Source: DomainTools Investigations (DTI). Contexte: publication d’une analyse détaillée (04/03/2026) du réseau Doppelgänger / RRN actif depuis 2022, avec collaboration de Google Threat Intelligence et AWS Threat Intelligence.

L’étude présente une architecture d’influence industrielle, centrée sur l’usurpation de marques médias à grande échelle et ancrée autour du hub narratif RRN (Reliable Recent News). Le réseau est conçu pour la résilience et la scalabilité, privilégie des TLD à faible coût/scrutin et s’appuie sur une infrastructure cloud (CDN fronting) afin d’assurer la continuité opérationnelle malgré les saisies.

Le modèle est modulaire et en couches: 1) couche de coordination (orchestration des achats de domaines, timing narratif, réponse à l’enforcement), 2) hub narratif RRN (rrn[.]world, rrn[.]media → rrn[.]so, rrn[.]com[.]tr, rrussianews[.]com), 3) fronts narratifs pays (ex.: 50statesoflie., acrosstheline., shadowwatch[.]us), 4) clones de médias (Spiegel, Bild, FAZ, Guardian, ANSA, etc.), 5) redirection/suivi, 6) SEO (mots-clés, backlinks, métadonnées), 7) amplification sociale. Ce découpage isole les fonctions pour absorber les perturbations (ex.: saisies de domaines) sans effondrement du système.

L’infrastructure révèle des vagues de provisioning (mi‑2022; sept. 2024) alignées sur des jalons géopolitiques/électoraux, une diversification TLD (.media, .agency, .ltd, .today, .life, .ws, .cc, .so, .beauty, .expert, .vip, .pics, .top) avec préservation du second-level lors des migrations (ex.: rrn[.]media → rrn[.]so), une dispersion registrar (Cloudflare, GoDaddy/Jomax, Namecheap, Dynadot, Porkbun) et privacy par défaut. Côté hébergement, CDN Cloudflare masque les origines; les backends sont distribués sur Google Cloud (principal) et AWS (mineur), avec micro‑clusters et réutilisation d’actifs statiques; peu ou pas d’AS russes, favorisant une neutralité géographique. Des artefacts WordPress montrent une gouvernance centralisée (rôles segmentés, comptes @rrn[.]com[.]tr, focus SEO, app-passwords en 2025). Les schémas de nommage (typosquatting, suffixes sémantiques, modificateurs géo) indiquent une génération automatisée; l’équipe suggère la surveillance CT comme alerte précoce.

Le ciblage est micro‑géographique: Allemagne (prioritaire) avec densité de clones et narratifs anti‑OTAN/sanctions; France (mélange clones + fronts, cadrage coûts économiques/fatigue Ukraine); États‑Unis (fronts narratifs, cadrage cycles électoraux, défiance institutionnelle); R.-U. (clones, scepticisme OTAN); Italie (ANSA, érosion de confiance). L’analyse insiste sur ce que l’infrastructure n’est pas: pas de C2 malware, pas de phishing/collecte d’identifiants, pas de monétisation affiliée/publicité; il s’agit d’une infrastructure de diffusion narrative. Le rapport conclut à une maturité opérationnelle (DevOps, redondance, apprentissage sous pression) et une architecture d’influence infrastructure‑first. 🧩

IOCs (domaines observés):

  • 20minuts[.]com
  • 50statesoflie[.]cc
  • 50statesoflie[.]com
  • 50statesoflie[.]so
  • acrosstheline[.]cc
  • acrosstheline[.]press
  • ansa[.]ltd
  • artichoc[.]cc
  • avisindependent[.]eu
  • bild-d[.]beauty
  • bild[.]beauty
  • bild[.]expert
  • bild[.]llc
  • bild[.]pics
  • bild[.]work
  • bild[.]ws
  • bildd[.]beauty
  • bildd[.]lol
  • blld[.]live
  • build[.]vip
  • build[.]ws
  • dailymail[.]cfd
  • faz[.]agency
  • faz[.]life
  • fox-news[.]in
  • fox-news[.]top
  • levinaigre[.]so
  • rrn[.]com[.]tr
  • rrn[.]media
  • rrn[.]so
  • rrn[.]world
  • rrussianews[.]com
  • shadowwatch[.]us
  • spiegel[.]agency
  • spiegel[.]fun
  • spiegel[.]ltd
  • spiegel[.]media
  • spiegel[.]today
  • spiegeli[.]life
  • spiegeli[.]today
  • sueddeutsche[.]cc
  • sueddeutsche[.]co
  • sueddeutsche[.]me
  • theguardian-com[.]com
  • ukrlm[.]so
  • welt[.]ltd
  • welt[.]media
  • welt[.]ws

TTPs clés:

  • Usurpation de marques médias via substitution TLD, typosquatting (duplication/omission/substitution phonétique) et suffixes sémantiques/géo.
  • Diversification TLD et migration enforcement‑aware en préservant le second‑level (ex.: rrn[.]media → rrn[.]so).
  • Dispersion registrar et privacy shielding pour la résistance à l’attribution.
  • CDN fronting (Cloudflare) et backends sur hyperscalers (principalement Google Cloud, secondairement AWS) avec micro‑clustering et réutilisation d’actifs.
  • Gouvernance CMS WordPress centralisée (rôles segmentés type “seoadmin”, comptes @rrn[.]com[.]tr, app‑passwords/API).
  • Automatisation de génération de domaines (templates, logiques répétables) et optimisation SEO.
  • Segmentation infra/narrative par pays, couches de redirection/suivi, amplification sociale coordonnée.
  • Indicateurs DNS (recyclage nameservers, TTL/SOA homogènes) comme pivots de corrélation plus robustes que l’IP.

Conclusion: il s’agit d’une analyse de menace documentant une infrastructure de désinformation structurée, résiliente et opérée de manière professionnelle, avec cartographie des domaines, des techniques et des schémas opérationnels.

🧠 TTPs et IOCs détectés

TTP

[‘Usurpation de marques médias via substitution TLD, typosquatting (duplication/omission/substitution phonétique) et suffixes sémantiques/géo’, ‘Diversification TLD et migration enforcement‑aware en préservant le second‑level (ex.: rrn[.]media → rrn[.]so)’, ‘Dispersion registrar et privacy shielding pour la résistance à l’attribution’, ‘CDN fronting (Cloudflare) et backends sur hyperscalers (principalement Google Cloud, secondairement AWS) avec micro‑clustering et réutilisation d’actifs’, ‘Gouvernance CMS WordPress centralisée (rôles segmentés type “seoadmin”, comptes @rrn[.]com[.]tr, app‑passwords/API)’, ‘Automatisation de génération de domaines (templates, logiques répétables) et optimisation SEO’, ‘Segmentation infra/narrative par pays, couches de redirection/suivi, amplification sociale coordonnée’, ‘Indicateurs DNS (recyclage nameservers, TTL/SOA homogènes) comme pivots de corrélation plus robustes que l’IP’]

IOC

[‘20minuts[.]com’, ‘50statesoflie[.]cc’, ‘50statesoflie[.]com’, ‘50statesoflie[.]so’, ‘acrosstheline[.]cc’, ‘acrosstheline[.]press’, ‘ansa[.]ltd’, ‘artichoc[.]cc’, ‘avisindependent[.]eu’, ‘bild-d[.]beauty’, ‘bild[.]beauty’, ‘bild[.]expert’, ‘bild[.]llc’, ‘bild[.]pics’, ‘bild[.]work’, ‘bild[.]ws’, ‘bildd[.]beauty’, ‘bildd[.]lol’, ‘blld[.]live’, ‘build[.]vip’, ‘build[.]ws’, ‘dailymail[.]cfd’, ‘faz[.]agency’, ‘faz[.]life’, ‘fox-news[.]in’, ‘fox-news[.]top’, ’levinaigre[.]so’, ‘rrn[.]com[.]tr’, ‘rrn[.]media’, ‘rrn[.]so’, ‘rrn[.]world’, ‘rrussianews[.]com’, ‘shadowwatch[.]us’, ‘spiegel[.]agency’, ‘spiegel[.]fun’, ‘spiegel[.]ltd’, ‘spiegel[.]media’, ‘spiegel[.]today’, ‘spiegeli[.]life’, ‘spiegeli[.]today’, ‘sueddeutsche[.]cc’, ‘sueddeutsche[.]co’, ‘sueddeutsche[.]me’, ’theguardian-com[.]com’, ‘ukrlm[.]so’, ‘welt[.]ltd’, ‘welt[.]media’, ‘welt[.]ws’]

🔗 Source originale : https://dti.domaintools.com/research/doppelganger-rrn-disinformation-infrastructure-ecosystem