Doppelgänger : des opérations de désinformation et de cybercriminalité se recoupent

Les opérations de désinformation orchestrées par le réseau Doppelgänger s’appuient sur un large réseau d’activités criminelles et de publicités par affiliation, montre un nouveau rapport de l’ONG suédoise de défense des médias Qurium, qui a enquêté en partenariat avec les médias Correctiv et Investigaze, ainsi qu’avec le réseau d’opposants russes Antibot4Navalny.

Depuis 2022, la campagne de désinformation diffuse des éléments de propagande pro-russe dans de nombreux pays européens ainsi qu’aux États-Unis, en Israël, en Ukraine et en Russie. Sa tactique principale : diffuser de faux articles de médias bien implantés (Le Point, Le Parisien, etc), à l’aide de réseaux de faux comptes sur des réseaux comme X ou Facebook.

Après avoir aidé EUDisinfoLab à opérer ses premières révélations sur le réseau, l’ONG Qurium a continué d’analyser le fonctionnement de ses opérations en se focalisant sur les infrastructures utilisées.

Elle rapporte que DoppelGänger utilise les mêmes tactiques de distribution que celles utilisées pour diffuser des malwares ou des sites de phishing : des milliers de noms de domaines jetables, créés pour passer outre les filtres mis en place par les plateformes sociales.

Ces noms de domaine achetés en continu permettent de rediriger les internautes vers des sites de propagande, dont les noms de domaines sont à leur tour abandonnés une fois qu’ils sont détectés.

Qurium a réussi à remonter la chaîne jusqu’au service TNSecurity, installée au Royaume-Uni, et dont l’hébergement a été utilisé pour diffuser des sites dédiés à la diffusion de virus ou au vol d’identifiants. Elle repère par ailleurs des liens avec l’entreprise GIR (Global Internet Solutions LLC), dont les activités ont été liées (.pdf) à certaines opérations du groupe de pirates-espions Gamaredon, soupçonné d’être lié aux services de renseignement russes.

Qurium souligne aussi les liens de ces diverses opérations au groupe Aeza, déjà associé à l’hébergement et la gestion de divers malwares, parmi lesquels Mystic, Lumma ou Meduza.

Comme le souligne Le Monde, ça n’est pas le premier cas dans lequel infrastructures de désinformation et de cybercriminalité se rejoignent : fin 2023, Reset Tech identifiait un vaste réseau de fausses pages Facebook, utilisé aussi bien pour diffuser des contenus de la campagne Doppelgänger que des publicités frauduleuses d’arnaques aux cryptoactifs.

• Élections européennes : Meta échoue à modérer des publicités de propagande pro-russe