🌐 Contexte

Publié le 11 mai 2026 par DomainTools sur leur portail de recherche, ce rapport constitue une analyse technique et stratégique complète de la campagne d’influence Doppelgänger, attribuée à des acteurs liés à la Russie et opérée par deux entités complémentaires : la Social Design Agency (SDA) et Structura.

🏗️ Structure organisationnelle

  • SDA : organe de planification stratégique et narrative, coordonne le développement des thèmes, le timing et la distribution
  • Structura : fournisseur d’infrastructure technique (enregistrement de domaines, hébergement, systèmes de redirection, analytics)
  • Connexions documentées avec l’Administration présidentielle russe, l’organisation ANO Dialog et Sergei Kiriyenko
  • Couche de personnel synthétique (RRN) : faux organigramme de rédaction avec rôles hiérarchiques (rédacteur en chef, éditeurs, journalistes) basés sur des identités fabriquées

🔧 Architecture d’infrastructure

Réseau de sites feeder :

  • Sites imitant des médias légitimes occidentaux (cybersquatting visuel et nominal)
  • Domaines identifiés : memhouse[.]online, truemaps[.]info, tribunalukraine[.]info, avisindependent[.]eu
  • Rotation rapide des domaines après takedown

Infrastructure de redirection :

  • Chaînes de redirections multi-intermédiaires pour obscurcir l’attribution
  • Utilisation de Keitaro (plateforme de gestion de trafic issue du marketing affilié) pour le geo-targeting et l’analytics

Régénération d’infrastructure :

  • Remplacement rapide des domaines saisis avec réutilisation de templates standardisés

📡 Modèle de distribution opérationnel

Pipeline en 5 étapes :

  1. Création de contenu narratif
  2. Publication sur sites feeder
  3. Amplification Telegram via canaux établis (Readovka, SolovievLive, IntelSlava, Ukraina[.]ru, OstashkoNews — >5M abonnés cumulés)
  4. Injection X/Twitter via clusters de comptes jetables (reply swarms)
  5. Uptake secondaire organique

📊 Portée et effets

Intensité Utilisateurs atteints Interactions Mentions secondaires
Faible 800K–1,3M 40K–120K 2K–5K
Standard 1,5M–2,7M 100K–300K 10K–40K
Haute (crise) 3M–5M 250K–700K 40K–100K

🎯 Objectif stratégique

L’objectif n’est pas la persuasion directe mais la saturation narrative : exposition répétée pour normaliser des cadres interprétatifs, créer une ubiquité manufacturée et dégrader la cohérence informationnelle. Alignement documenté avec la doctrine russe d’informatsionnoye protivoborstvo (confrontation informationnelle) et continuité avec les Active Measures soviétiques.

🚨 Indicateurs de détection

  • Infrastructure : domaines récemment enregistrés imitant des médias, rotation rapide, templates partagés, chaînes de redirection
  • Comportementaux : cascades de reposts Telegram synchronisés, clusters de comptes X récents à faibles followers, reply swarms
  • Cross-platform : séquence feeder → Telegram → X/Twitter observable

📋 Type d’article

Rapport de recherche CTI à visée analytique et stratégique, produit par DomainTools pour documenter l’écosystème complet d’une opération d’influence étatique russe, incluant infrastructure technique, mécanismes de propagation, portée estimée et contexte doctrinal.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Social Design Agency (SDA) (state-sponsored) —
  • Structura (state-sponsored) —

TTP

  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1584.001 — Compromise Infrastructure: Domains (Resource Development)
  • T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
  • T1586.001 — Compromise Accounts: Social Media Accounts (Resource Development)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598 — Phishing for Information (Reconnaissance)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1036 — Masquerading (Defense Evasion)
  • T1056 — Input Capture (Collection)
  • T1102 — Web Service (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1496 — Resource Hijacking (Impact)
  • T1491.002 — Defacement: External Defacement (Impact)

IOC

Malware / Outils

  • Keitaro (tool)

🟢 Indice de vérification factuelle : 83/100 (haute)

  • ✅ dti.domaintools.com — source reconnue (Rösti community) (20pts)
  • ✅ 59512 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 63 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/3 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 14 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Social Design Agency (SDA), Structura (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • tribunalukraine.info (domain) → VT (5/92 détections)

🔗 Source originale : https://dti.domaintools.com/research/sda-structura-doppelganger-influence-ops