Source et contexte — Digital Forensic Research Lab (DFRLab): Le rapport détaille une opération en ligne active depuis décembre 2024, impliquant au moins 215 comptes multi‑plateformes diffusant des contenus pro‑russes, anti‑UE et anti‑PAS, accusant la présidente moldave Maia Sandu d’ingérence dans les élections présidentielles roumaines. L’opération s’inscrit dans un contexte électoral tendu en Roumanie (annulation du scrutin 2024 pour ingérence russe crédible, nouveau scrutin en mai 2025).

Portée et cibles 🔎: Le réseau a d’abord soutenu Călin Georgescu (extrême droite), puis a pivoté vers George Simion après l’interdiction de Georgescu en 2025 (ce dernier sous enquête pénale). Il a amplifié des attaques contre PAS (parti de Sandu) et l’UE, tout en relayant des accusations d’ingérence de Sandu et des allégations publiées par Pavel Durov (Telegram) au sujet d’une prétendue pression française — démentie par la DGSE. Des contenus visaient également le candidat pro‑européen Nicușor Dan, notamment après le soutien public de Sandu.

Intensité et narratifs 📊: Entre décembre 2024 et le 6 juin 2025, 8 514 posts ont été publiés par 116 comptes Facebook, 79 TikTok et 17 Instagram, totalisant au moins 16 millions de vues et 681 000 likes. Les pics d’activité se situent en février, avril et mai, avec une poussée entre le 9 et le 28 mai (1 452 vidéos, soit ~16,7% du total). Des hashtags coordonnés en roumain et en russe ont été utilisés, notamment: #TheGlobalistsAreLosing, #PowerIsChanging, #EUDivision, #PoliticalPressure, #MoldovanScenario, mais aussi #UkrainianScenario, #VictoryDay, #NoToEuropeDay, #NoToRomania, #FreeMoldova, #StopCensorship. Des vidéos ont affirmé qu’« 158 000 Moldaves avec passeport roumain » auraient voté « quand il fallait », accusant Sandu d’ingérence.

Méthodes et infrastructure 🤖: Le réseau combine comportement inauthentique coordonné et comptes volés/hijackés (anciens profils personnels réorientés), génération IA (photos/avatars, texte), diaporamas/vidéos, et stock footage (ex. Storyblocks) pour mettre en scène des « protestations ». Des avatars IA (ex. DreamFace) et des agents visuels IA (vidéos marquées D‑ID) ont été employés. Un canal inauthentique, ono.news, a servi de relais sur TikTok et Telegram, avec un basculement depuis un faux profil Facebook (Gabriel Matei). Le réseau a infiltré des groupes Facebook (« News Portal of the Gagauz Autonomy » ~13 300 membres; « News in Moldova » ~17 100). Le DFRLab note aussi un possible contournement de la transparence Meta: nombre d’entités restent sous le seuil de 1 000 abonnés, échappant à la Content Library/API (Meta n’a reporté que 55 comptes sur 121 identifiés via ses outils), révélant des lacunes de données.

IOCs et TTPs:

  • IOCs (indicateurs observables):
    • Comptes/handles mentionnés en sources de captures: @ono.news (TikTok/Telegram); profils cités dans les archives d’exemples (@user3362996905703, @jora0782); page Facebook « Gabriel Matei ». Groupes Facebook ciblés: « News Portal of the Gagauz Autonomy », « News in Moldova ». Outils/empreintes: D‑ID (watermark), DreamFace, Storyblocks (et références visuelles à InVideo).
  • TTPs (techniques, tactiques et procédures):
    • Comportement inauthentique coordonné multi‑plateformes (Facebook, TikTok, Instagram) avec synchronisation temporelle et hashtags coordonnés.
    • Détournement/vol de comptes existants et création de faux personnages à noms roumains; usage de profils “digital creators” (potentiel de monétisation) et infiltration de groupes Facebook.
    • Générative IA pour avatars, voix/agents visuels, et contenu automatisé; stock footage pour simuler des événements; diffusion de narratifs pro‑russes/anti‑UE/anti‑PAS.
    • Evasion par maintien de petites audiences (<1 000) afin d’éviter la détection via les mécanismes de transparence de Meta; utilisation parallèle de Telegram.

Type d’article: publication de recherche (étude de cas DFRLab) visant à documenter une opération d’influence en ligne transfrontalière et ses méthodes, portée et limites de détection.

🧠 TTPs et IOCs détectés

TTP

[‘Comportement inauthentique coordonné multi-plateformes (Facebook, TikTok, Instagram) avec synchronisation temporelle et hashtags coordonnés’, ‘Détournement/vol de comptes existants et création de faux personnages à noms roumains’, “Usage de profils ‘digital creators’ et infiltration de groupes Facebook”, ‘Générative IA pour avatars, voix/agents visuels, et contenu automatisé’, ‘Stock footage pour simuler des événements’, ‘Diffusion de narratifs pro-russes/anti-UE/anti-PAS’, ‘Evasion par maintien de petites audiences (<1 000) afin d’éviter la détection via les mécanismes de transparence de Meta’, ‘Utilisation parallèle de Telegram’]

IOC

[’@ono.news (TikTok/Telegram)’, ‘@user3362996905703’, ‘@jora0782’, “Page Facebook ‘Gabriel Matei’”, “Groupes Facebook: ‘News Portal of the Gagauz Autonomy’, ‘News in Moldova’”, ‘Outils/empreintes: D-ID (watermark), DreamFace, Storyblocks’]

🔗 Source originale : https://dfrlab.org/2025/08/26/cross-platform-campaign-accuses-moldovas-sandu-of-meddling-in-romanian-elections/