COPYCOP ÉTEND SON PLAYBOOK AVEC DE NOUVEAUX SITES WEB ET DE NOUVELLES CIBLES

« Executive Summary

Depuis mars 2025, Insikt Group a observé CopyCop (également connu sous le nom de Storm-1516), un réseau d’influence secret russe, créer au moins 200 nouveaux sites Web de médias fictifs ciblant les États-Unis, la France et le Canada, en plus de sites Web se faisant passer pour des marques de médias et des partis et mouvements politiques en France, au Canada et en Arménie. CopyCop a également mis en place un réseau régionalisé de sites Web se faisant passer pour une organisation fictive de vérification des faits publiant du contenu en turc, en ukrainien et en swahili, des langues qui n’avaient jamais été présentées par le réseau auparavant. En incluant les 94 sites Web ciblant l’Allemagne signalés par Insikt Group en février 2025, cela représente plus de 300 sites Web créés par les opérateurs de CopyCop depuis le début de l’année, marquant une expansion significative par rapport à notre rapport initial sur le réseau en 2024, et dont beaucoup n’ont pas encore été documentés publiquement.

Ces sites sont très probablement gérés par John Mark Dougan avec le soutien du Centre d’expertise géopolitique (CGE) basé à Moscou et de la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GRU). CopyCop utilise ces sites Web comme infrastructure pour diffuser du contenu d’influence ciblant les dirigeants pro-occidentaux et publier du contenu généré par l’intelligence artificielle (AI) avec des thèmes pro-russes et anti-ukrainiens pour soutenir les opérations offensives de la Russie dans l’environnement informationnel mondial.

Bien que la portée du réseau en termes de langues et de pays cibles se soit élargie, ses objectifs principaux restent presque certainement inchangés : saper le soutien à l’Ukraine et exacerber la fragmentation politique dans les pays occidentaux qui soutiennent l’Ukraine. L’Insikt Group a également observé que CopyCop s’engageait dans des objectifs secondaires supplémentaires tels que la promotion des objectifs géopolitiques de la Russie dans sa sphère d’influence élargie, comme l’Arménie et la Moldavie. Les récits et le contenu de CopyCop à l’appui de ces objectifs sont régulièrement amplifiés par un écosystème d’influenceurs des médias sociaux, en plus d’autres réseaux d’influence russes tels que Portal Kombat et InfoDefense.

Tout comme ses objectifs, les tactiques, techniques et procédures (TTP) de CopyCop restent globalement inchangées, avec des améliorations marginales destinées à renforcer la portée, la résilience et la crédibilité du réseau. Les tactiques et les techniques utilisées pour la diffusion du contenu comprennent généralement des « deepfakes », de longs dossiers destinés à embarrasser les cibles, et de fausses interviews de prétendus dénonciateurs faisant des affirmations sur des dirigeants politiques d’États membres de l’OTAN tels que les États-Unis, la France et l’Allemagne. Insikt Group a également identifié de nouvelles preuves que CopyCop utilise des modèles linguistiques larges (LLM) auto-hébergés et non censurés, basés sur les modèles open-source Llama 3 de Meta, pour générer du contenu AI plutôt que de s’appuyer sur des fournisseurs de services occidentaux AI.

Par rapport à d’autres réseaux d’influence russes, l’impact de CopyCop reste significatif : le contenu d’influence ciblé promu par ses sites Web et un écosystème d’influenceurs pro-russes sur les réseaux sociaux et de soi-disant « journalistes » obtient régulièrement des taux élevés d’engagement organique sur plusieurs plateformes de médias sociaux, et a un précédent pour percer dans le discours politique dominant. L’identification persistante et la dénonciation publique de ces réseaux devraient rester une priorité pour les gouvernements, les journalistes et les chercheurs qui cherchent à défendre les institutions démocratiques contre l’influence russe.

Key Findings

• À ce jour, en 2025, CopyCop a élargi ses langues cibles pour inclure le turc, l’ukrainien et le swahili, et sa portée géographique pour inclure la Moldavie, le Canada et l’Arménie, tout en soutenant des opérations d’influence ciblant les États-Unis et la France. Le réseau s’appuie également sur de nouvelles infrastructures pour publier des contenus, marquant ainsi une expansion significative de ses activités ciblant de nouveaux publics.
• Les principaux objectifs d’influence de CopyCop restent l’érosion du soutien public à l’Ukraine et l’affaiblissement des processus démocratiques et des dirigeants politiques dans les pays occidentaux qui soutiennent l’Ukraine.
• Les TTP de CopyCop sont globalement inchangées par rapport aux évaluations précédentes, avec seulement quelques améliorations marginales pour accroître la portée, la résistance et la crédibilité du réseau. Parmi les nouvelles TTP observées, CopyCop utilise des LLM auto-hébergés pour générer du contenu, emploie des sous-domaines comme miroirs et se fait passer pour des médias.
• Insikt Group a identifié deux versions non censurées du modèle Llama-3-8b de Meta qui sont probablement utilisées par CopyCop pour générer des articles.
• Le réseau mène également de plus en plus d’opérations d’influence dans la sphère d’influence de la Russie, notamment en ciblant la Moldavie et l’Arménie à l’approche des élections législatives qui se tiendront respectivement en 2025 et 2026. Il s’agit d’une tendance plus générale observée dans l’écosystème de l’influence russe.

Background

Insikt Group a précédemment documenté CopyCop en mai et juin 2024, en plus des tentatives du réseau d’influencer les élections anticipées françaises de 2024, les élections présidentielles américaines de 2024 et les élections fédérales allemandes de 2025. Des rapports provenant d’autres organisations telles que l’Université de Clemson, VIGINUM,NewsGuard, Microsoft, le Service européen d’action extérieure et le Projet Gnida ont largement corroboré nos évaluations initiales des objectifs, des cibles et de l’infrastructure du réseau, en plus de notre attribution d’une partie des activités du réseau à John Mark Dougan, un citoyen américain basé à Moscou. Le Washington Post et le département américain du Trésor ont également établi depuis lors des liens entre Dougan, le GCE et le GRU. Le GRU aurait aidé à financer l’infrastructure auto-hébergée de LLM, tandis que le CGE était probablement responsable, avec l’aide de Dougan et la direction du GRU, de la création de deepfakes et de contenus inauthentiques ciblant les dirigeants politiques aux États-Unis, en Ukraine, en France et dans d’autres pays.

Expansion majeure de l’infrastructure

Depuis janvier 2025, Insikt Group a identifié au moins 200 nouveaux sites web que nous attribuons à CopyCop, dont la grande majorité n’a pas encore été signalée. Ces sites web se font presque tous passer pour des médias locaux fictifs aux États-Unis, en France, au Canada et en Norvège, pour des partis et mouvements politiques en France, au Canada et en Arménie, ou pour des organismes fictifs de vérification des faits publiés en turc, en ukrainien et en swahili. Insikt Group a également fait état de 94 sites CopyCop ciblant les élections fédérales allemandes de février 2025. Cela porte à au moins 300 le nombre total de sites web du réseau à ce jour cette année, reflétant une expansion significative de son infrastructure et de ses ambitions internationales depuis notre dernier rapport dédié à CopyCop en juin 2024.

Ces sites Web ont deux fonctions : premièrement, diffuser du contenu d’influence ciblé probablement préparé par le CGE et, dans certains cas, par Dougan lui-même ; deuxièmement, publier de grandes quantités de contenu généré par l’IA avec des thèmes pro-russes, anti-ukrainiens et anti-occidentaux. Les domaines d’hébergement des sites Web CopyCop sont généralement enregistrés par lots sur une infrastructure liée, et restent probablement dormants (ou publient passivement du contenu généré par l’IA) jusqu’à ce qu’ils soient utilisés pour publier du contenu ciblé, qui est ensuite amplifié sur les plateformes de médias sociaux.

Sites Web sur le thème des États-Unis

En avril 2025, Insikt Group a identifié 35 nouveaux sites CopyCop enregistrés le 29 janvier 2025, presque certainement conçus pour attirer un public basé aux États-Unis. Bien que la plupart des 35 sites Web soient protégés par Cloudflare, ils sont presque certainement hébergéssur 72[.]14[.]185[.]187, qui appartient à Akamai/Linode (AS63949). La liste complète de ces sites Web CopyCop est fournie à l’annexe A.

Sites web Truefact

Insikt Group a identifié un autre domaine hébergé sur 72[.]14[.]185[.]187, Afrique[.]Fait véridique[.]actualités. Enregistré pour la première fois en mars 2025, truefact[.]news possède les neuf sous-domaines suivants, qui ont commencé à héberger des sites CopyCop le 1er juillet 2025, en se faisant passer pour une organisation fictive de vérification des faits nommée « Truefact » :

• africa[.]truefact[.]news
• de[.]Fait véridique[.]nouvelles
• fr[.]truefact[.]news
• france[.]truefact[.]news
• germany[.]truefact[.]news
• mexico[.]truefact[.]news
• spain[.]truefact[.]news
• turkey[.]truefact[.]news
• ukraine[.]truefact[.]news

Le domaine germany[.]truefact[.]newsest hébergé sur 89[.]31[.]82[.]185, une adresse IP géolocalisée en Russie qui héberge très certainement plusieurs projets personnels de John Mark Dougan (tels que darkpulsar[.]AI ). et skryty[.]ru) et des sites CopyCop déjà identifiés comme clearstory[.]news. D’autres sous-domaines de Truefact sont identiques à des sites CopyCop déjà identifiés. Les sites france[.]truefact[.]news et fr[.]truefact[.]news a d’abord reproduitdeux sites CopyCop précédemment utilisés pour cibler les élections françaises anticipées de 2024, veritecachee[.]fr et franceencolere[.]fr,respectivement.

D’autres sites Web du cluster Truefact sont probablement en train de créer de nouvelles identités et ont l’intention de cibler de nouveaux publics en publiant du contenu généré par l’IA dans un plus large éventail de langues, démontrant ainsi la valeur que les LLM peuvent apporter aux réseaux d’influence secrets qui cherchent à étendre leur portée. Plusieurs des sites Web de ce cluster utilisent encore le modèle WordPress par défaut « Zeen News » des fabricants de modèles CodeTipi, qui utilise l’en-tête « The World Times ».

Sites web en français

Insikt Group a identifié au moins 141 nouveaux sites Web CopyCop se faisant passer pour des médias français fictifs enregistrés entre février et juin 2025, en plus d’un site Web se faisant passer pour le radiodiffuseur public France Télévisions, détaillé dans la section de ce rapport intitulée « Les TTP évoluent pour permettre la génération de contenu et la survie du réseau ». La liste complète des sites web de CopyCop ciblant la France figure à l’annexe C. Insikt Group a également identifié au moins 43 adresses de messagerie Gmail, Proton Mail et Zoho Mail utilisées pour enregistrer des groupes de sites web de CopyCop ciblant la France, qui figurent également à l’annexe C.

En découvrant cette nouvelle infrastructure, Insikt Group a également été en mesure de relier des activités plus anciennes et non signalées à CopyCop. Par exemple, partiroyaliste[.]fr, un site web inauthentique se présentant comme un parti politique royaliste français enregistré pour la première fois en août 2024 sous le nom de partiroyaliste@proton[.]me, est probablement lié à CopyCop. Le site est hébergé sur la même infrastructure que d’autres sites CopyCop récemment identifiés et ciblant la France. Contrairement à d’autres sites web, partiroyaliste[.]fr n’utilise pas WordPress ou un autre système de gestion de contenu (CMS) pour publier du contenu généré par l’IA. Insikt Group n’a pu identifier aucune référence au domaine du site web dans les sources ouvertes, et l’intention de maintenir le site web en ligne n’est pas claire. L’un des objectifs potentiels du site web est de faire appel aux éléments monarchistes marginaux existant en France, tels que l’Alliance Royale, dont les objectifs anti-UE et anti-républicains peuvent très probablement s’aligner sur les objectifs d’influence de la Russie. »

Domains actu-net[.]fr actualite360[.]fr actualitesmaintenant[.]fr actualitespourtous[.]fr actualitespourtous[.]fr[.]expressactus[.]fr actubretagne[.]fr actudirecte[.]fr actuiledefrance[.]fr actuiledefrance[.]fr[.]nouvelle-aquitaine-aujourdhui[.]fr actuperspectives[.]fr actus-independantes[.]fr actus-independantes[.]fr[.]meilleuresactus[.]fr actus-sanscensure[.]fr actus-sanscensure[.]fr[.]infos-encontinu[.]fr actus24[.]fr actusetinfosdupays[.]fr actusetinfosdupays[.]fr[.]frmedialive[.]fr affichedujour[.]fr agorahexagone[.]fr ame-nationale[.]fr ame-nationale[.]fr[.]savoirtout[.]fr analyse-actus[.]fr analyse-actus[.]fr[.]pause-actus[.]fr ardennesinfolive[.]fr ardennesinfolive[.]fr[.]vosges-enligne[.]fr bref-france24[.]fr bref-france24[.]fr[.]visiondelafrance[.]fr chroniquesfrancaises[.]fr chronoinfo[.]fr courrierfrance24[.]fr direct-nouvelles[.]fr direct-nouvelles[.]fr[.]meilleuresactus[.]fr echorhonealpes[.]fr eclairinfo[.]fr editorialesactus[.]fr editorialesactus[.]fr[.]francechronique[.]fr enquetedujour[.]fr evenementsetactus[.]fr evenementsetactus[.]fr[.]patrimoineinfo[.]fr expressactus[.]fr flash-actualites[.]fr flash-actualites[.]fr[.]francechronique[.]fr flash-bourgognefranchecomte[.]fr flash-bourgognefranchecomte[.]fr[.]nouvelle-aquitaine-aujourdhui[.]fr flashhexagone[.]fr france-aujourdhui[.]fr france-aujourdhui[.]fr[.]actus24[.]fr france-droite[.]fr france-droite[.]fr[.]patrimoineinfo[.]fr france-premiere[.]fr france-vision[.]fr france24-7[.]fr france24actus[.]fr franceactuelle[.]fr franceactuweb[.]fr franceactuweb[.]fr[.]vivezlinfo[.]fr franceavanttout[.]fr franceavanttout[.]fr[.]infosdupays[.]fr francechronique[.]fr francedetail[.]fr francepatriotique[.]fr francepatriotique[.]fr[.]chronoinfo[.]fr francepourlesfrancais[.]fr francepourlesfrancais[.]fr[.]infosdupays[.]fr francerealites[.]fr frmedialive[.]fr info-grand-est[.]fr info-minute[.]fr infofrancaisedujour[.]fr infofrance-focus[.]fr infohexagone[.]fr infohexagone[.]fr[.]actus24[.]fr infos-encontinu[.]fr infosdupays[.]fr infosinternationales[.]fr infosinternationales[.]fr[.]visiondelafrance[.]fr instantactus[.]fr investigateurfrancophone[.]fr journalrepublicain[.]fr la-francegaullienne[.]fr la-francegaullienne[.]fr[.]frmedialive[.]fr lactualite-provencale[.]fr lactualite-provencale[.]fr[.]info-grand-est[.]fr lafrance-debout[.]fr lafrance-debout[.]fr[.]infos-encontinu[.]fr lafrancesouveraine[.]fr lafrancesouveraine[.]fr[.]savoirtout[.]fr latribunefrancaise[.]fr le-choinfo[.]fr lefilactualites[.]fr lefilhexagonal[.]fr lefocus-occitanie[.]fr lejournalfrancophone[.]fr lejournalnormand[.]fr lepointnumerique[.]fr lequotidienfrancais[.]fr linformateurdujour[.]fr linformateurdujour[.]fraffichedujour[.]fr magazinedusoir[.]fr meilleuresactus[.]fr midi-pyreneesactualite[.]fr midi-pyreneesactualite[.]fr[.]vosges-enligne[.]fr minutedinfo[.]fr miroirdelafrance[.]fr nordactuquotidien[.]fr nordactuquotidien[.]fr[.]normandie-actusinfos[.]fr normandie-actusinfos[.]fr nouvelle-aquitaine-aujourdhui[.]fr nouvelleperspective[.]fr nouvelles-deshautsdefrance[.]fr nouvelles-hexagonales[.]fr nouvellesfrance24[.]fr nouvellesfrance24[.]fr[.]chronoinfo[.]fr panorama-info[.]fr panorama-info[.]fr[.]chroniquesfrancaises[.]fr partiroyaliste[.]fr patrimoineinfo[.]fr pause-actus[.]fr perspectives-francaises[.]fr pointdevueactu[.]fr reportagesinternationaux[.]fr reportagesinternationaux[.]fr[.]pause-actus[.]fr reseauavecactus[.]fr reseauavecactus[.]fr[.]lefilactualites[.]fr revelationdes-mensonges[.]fr revelationdes-mensonges[.]fr[.]infosdupays[.]fr savoirtout[.]fr sudouestdirect[.]fr tvfrance2[.]fr visiondelafrance[.]fr visionfrancophone[.]fr visionfrancophone[.]fr[.]expressactus[.]fr vivezlinfo[.]fr voix-francophone[.]fr voix-francophone[.]fr[.]lefilactualites[.]fr voixdelafrance[.]fr vosges-enligne[.]fr xn--actu-auvergne-rhne-alpes-lnc[.]fr Xn--actu-auvergne-rhne-alpes-lnc[.]fr[.]normandie-actusinfos[.]fr IP Addresses 82[.]221[.]136[.]1 82[.]221[.]136[.]47 82[.]221[.]129[.]24 185[.]11[.]145[.]145 185[.]11[.]145[.]254 198[.]54[.]116[.]120 82[.]221[.]136[.]24 Email Addresses 7rose7rose7rose7[@]gmail[.]com bowiejack79[@]gmail[.]com car0nmattt[@]gmail[.]com cherryd0mmd[@]gmail[.]com cupofteaxoxoxo[@]gmail[.]com faupure[@]gmail[.]com fosseppp[@]gmail[.]com marrriiiiion[@]gmail[.]com mst1cscr1be[@]gmail[.]com mystiqueg55[@]gmail[.]com oldbalance90[@]gmail[.]com olivepeppi[@]gmail[.]com patrickb0o0ob[@]gmail[.]com rochwork81[@]gmail[.]com sonicwaave[@]gmail[.]com trawolfy[@]gmail[.]com urbahvibes[@]gmail[.]com w0oo0denst0ne[@]gmail[.]com xianoex1[@]gmail[.]com applefreshtaste[@]proton[.]me guacamoolee[@]proton[.]me imnemesis[@]proton[.]me jeanmoreau90[@]proton[.]me partiroyaliste[@]proton[.]me roycarbon[@]proton[.]me snippingg[@]proton[.]me subzero1334[@]proton[.]me cptjsilver[@]protonmail[.]com frod0bag[@]protonmail[.]com jeluwin[@]protonmail[.]com q[.]berthoin[@]protonmail[.]com solsstice[@]protonmail[.]com xxxphoeniixxx[@]protonmail[.]com zephyzephyr[@]protonmail[.]com ctrlaltdell[@]zohomail[.]eu dinoalbino[@]zohomail[.]eu eclipseespilce[@]zohomail[.]eu johnlock4815[@]zohomail[.]eu kupper66[@]zohomail[.]eu laughingwizard[@]zohomail[.]eu nathgir[@]zohomail[.]eu neonninja72[@]zohomail[.]eu pixelpioneeer[@]zohomail[.]eu sparr00w[@]zohomail[.]eu strawberrry[@]zohomail[.]eu

La suite du rapport ici RECORDED FUTURE