Depuis août 2023, une vaste campagne d’ingérence numérique, attribuée au réseau russe Storm-1516, cible les opinions publiques occidentales à travers des contenus manipulés, deepfakes et fausses informations. Ce rapport de VIGINUM dévoile les méthodes, relais et objectifs de cette opération, dont la finalité est de décrédibiliser l’Ukraine, perturber les processus électoraux et fragiliser la cohésion démocratique en Europe.
Depuis la fin de l’année 2023, VIGINUM observe et documente les activités d’un mode opératoire informationnel 1 russe susceptible d’affecter le débat public francophone et européen. Connu en source ouverte sous le nom de « Storm-15162 », ce MOI est actif a minima depuis le mois d’août 2023. Il est responsable de plusieurs dizaines d’opérations informationnelles ayant ciblé des audiences occidentales, dont française. S’appuyant sur l’analyse de 77 opérations informationnelles documentées par VIGINUM et conduites par Storm-1516 entre la date de son apparition supposée et le 5 mars 2025, ce rapport détaille les principaux narratifs et contenus employés, leur chaîne de diffusion, ainsi que les acteurs étrangers impliqués dans la conduite du MOI.
L’objectif principal de Storm-1516 semble être avant tout de décrédibiliser le gouvernement ukrainien, probablement dans l’espoir d’entraîner la suspension de l’aide occidentale à l’Ukraine dans le contexte de l’invasion de son territoire par la Russie. Le schéma de diffusion de Storm-1516 est particulièrement complexe et a évolué au fil du temps.
Ciblage historique de l’Ukraine
Depuis son apparition en août 2023, Storm-1516 semble avoir été prioritairement employé pour cibler les intérêts ukrainiens. Sur les 77 opérations informationnelles analysées par VIGINUM 3, 35 étaient destinées à porter atteinte à l’image de l’Ukraine, de ses dirigeants ou de leur entourage, en recyclant des narratifs employés par le gouvernement russe depuis la Révolution ukrainienne de 2014, ou en les adaptant à des faits d’actualité. VIGINUM a observé que ces opérations visaient avant tout à décrédibiliser l’Ukraine auprès d’audiences occidentales, dans l’optique de saper le soutien des populations européennes à l’assistance fournie dans le contexte de l’invasion à grande échelle de l’Ukraine par la Russie. Les narratifs propagés par Storm-1516 affirment, par exemple, que le gouvernement ukrainien soutient le terrorisme en recrutant des membres de l’État islamique pour aller combattre en Ukraine, ou encore en organisant des entraînements conjoints entre des membres du Hamas et du bataillon Azov 4.
Ils ciblent fréquemment la personne de Volodymyr ZELENSKY, accusé tour à tour d’être néo-nazi, toxicomane, homosexuel ou de critiquer en privé les dirigeants des principaux pays pourvoyeurs d’aide à l’Ukraine. L’entourage du président ukrainien est également pris pour cible par ces opérations, qui ont notamment accusé sa femme, Olena ZELENSKA, de prétendues malversations et trafics dont la population ukrainienne serait victime. Le narratif le plus récurrent a néanmoins consisté à accuser Volodymyr ZELENSKY et ses proches de détourner l’aide occidentale pour dépenser d’importantes sommes d’argent ou acquérir de luxueuses propriétés à l’étranger, notamment en vue de fuir l’Ukraine, présentée comme étant sur le point de perdre la guerre. Les opérateurs de Storm-1516 ont par ailleurs parfois créé des narratifs à rebondissements.
Une liste des 77 opérations informationnelles imputées par VIGINUM à Storm-1516 est disponible en annexe, section 6.1.
Ciblage des intérêts occidentaux
Les premières opérations de Storm-1516 ciblant des personnalités occidentales ont été conduites dès l’apparition du MOI, en août 2023. Début novembre 2024, Storm-1516 a par ailleurs diffusé une vidéo insinuant que Markus FABER, membre du Parti libéral-démocrate allemand et président de la Commission de défense du Bundestag, était un agent double russe8.
Capture d’écran de la vidéo de prétendus membres du Hamas narratif suggérant que le mode opératoire menaçant les JOP2024 informationnel russe RRN/Doppelgänger était en réalité conduit par le département d’État américain, avec la complicité de l’opposition russe en exil10. En Europe, les opérateurs du MOI semblent avoir privilégié des thématiques clivantes ou anxiogènes liées à l’immigration et au terrorisme, notamment en amont de grands événements. À titre d’exemple, Storm-1516 a diffusé en juillet 2024 une vidéo de prétendus membres du Hamas menaçant de conduire des attentats durant les JOP2024 11. En décembre 2024, le mode opératoire a partagé une vidéo suggérant qu’un migrant tchadien accusé de viol sur une mineure avait été relâché par la police française12.
Cf. https://ghostarchive.org/archive/IT3YV…
Ciblage de processus électoraux
Le 26 mai 2024, soit deux semaines avant les élections européennes, Storm-1516 a diffusé sur YouTube une vidéo accusant la présidente de la Commission européenne, Ursula VON DER LEYEN, d’avoir aidé une entreprise russe du secteur de la métallurgie à contourner les sanctions européennes imposées contre la Russie après l’invasion à grande échelle de l’Ukraine en 2022. La vidéo, qui mettait en scène une fausse activiste du parti écologiste allemand Die Grünen, a ensuite été amplifiée par des comptes à forte audience sur le réseau social X14.
CopyCop , qui participent directement aux opérations de Storm-1516 , ont enregistré dès le 19 juin 2024 le nom de domaine ensemble-24.fr, qui typosquattait le site officiel de la coalition « Ensemble » et usurpait son identité graphique16. Le faux site affirmait que la coalition proposait aux électeurs de recevoir une « prime Macron » d’une valeur de 100 euros en échange de leur voix. S’agissant des élections présidentielles américaines, les opérateurs de Storm-1516 semblent avoir investi des moyens plus importants pour tenter d’interférer dans le scrutin. En effet, entre les mois d’avril et novembre 2024, le MOI a été impliqué dans au moins douze opérations informationnelles ciblant le processus électoral américain, dont certaines ont été attribuées publiquement au gouvernement russe par les autorités américaines17.
Robert
Capture d’écran d’un site du réseau CopyCop diffusant un écologistes allemands. À partir de février 2025, les narratifs ont été réorientés sur la décrédibilisation du candidat conservateur Friedrich MERZ, sur la prétendue absence du parti d’extrême-droite Alternative für Deutschland sur des bulletins de vote, ainsi que sur la destruction de bulletins en faveur de l’AfD25. Une liste des noms de domaine imputés par VIGINUM à CopyCop est disponible en annexe, section 6.2.
Ciblage de l’opposition russe
Enfin, VIGINUM a identifié au moins quatre opérations informationnelles imputées avec une confiance élevée à Storm-1516 ciblant l’opposition russe en exil, et plus spécifiquement des personnalités liées à la Fondation pour la lutte contre la corruption d’Alekseï NAVALNY. À titre d’exemple, Storm-1516 a été employé pour accuser la veuve de l’opposant, Youlya NAVALNAÏA, d’entretenir une relation extra-conjugale avec le journaliste d’investigation bulgare Christo GROZEV 26, et pour affirmer que l’ancien président de la FBK, Léonid VOLKOV, avait été agressé en Lituanie par un ancien amant.
Des contenus fabriqués ou générés artificiellement
Les opérateurs de Storm-1516 emploient une large gamme de contenus pour diffuser leurs narratifs, dont des montages photo et vidéo, de faux reportages, des vidéos et audios probablement générés via des outils d’intelligence artificielle générative, ou encore des vidéos impliquant visiblement des acteurs amateurs. Ces contenus incluent notamment des textes et des voix en langues française, anglaise, ukrainienne, allemande, espagnole et arabe.
Deepfakes vidéos et vocaux
Depuis le mois de février 2024 a minima, les opérateurs de Storm-1516 semblent avoir eu recours à des outils permettant de générer des voix ou des images de manière artificielle. En octobre de la même année, le Washington Post révélait, à partir de documents obtenus auprès d’un service de renseignement européen, que le service de renseignement militaire russe avait aidé l’un des opérateurs du MOI à obtenir un serveur exploité pour la génération de textes, mais également de deepfakes29. Cette information semble corroborée par le communiqué du département du Trésor américain du 31 décembre 2024, annonçant la mise sous sanctions de plusieurs opérateurs du MOI 30.
Capture d’écran d’un probable deepfake attribué à Storm-1516
Dans de rares cas, le mode opératoire a également mis en ligne des deepfakes vocaux usurpant l’identité de personnalités politiques. Donald TRUMP. L’article incluait trois fichiers audios ayant été probablement générés artificiellement, selon l’analyse de VIGINUM et celles de plusieurs médias et cellules de fact-checking34.
Montages
Pour crédibiliser leurs narratifs, les opérateurs de Storm-1516 emploient des techniques de montage vidéo et photo visant à contrefaire des logos de médias, des affiches de films, des registres publics, des documents gouvernementaux, des factures, des articles de presse ou encore des captures d’écran de réseaux sociaux. Les opérateurs ont également commis des erreurs triviales dans des vidéos récentes, en indiquant par exemple dans un article de presse usurpant l’identité du média britannique The Independent, potentiellement manipulé en altérant le code HTML d’un article existant, une date ultérieure à la primo-diffusion36. Capture d’écran d’une fausse facture un mannequin à l’effigie de Donald TRUMP avait été primo-diffusée diffusée par Storm-1516 par la chaîne Telegram ukrainienne @truexanewsua, et que l’acquisition de la voiture d’HITLER par le président ZELENSKY avait été annoncée, en octobre 2024, par la chaîne Telegram ukrainienne @voynareal.
Enfin, Storm-1516 s’appuie sur des contenus impliquant très probablement des acteurs amateurs. VIGINUM estime que, pour plus de la moitié des opérations imputées au MOI, ses opérateurs ont recruté des individus pour enregistrer la voix off, jouer le rôle de lanceur d’alerte, ou intervenir dans une mise en scène. Pour crédibiliser les contenus, les opérateurs du mode opératoire semblent avoir réservé un soin particulier au choix de ces acteurs, en adaptant leur langue ou leur apparence aux narratifs. Par exemple, la vidéo accusant l’Ukraine de recruter des combattants de l’État islamique inclut une voix off enregistrée par un locuteur arabophone, tandis que celle accusant le président ZELENSKY d’avoir acheté de la cocaïne en Argentine impliquait un narrateur hispanophone.
La prétendue conversation téléphonique fuitée entre Volodymyr ZELENSKY et son épouse, probablement enregistrée par des acteurs, se tient quant à elle en « sourjyk », sociolecte employé par le président ukrainien37. VIGINUM a ainsi identifié trois opérations impliquant le même homme francophone, filmé à deux reprises à Paris et à une reprise à Courchevel. Il a notamment été filmé en train de conduire des microstrottoirs en vue de crédibiliser un narratif concernant le changement de nom d’un pont parisien en l’honneur de l’Armée rouge, et été présenté comme le reporter d’un faux média enquêtant sur les actifs de ZELENSKY en France38. Des fact-checkers ont pu identifier certains des individus ayant participé aux vidéos du mode opératoire.
À titre d’exemple, Storm-1516 a publié en septembre 2023 la vidéo d’une femme se présentant comme une employée du magasin Cartier de New York, où Olena ZELENSKA aurait dépensé plus d’un million de dollars à l’occasion d’une visite du président ukrainien 40. VIGINUM émet l’hypothèse que les comédiens résidant à l’étranger pourraient être recrutés par les opérateurs via des services en ligne.
Primo-diffusion
Les opérateurs de Storm-1516 ont eu historiquement recours à trois tactiques différentes pour primodiffuser leurs contenus. Enfin, le mode opératoire a déjà primo-diffusé des contenus en les mettant directement en ligne sur des comptes ou des sites liés au réseau CopyCop.
Lorsque la vidéo contenant le narratif principal a été publiée49 sur YouTube, le 27 novembre, elle affichait un lien vers le compte X de « Jules Vincent », qui a ensuite partagé la vidéo, et remercié notamment le compte francophone pro-russe @BPartisans pour avoir relayé le narratif50.
YouTube ou Rumble et YouTube51. À titre d’exemple, la vidéo accusant Youlya NAVALNAÏA d’entretenir des relations extra-conjugales a été primo-diffusée le même jour sur un compte Rumble et un compte YouTube portant des noms quasiment identiques. En parallèle, VIGINUM a observé que dans plusieurs cas, les opérateurs supprimaient ou rendaient les comptes « privés » après la primo-diffusion, potentiellement dans le but de gêner l’analyse post-mortem de leurs activités.
Capture d’écran d’une vidéo de Storm-1516 primo-diffusée par un tiers
Les opérateurs de Storm-1516 tentent de recruter des primo-diffuseurs cohérents avec les contenus, en s’appuyant sur des acteurs parlant la langue ou actifs dans la communauté du pays cible. VIGINUM estime probable que les acteurs et médias exploités aient été rémunérés par les opérateurs du MOI. En novembre 2024, l’administrateur du compte X ayant primo-diffusé la vidéo affirmant que des Haïtiens votaient illégalement aux États-Unis a admis avoir été payé 100 dollars pour la publication par Simeon BOÏKOV 57, directement impliqué dans le dispositif de Storm-1516.
VIGINUM a également remarqué que l’article du média kényan Tuko mentionné plus haut affichait la mention « sponsored », suggérant que la publication a été rémunérée.
Publication via le réseau CopyCop
Enfin, dans au moins 18 cas, les narratifs de Storm-1516 ont été primo-diffusés sur des comptes de réseaux sociaux ou des sites du réseau CopyCop, administré par John Mark DOUGAN. Le recours à ce vecteur est surtout observé depuis mai 2024, date depuis laquelle VIGINUM a constaté une augmentation du rythme d’enregistrement de nouveaux noms de domaine liés au réseau. La plupart des primo-diffusions ont eu lieu sur les faux sites d’information de CopyCop ciblant les audiences française, américaine, et plus récemment allemande. Les opérations visant les audiences américaine et allemande en amont des élections ont eu recours à plusieurs reprises à ce vecteur, en exploitant notamment les noms de domaine deepstateleaks.org, kbsf-tv.com, echozeit.com ou encore anderemeinung.de, tous imputés avec une confiance élevée au réseau CopyCop.
Agency , est une structure semi-clandestine chargée de préparer et de conduire des opérations d’influence vers l’étranger. Au-delà des faux sites de campagne de la coalition « Ensemble » et de Kamala HARRIS mentionnés supra , les investigations de VIGINUM ont permis de confirmer que les sites casinohotelvunipalace.com et hotelpalacedesneiges.com, utilisés pour crédibiliser de faux récits sur l’achat par ZELENSKY de propriétés à Chypre et à Courchevel, étaient liés techniquement au réseau CopyCop64. En novembre 2024, CopyCop a également enregistré le nom de domaine wehrpflicht.de, qui usurpait l’identité du ministère allemand de la Défense. Le site affirmait que l’Allemagne souhaitait recruter pas moins de 500 000 soldats pour « maintenir et restaurer la paix en Europe de l’Est »65.
Le dernier nom de domaine déposé par CopyCop en soutien à une manœuvre du MOI est warstudiescentre.co.uk, qui usurpait l’identité graphique de l’Institute for the Study of War américain afin de diffuser de fausses citations de militaires occidentaux concernant les missiles russes Orechnik66.
Blanchiment des contenus
L’analyse des opérations informationnelles de Storm-1516 suggère que ses opérateurs accordent un soin particulier au « blanchiment » des contenus, en organisant leur publication par des tiers considérés comme crédibles aux yeux des publics visés. Les médias impliqués dans le blanchiment de contenus de Storm-1516 sont majoritairement implantés en Afrique et au Moyen-Orient, dont au Nigéria, au Sénégal, au Burkina Faso, au Ghana, au Cameroun, au Togo, au Kenya, en Turquie, au Yémen et en Égypte67.
YouTube jetable le 29 juillet 2024, a été blanchi le lendemain via un article publié sur
Capture d’écran d’un narratif de Storm-1516 blanchi dans un article le site Nigerian Daily Post. Le blanchiment est surtout observé lorsque le contenu n’est pas primo-diffusé par un tiers , suggérant que cette phase, en plus d’obfusquer l’origine russe du narratif, tente de crédibiliser la chaîne de diffusion du narratif en la relayant depuis le pays concerné. VIGINUM estime avec un niveau de confiance élevé que les médias exploités par Storm-1516 pour blanchir ses contenus sont eux aussi rémunérés par les opérateurs du MOI. L’amplification est la dernière phase de diffusion des contenus de Storm-1516 assurée par les opérateurs du mode opératoire, mais aussi par un ensemble d’acteurs que VIGINUM estime être directement activés par les attaquants.
Amplification
Au total, VIGINUM a identifié au moins sept méthodes différentes d’amplification des contenus, qui témoignent des efforts importants déployés pour accompagner la propagation de ces narratifs. En premier lieu, les opérateurs du MOI ont exploité les comptes primo-diffuseurs ou créé des comptes ad hoc pour communiquer avec le public après la primo-diffusion des vidéos, renforçant ainsi la crédibilité des profils des lanceurs d’alerte. La fausse lanceuse d’alerte y racontait en détails l’événement via un profil créé le 24 août 2020 et jusqu’alors inactif, et a répondu aux commentaires et questions des internautes plusieurs jours après la primo-diffusion71. Le MOI a aussi exploité l’espace commentaires d’au moins cinq médias américains et britanniques pour diffuser des messages reprenant le narratif des opérations informationnelles ou des liens redirigeant vers les contenus de Storm-1516.
Les opérateurs semblent avoir ciblé volontairement des tabloïds et des médias populaires auprès d’audiences d’extrême-droite, probablement considérées comme plus perméables aux narratifs pro-Russes et anti-Ukrainiens . Captures d’écran de commentaires amplifiant les narratifs de Storm-1516. Dans le cadre de ces manœuvres d’amplification, les sites du réseau publient des articles reprenant les principaux éléments du faux récit, en mentionnant les médias ayant blanchi le narratif, et en incorporant directement la vidéo ou l’audio dans la page. Les opérateurs du MOI s’appuient en outre sur un vaste réseau d’acteurs pro-russes pour amplifier les contenus en différentes langues.
VIGINUM note que la plupart de ces acteurs présentent des liens étroits avec des organisations russes connues de longue date pour des opérations informationnelles visant des audiences étrangères, dont la BRICS Journalist Association de la galaxie PRIGOJINE et des groupes proches du philosophe Aleksandr DOUGUINE . Ces vecteurs impliquent par ailleurs des individus moins connus, visiblement recrutés par les opérateurs du mode opératoire pour crédibiliser les narratifs auprès d’audiences locales.
Reprises opportunistes
Après leur primo-diffusion, leur éventuel blanchiment et leur amplification, les narratifs de Storm-1516 sont enfin repris par un grand nombre d’acteurs et d’organisations russes et étrangères, ainsi que par d’autres MOI russes, notamment étatiques. Si VIGINUM estime que ces reprises sont majoritairement opportunistes , il demeure plausible que certains des acteurs, organisations ou MOI mentionnés ci-dessous soient directement activés par les opérateurs de Storm1516 pour relayer ses contenus.
Foundation, attribué publiquement au SVR par les autorités américaines.
Le MOI Portal Kombat88 a pour sa part relayé, en s’appuyant sur des sources externes comme News Front89, les narratifs d’au moins quinze opérations de Storm-1516 sur des comptes et des sites visant les audiences américaine, allemande, française ou encore italienne 90. Enfin, les narratifs de Storm-1516 sont quasi systématiquement repris par des médias et des acteurs occidentaux pro-russes, qui participent à l’amplification du narratif auprès d’audiences ciblées. @camille_moscow, @BPartisans, @AdrienBocquet59, la chaîne Telegram @boriskarpovrussie, et les sites reseauinternational.net et donbass-insider.com91, tous connus de VIGINUM pour leur implication dans de précédentes opérations informationnelles pro-russes. Dans certains cas, les narratifs de Storm-1516 ont même été repris de manière spontanée par des représentants politiques occidentaux, notamment pour justifier la baisse ou la suspension de l’aide militaire et financière à l’Ukraine.
IMPLICATION D’ACTEURS RUSSES
Des éléments révélés en source ouverte suggèrent que le mode opératoire Storm-1516 serait lié à un réseau complexe d’individus et d’organisations agissant depuis le territoire de la Fédération de Russie.
Implication avérée de John Mark DOUGAN via le réseau CopyCop
Depuis l’apparition de Storm-1516, John Mark DOUGAN , ancien policier américain exilé en Russie en 2016, est accusé de participer aux opérations du MOI par la rediffusion de ses narratifs sur un réseau de sites connu publiquement sous le nom de CopyCop, MAGAstan ou False Façade. VIGINUM est en mesure de confirmer l’exploitation quasi systématique de ce réseau par Storm-1516, ainsi que les liens entre CopyCop et JMD, déjà documentés par l’université de Clemson, Recorded Future, antibot4navalny, NewsGuard, Correctiv, Gnida Project, ou encore le Service européen pour l’action extérieure 95. Pour l’heure, VIGINUM estime que John Mark DOUGAN est responsable du dépôt et du maintien de l’infrastructure CopyCop, et pourrait également participer à la réalisation des narratifs et des contenus employés pour les opérations du MOI 96. En date du 25 mars 2025, VIGINUM est en mesure de lier techniquement au moins 293 sites à ce réseau à partir de caractéristiques techniques similaires dans l’enregistrement, la configuration et l’exploitation des noms de domaine.
97 Le réseau est historiquement structuré autour de sites personnels revendiqués par JMD après son arrivée en Russie, dont badvolf.com, déposé le 10 avril 2017 et proposant du matériel informatique à la vente. Entre 2017 et fin 2023, JMD a enregistré anonymement, en son nom propre ou sous son pseudonyme « badvolf », une dizaine de noms de domaine supplémentaires afin de mettre en place des forums, de promouvoir ses activités professionnelles ainsi que la publication de son livre , de critiquer des entreprises étrangères ou de se venger de personnes enquêtant sur ses activités , en ayant notamment recours au typosquattage de médias étrangers . VIGINUM note que d’autres sites aux noms évocateurs ont été enregistrés à cette époque, mais n’ont jamais diffusé de contenu ni été archivés, dont gosuslugi.group, qui typosquattait le nom de la plateforme officielle russe des services publics, wokeschools.com, et usstate.agency.
CEG et au GRU pour mettre en place un nouveau serveur afin d’héberger les sites de CopyCop et les
La liste des noms de domaine associés à ce jour au réseau est proposée en annexe . Depuis, Mike JONES a débunké plusieurs des contenus de Storm-1516, et DOUGAN a attribué la paternité de certains noms de domaine du réseau à Mike JONES. Depuis cette période, VIGINUM note une montée en compétences des opérateurs du réseau, ainsi qu’une amélioration de leurs procédures de sécurité opérationnelle, potentiellement avec l’appui technique du CEG et du GRU. Depuis janvier 2024, les opérateurs de CopyCop exploitent de manière croissante les services d’anonymisation de Cloudflare et ont cessé de commettre des erreurs documentées dans des rapports publics100.
Si le réseau CopyCop fait aujourd’hui partie intégrante du mode opératoire Storm-1516, il est également exploité par d’autres acteurs et MOI du dispositif d’influence informationnelle russe. C’est notamment le cas de la « Fondation pour combattre l’injustice », structure du projet Lakhta qui publie une partie de ses « investigations » sur les sites du réseau, et de médias liés aux services de renseignement russes, tels qu’Inforos. En retour, les contenus mis en ligne sur le réseau ont déjà été amplifiés à plusieurs reprises par RRN/Doppelgänger et Portal Kombat101.
Liens avec la FCI et la BJA
L’analyse des opérations informationnelles de Storm-1516 confirme que celles-ci sont quasi systématiquement amplifiées par des influenceurs liés à des organisations de la galaxie PRIGOJINE. Les deux organisations seraient gérées par Oksana VOVK, une ressortissante russe incarcérée deux ans aux États-Unis pour blanchiment, et agissant aujourd’hui sous le nom de Mira TERADA. À titre d’exemple, les narratifs de Storm-1516 sont presque tous relayés, quelques heures après leur primo-diffusion, par les comptes de réseaux sociaux et des sites liés à Chay BOWES, un journaliste prorusse d’origine irlandaise ayant travaillé pour le groupe RT et vivant actuellement en Russie.
@neuesausrussland, Jovica JOVIC, Sonja VAN DER ENDE, administratrice du site devend.online, et Janus PUTKONEN, éditeur en chef du site mvlheti.net. Au regard des liens entre ces individus, ainsi que de la temporalité et du schéma d’amplification propre à Storm-1516, VIGINUM considère que ces reprises ne sont pas opportunistes, mais probablement sollicitées par un donneur d’ordre.
Telegram relayant quasi systématiquement les narratifs de Storm-1516 auprès de l’audience
Capture d’écran du site de la BJA russophone , deux présentent des liens historiques avec le projet Lakhta. KOROVINE entretiennent des liens étroits avec Alekseï KIRISTAÏEV , qui a travaillé pour RIA FAN et le site geopolitika.ru 105.
Liens avec le projet Lakhta
Storm-1516 a coordonné à plusieurs reprises ses opérations avec le projet Lakhta. Si le premier a reçu le soutien de comptes de réseaux sociaux liés au projet Lakhta durant les phases de primo-diffusion et d’amplification , les analyses de VIGINUM démontrent que Storm-1516 a également soutenu, à deux reprises, des opérations initiées par Lakhta. Le 30 octobre 2023, Storm-1516 a mis en ligne, blanchi puis amplifié le faux témoignage d’un ressortissant algérien déclarant s’être engagé dans le bataillon ukrainien Azov. Ce contenu semble en fait avoir servi à offrir de la visibilité au site azov-france.fr, enregistré le 20 octobre et que VIGINUM rattache avec un niveau de confiance élevé au projet Lakhta106.
Storm-1516. Ces deux opérations, qui n’ont pu être réalisées sans coordination, prouvent un degré significatif de coordination entre les deux modes opératoires informationnels. Enfin, VIGINUM observe la réutilisation, par les opérateurs de Storm-1516, d’une série de TTP associées historiquement au projet Lakhta. VIGINUM note ainsi qu’au moins 17 des médias exploités par.
En outre, le mode opératoire présente des liens avec des individus et des organisations liées à Aleksandr
DOUGUINE, philosophe ultra-nationaliste et anti-occidental russe. Dès mai 2024, le New York Times rapportait qu’un think tank moscovite, le Centre d’expertise géopolitique , était impliqué dans la conduite de Storm-1516.
Le CEG est lié depuis ses débuts à « Evrazia », un parti politique néo-eurasiste créé par DOUGUINE en
Si le CEG possédait son propre site depuis 2010, qui ne contient que les statuts du « fonds noncommercial international »112, sa page principale est hébergée depuis au moins 2003 sur un sousdomaine du portail d’information officiel du parti politique, cge.evrazia.org, qui arbore par ailleurs son logo113. DOUGUINE, qui coordonne également, entre autres, l’Union de la jeunesse eurasienne et le Mouvement eurasien international. DOUGUINE, KOROVINE et leurs équipes.
D’après les éléments révélés par le Washington Post en octobre 2024, KOROVINE aurait envoyé une lettre en 2019 au ministère de la Défense russe pour proposer que le CEG organise « une guerre Internet contre les États-Unis sur son propre territoire ». Depuis au moins 2022, KOROVINE participerait à des réunions fréquentes avec DOUGAN et un officier du GRU, Youry KHOROCHENKY, présenté comme le directeur-adjoint du CEG , dans le but de coordonner les opérations informationnelles de Storm-1516118.
ANISSIMOV, entrepreneur également actif dans la
Au-delà de cet écosystème agissant depuis le territoire russe, VIGINUM a observé que des individus étrangers proches de la galaxie DOUGUINE avaient participé à des opérations informationnelles de Storm-1516.
Selon les documents obtenus par le Washington Post auprès d’un service de renseignement européen, le ressortissant russe Youry KHOROCHENKY 126 est accusé d’avoir financé et coordonné les opérations du mode opératoire depuis son apparition.
KHOROCHENKY aurait effectué des transactions financières vers le compte bancaire de JMD dès avril
En russe, Брюсов переулок, д. En russe, Юрий ХОРОШЕНЬКИЙ. En russe, Юрий ХОРОШЕВСКИЙ. Soutenu les opérations du Centre d’expertise géopolitique, en suggérant l’implication de l’unité 29155, mais sans mentionner le nom de KHOROCHENKY.
VIGINUM n’est pas en mesure de confirmer l’implication directe de KHOROCHENKY ou de l’unité 29155 dans la conduite de Storm-1516.
Des fuites de données accessibles publiquement suggèrent l’existence d’un Youry Timofeïevitch
Citoyen australien d’origine russe réfugié depuis décembre 2022 dans le consulat russe de Sydney.
politiques58. VIGINUM a également remarqué que l’article du média kényan Tuko mentionné plus haut affichait la mention « sponsored », suggérant que la publication a été rémunérée.
L’intervention de comptes de Lakhta dans les manœuvres de Storm1516, également observée durant la phase d’amplification , pourrait relever d’une proximité interpersonnelle ou organisationnelle entre les opérateurs des deux MOI, et non d’une démarche pécuniaire .
Publication via le réseau CopyCop
Enfin, dans au moins 18 cas, les narratifs de Storm-1516 ont été primo-diffusés sur des comptes de réseaux sociaux ou des sites du réseau CopyCop, administré par John Mark DOUGAN. Le recours à ce vecteur est surtout observé depuis mai 2024, date depuis laquelle VIGINUM a constaté une augmentation du rythme d’enregistrement de nouveaux noms de domaine liés au réseau. Ce vecteur, également observé durant la phase d’amplification, démontre l’intrication entre Storm-1516 et le réseau
CopyCop, aujourd’hui exploité par plusieurs acteurs du dispositif d’influence informationnelle russe.
La plupart des primo-diffusions ont eu lieu sur les faux sites d’information de CopyCop ciblant les audiences française, américaine, et plus récemment allemande. Ces sites, dont le nombre total est estimé à plus de 290 , sont principalement alimentés par des articles de presse reformulés via des outils d’intelligence artificielle générative, et reprennent pour certains le nom d’anciens journaux locaux afin de crédibiliser leur ancrage 61. À titre d’exemple, la fausse interview affirmant que la mairie de Paris avait renommé un pont en l’honneur de l’Armée rouge a été primodiffusée le 5 mai 2024 sur le site infosindependants.fr62.
Les opérations visant les audiences américaine et allemande en amont des élections ont eu recours à plusieurs reprises à ce vecteur, en exploitant notamment les noms de domaine deepstateleaks.org, kbsf-tv.com, echozeit.com ou encore anderemeinung.de, tous imputés avec une confiance élevée au réseau CopyCop.
HARRIS avait reçu 500 000 dollars du producteur de musique américain P.Diddy pour l’avoir averti d’une perquisition a ainsi été primo-diffusée sur le compte Rumble @patriotvoicenews, lié au nom de domaine patriotvoicenews.com de CopyCop63.
En novembre 2024, CopyCop a également enregistré le nom de domaine wehrpflicht.de, qui usurpait l’identité du ministère allemand de la Défense. Le site affirmait que l’Allemagne souhaitait recruter pas moins de 500 000 soldats pour « maintenir et restaurer la paix en Europe de l’Est »65. Le dernier nom de domaine déposé par CopyCop en soutien à une manœuvre du MOI est warstudiescentre.co.uk, qui usurpait l’identité graphique de l’Institute for the Study of War américain afin de diffuser de fausses citations de militaires occidentaux concernant les missiles russes Orechnik66.
Blanchiment des contenus
L’analyse des opérations informationnelles de Storm-1516 suggère que ses opérateurs accordent un soin particulier au « blanchiment » des contenus, en organisant leur publication par des tiers considérés comme crédibles aux yeux des publics visés. Pour ce faire, les opérateurs du MOI rédigent des articles reprenant les principaux éléments du contenu primo-diffusé, et les publient dans des médias étrangers.
Les articles sont ensuite récupérés par les acteurs du dispositif en charge de l’amplification du narratif. Cette étape intermédiaire, dont VIGINUM a pu confirmer le recours pour au moins la moitié des opérations imputées au MOI, est l’une des principales caractéristiques du mode opératoire.
Les médias impliqués dans le blanchiment de contenus de Storm-1516 sont majoritairement implantés en Afrique et au Moyen-Orient, dont au Nigéria, au Sénégal, au Burkina Faso, au Ghana, au Cameroun, au Togo, au Kenya, en Turquie, au Yémen et en Égypte67.
YouTube jetable le 29 juillet 2024, a été blanchi le lendemain via un article publié sur
Capture d’écran d’un narratif de Storm-1516 blanchi dans un article le site Nigerian Daily Post. Le narratif a ensuite affichant la mention « sponsored » été amplifié à partir du 31 juillet dans des publications reprenant les éléments du média nigérian.
Le blanchiment est surtout observé lorsque le contenu n’est pas primo-diffusé par un tiers , suggérant que cette phase, en plus d’obfusquer l’origine russe du narratif, tente de crédibiliser la chaîne de diffusion du narratif en la relayant depuis le pays concerné.
Le nom de domaine hotelpalacedesneiges.com était notamment hébergé sur les mêmes adresses IP que seattle-tribune.com et wehrpflicht2025.de, mentionné plus avant . Pour casinohotelvunipalace.com, cf. section 2.2.2.
https://archive.ph/6ktsw.
https://archive.ph/nNQfY.
Une liste des médias exploités par le mode opératoire pour blanchir ses contenus est disponible en annexe, section 6.3.1.
a ainsi été blanchie via des médias égyptiens68. Une fois débunkés, ces articles sont régulièrement supprimés par les médias ayant participé à cette phase69.
VIGINUM estime avec un niveau de confiance élevé que les médias exploités par Storm-1516 pour blanchir ses contenus sont eux aussi rémunérés par les opérateurs du MOI. À au moins sept reprises, les articles publiés par ces médias affichaient des mentions telles que « branded content », « promoted » et « sponsored », ou étaient hébergés dans une section du site dédiée aux contenus sponsorisés. À la suite de la parution de l’article suggérant que l’Allemagne allait accueillir 1,9 million de travailleurs kényans, The South African a reconnu avoir été payé environ 620 euros par un intermédiaire pour la publication70. La rémunération de médias pour blanchir ou amplifier des narratifs est une tactique répandue et associée à d’autres modes opératoires informationnels liés publiquement à la Russie, notamment au projet Lakhta .
L’amplification est la dernière phase de diffusion des contenus de Storm-1516 assurée par les opérateurs du mode opératoire, mais aussi par un ensemble d’acteurs que VIGINUM estime être directement activés par les attaquants.
Amplification
inconsciente ou opportuniste – des narratifs par d’autres acteurs et organisations . Au total, VIGINUM a identifié au moins sept méthodes différentes d’amplification des contenus, qui témoignent des efforts importants déployés pour accompagner la propagation de ces narratifs.
En premier lieu, les opérateurs du MOI ont exploité les comptes primo-diffuseurs ou créé des comptes ad hoc pour communiquer avec le public après la primo-diffusion des vidéos, renforçant ainsi la crédibilité des profils des lanceurs d’alerte.
Reddit dans le groupe @offmychest, qui compte plus de trois millions de membres. La fausse lanceuse d’alerte y racontait en détails l’événement via un profil créé le 24 août 2020 et jusqu’alors inactif, et a répondu aux commentaires et questions des internautes plusieurs jours après la primo-diffusion71.
Le MOI a aussi exploité l’espace commentaires d’au moins cinq médias américains et britanniques pour diffuser des messages reprenant le narratif des opérations informationnelles ou des liens redirigeant vers les contenus de Storm-1516. Les opérateurs semblent avoir ciblé volontairement des tabloïds et des médias populaires auprès d’audiences d’extrême-droite, probablement considérées comme plus perméables aux narratifs pro-Russes et anti-Ukrainiens . D’après NewsGuard, qui a révélé cette méthode en novembre 2024, les commentaires étaient publiés par un groupe constitué d’un moins 194 utilisateurs inauthentiques 72.
Les narratifs de Storm-1516 sont quasi systématiquement amplifiés par les faux sites d’information du réseau CopyCop , excepté lorsque ceux-ci sont déjà impliqués dans la primo-diffusion.
Dans le cadre de ces manœuvres d’amplification, les sites du réseau publient des articles reprenant les principaux éléments du faux récit, en mentionnant les médias ayant blanchi le narratif, et en incorporant directement la vidéo ou l’audio dans la page. Cette technique a été employée à plusieurs reprises pour amplifier les contenus sur plus d’une centaine de noms de domaine à la fois, à l’image de l’opération accusant Timothy WALTZ d’agression sexuelle 73. Au moins trois opérations ont également été amplifiées directement sur la chaîne Telegram de John Mark DOUGAN, @BadVolfNews74.
Les opérateurs du MOI s’appuient en outre sur un vaste réseau d’acteurs pro-russes pour amplifier les contenus en différentes langues. VIGINUM note que la plupart de ces acteurs présentent des liens étroits avec des organisations russes connues de longue date pour des opérations informationnelles visant des audiences étrangères, dont la BRICS Journalist Association de la galaxie PRIGOJINE et des groupes proches du philosophe Aleksandr DOUGUINE . La grande majorité des narratifs de Storm-1516 ont ainsi été amplifiés sur les comptes de réseaux sociaux et les sites de Simeon
BOÏKOV , de Chay BOWES , de Sonja Van Der ENDE, d’Alina LIPP , ainsi que sur theinteldrop.org et vtforeignpolicy.com.
Ces vecteurs impliquent par ailleurs des individus moins connus, visiblement recrutés par les opérateurs du mode opératoire pour crédibiliser les narratifs auprès d’audiences locales.
WITTWER, ancien candidat du parti d’extrême-droite
OKV-DE ayant résidé en Russie75. Pour rappel, certains de ces individus ont été activés pour primo-diffuser des narratifs de Storm-1516 76.
Au-delà d’acteurs pro-russes, les opérateurs de Storm1516 s’appuient sur un réseau de comptes de réseaux sociaux étrangers à moyenne ou forte visibilité pour amplifier les contenus. Certains comptes X anglophones étaient déjà impliqués dans la primoCapture d’écran d’un narratif de Storm-1516 amplifié par diffusion, à l’image de @TheWakeninq et @Alphafox78, le site theinteldrop.org ce dernier ayant avoué avoir été rémunéré pour une dizaine de publications . D’autres ne semblent avoir été activés que durant cette phase, tels que @alertchannel, @ANN_News92 et @DD_Geopolitics77. Le schéma de publication et la rémunération d’au moins un membre de ce groupe suggèrent que ces comptes ont été probablement rétribués par les opérateurs de Storm-1516.
De plus, VIGINUM a observé que de nombreux comptes X liés avec une confiance élevée au projet
Lakhta avaient participé à la phase d’amplification. Par exemple, la vidéo accusant la police française d’avoir relâché un migrant tchadien accusé de viol sur mineure, primo-diffusée par le compte de Lakhta. VIGINUM a également observé l’implication de neuf autres comptes X79 et une page Facebook80 de
PRIGOJINE , VIGINUM estime que cette amplification est également le résultat de leur activation par les opérateurs de Storm-1516, et non d’une reprise opportuniste.
VIGINUM observe que certains de ces comptes présentent des liens avec le projet Lakhta , et estime que cette dernière étape d’amplification autour de narratifs anti-Ukrainiens, anti-Occidentaux et anti-FBK permet de profiter des contenus pour alimenter la propagande interne russe.
Reprises opportunistes
Après leur primo-diffusion, leur éventuel blanchiment et leur amplification, les narratifs de Storm-1516 sont enfin repris par un grand nombre d’acteurs et d’organisations russes et étrangères, ainsi que par d’autres MOI russes, notamment étatiques. Si VIGINUM estime que ces reprises sont majoritairement opportunistes , il demeure plausible que certains des acteurs, organisations ou MOI mentionnés ci-dessous soient directement activés par les opérateurs de Storm1516 pour relayer ses contenus. Ces reprises ont permis à plusieurs narratifs d’atteindre un très large public dans les pays occidentaux et en Russie.
Capture d’écran d’un narratif amplifié par Portal anglophones.
Kombat diplomatique russe, des médias d’État ou proches du gouvernement russe, ainsi que des médias liés publiquement aux services de contre-espionnage , de renseignement militaire et de renseignement extérieur russes.
