînes de production des acteurs de la désinformation et de la cybercriminalité partagent certains liens. En 2023, l’ONG Reset Tech a identifié un vaste réseau composé de plus de 242 000 fausses pages Facebook, dont une petite partie servait à diffuser des publicités frauduleuses. Derrière, se trouvait probablement un acteur proposant des pages Facebook clés en main nécessaires à la mise en place de campagnes et d’arnaques. Parmi elles, de faux articles de presse vantant des investissements miraculeux dans des actifs cryptographiques – en réalité des arnaques à l’investissement, sur lesquelles Le monde Comme le rapport Reset l’avait souligné à l’époque, de nombreuses publicités de la campagne Doppelgänger utilisaient des pages Facebook appartenant à ce réseau.