Révélation : l'université Bauman forme secrètement des hackers pour le GRU russe

🗞️ Contexte

Article publié le 7 mai 2026 par The Guardian, dans le cadre d’une enquête exclusive menée par un consortium de six médias (Guardian, Der Spiegel, Le Monde, The Insider, Delfi, VSquare), basée sur plus de 2 000 documents internes de l’université Bauman de Moscou couvrant plusieurs années d’activité jusqu’en 2025.

🏫 Le programme secret : Département 4

Au sein de l’université Bauman Moscow State Technical University, un département confidentiel baptisé Département 4 (ou « Special Training ») forme discrètement des étudiants sélectionnés pour intégrer le GRU (Direction du renseignement militaire russe). Ce département est divisé en trois filières spécialisées, dont la principale porte le code 093400 intitulée « Special Reconnaissance Service ».

Le GRU exerce un contrôle direct sur le recrutement et la notation : ses officiers conduisent les examens, approuvent les candidats et supervisent les affectations.

👨‍🏫 Personnels identifiés

• Lt Col Kirill Stupakov : responsable du département, officier en renseignement des signaux, signataire d’un contrat de trois ans en 2022 avec l’Unité GRU 45807. Enseigne l’écoute électronique et la surveillance clandestine.
• Viktor Netyksho : général de division sanctionné par l’Occident, ancien commandant de l’Unité 26165 (Fancy Bear), inculpé par le DOJ américain pour ingérence dans l’élection présidentielle américaine de 2016.

🎓 Contenu pédagogique

Les cours couvrent notamment :

• Attaques par mot de passe, exploitation de vulnérabilités logicielles, chevaux de Troie
• Tests de pénétration pratiques et développement de virus informatiques (exigé pour valider le cursus)
• Techniques de keylogging, caméras dissimulées, capture d’écran via câble moniteur piégé
• Structure et organisation des services de renseignement militaires américains et britanniques
• Guerre de l’information : création de campagnes de désinformation, manipulation psychologique, vidéos de propagande sur les réseaux sociaux

🎯 Affectations post-diplôme

Parmi les 69 diplômés de la promotion printemps 2024 :

• Daniil Porshin : affecté à Fancy Bear (Unité 26165) après six ans à Bauman.
• Un autre étudiant affecté à l’Unité 74455 (Sandworm) à Anapa (mer Noire).
• 15 autres membres de la même promotion dirigés vers des unités du GRU.

Sandworm est notamment accusé d’avoir ciblé :

• Le réseau électrique ukrainien (2015)
• La campagne présidentielle d’Emmanuel Macron (2017)
• Les Jeux olympiques d’hiver de Corée du Sud (2018)
• L’enquête britannique sur l’empoisonnement de Salisbury

📌 Éléments complémentaires

• L’université Mirea est citée comme encore plus centrale dans la formation de hackers selon une source interne.
• La dernière promotion en cours ne diplômera pas avant fin 2027.
• Les services de renseignement néerlandais (février 2026) et la Suède (avril 2026) ont récemment alerté sur l’intensification des activités hybrides russes en Europe.

📋 Nature de l’article

Article de presse généraliste à caractère investigatif, basé sur des documents primaires. Son but principal est de révéler publiquement l’existence d’un pipeline institutionnel entre une université russe de prestige et les unités cyber offensives du GRU.

🧠 TTPs et IOCs détectés

Acteurs de menace

• APT28 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Sandworm (state-sponsored) — orkl.eu · Malpedia

TTP

• T1566 — Phishing (Initial Access)
• T1059 — Command and Scripting Interpreter (Execution)
• T1204 — User Execution (Execution)
• T1056.001 — Input Capture: Keylogging (Collection)
• T1113 — Screen Capture (Collection)
• T1110 — Brute Force (Credential Access)
• T1587.001 — Develop Capabilities: Malware (Resource Development)
• T1583 — Acquire Infrastructure (Resource Development)
• T1071 — Application Layer Protocol (Command and Control)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1496 — Resource Hijacking (Impact)
• T1498 — Network Denial of Service (Impact)
• T1589 — Gather Victim Identity Information (Reconnaissance)
• T1591 — Gather Victim Org Information (Reconnaissance)

Malware / Outils

• Trojan (générique) (other)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

• ⬜ theguardian.com — source non référencée (0pts)
• ✅ 9606 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 14 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : APT28, Sandworm (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.theguardian.com/world/2026/may/07/revealed-russia-top-secret-spy-school-hacking-western-electoral-interference