🏛️ Contexte

En mars 2026, le service français VIGINUM (rattaché au SGDSN) a publié un rapport détaillant le mode opératoire informationnel (MOI) Rokh Solis, détecté à partir de février 2026. Cette campagne visait à influencer les élections municipales françaises des 15 et 22 mars 2026 en ciblant le parti La France Insoumise (LFI) et plusieurs de ses candidats.

🎯 Objectifs et narratifs

Le MOI Rokh Solis s’articule autour de deux stratégies narratives distinctes :

  • Dénigrement ciblé : accusations de viol contre Sébastien DELOGU (Marseille), accusations de pédophilie et soutien au terrorisme contre François PIQUEMAL (Toulouse), dénonciation des positions propalestiniennes de David GUIRAUD (Roubaix)
  • Polarisation communautaire : mise en scène d’un faux écosystème islamiste radical (lalternative2026.com, forsane-alizza.eu) opposé à un faux mouvement souverainiste catholique (rcn-france.org), visant à instrumentaliser la communauté musulmane

🌐 Infrastructure technique

Quatre sites web principaux forment le cœur du dispositif, créés entre le 9 et le 19 février 2026 :

  • blogdesophie.com (9 février 2026) — accusations de viol contre DELOGU
  • delogupourpalestine.com (19 février 2026) — dénigrement de DELOGU
  • piquemalzero.com (11 février 2026) — accusations contre PIQUEMAL
  • lalternative2026.com (9 février 2026) — fausse initiative citoyenne musulmane

Ces sites partagent la même adresse IP réelle (198.177.120[.]188), le même hébergeur Namecheap, le même template WordPress (hello-elementor 3.4.6), et des images générées par Gemini (LLM) via Canva avec le même nom d’auteur (« usman latif »). Deux sites additionnels complètent l’écosystème : rcn-france.org et forsane-alizza.eu.

🤖 Amplification artificielle

  • Réseau de 500 pages Facebook aux caractéristiques inauthentiques amplifiant les contenus dès leur publication
  • 21 comptes Facebook inauthentiques ayant posté le même lien vers piquemalzero.com entre 00h01 et 00h02 le 6 mars 2026
  • 138 comptes uniques identifiés commentant de manière coordonnée sur trois pages Facebook cibles
  • Comptes présentant des photos de profil générées par IA, noms francophones génériques, localisations fictives aux États-Unis
  • Usurpation de l’identité de l’association « Enfance et Partage » sur Facebook
  • Amplification coordonnée sur TikTok, Instagram, X et Facebook

🔗 Marqueurs d’extranéité et attribution

Plusieurs éléments techniques pointent vers un acteur israélien :

  • Caractères hébreux dans les métadonnées du site lalternative2026.com
  • Compte TikTok @renaissancecatholiquefr localisé en Israël
  • Utilisateur Canva localisé en Israël dans les métadonnées de forsane-alizza.eu
  • Comptes Facebook renommés avec localisation à Tel Aviv-Jaffa et Rishon Letsion
  • Partage de hashtags et publications liés à l’organisation pro-israélienne ELNET

🏢 Attribution à Blackcore

VIGINUM attribue la campagne avec un niveau de confiance élevé à Blackcore, entité israélienne sans statut légal enregistré, opérant via le domaine blackcore.online (enregistré le 22 août 2025). L’infrastructure révèle :

  • Sous-domaine angola-plan.blackcore.online lié à des opérations en Angola
  • Sous-domaine demo.blackcore.online revendiquant 1 600 avatars sur Facebook, Instagram et TikTok
  • Liens avec les entités Galacticos AI, Iron Mind AB (enregistrée en Suède par Nir DOBICKY), Omri Systems, Electric Marinade
  • Connexion avec Yigal UNNA, ancien directeur général de l’Israel National Cyber Directorate (INCD), via l’incubateur Cygun LTD
  • Liens avec le cabinet d’avocats Afik & Co. et la société Galacticos LTD (103 Hachashmonaim, Tel Aviv)

🌍 Portée internationale

Le même réseau de comptes inauthentiques a été impliqué dans :

  • Des opérations ciblant les élections municipales de New York (novembre 2025)
  • Une campagne d’amplification pro-MPLA en Angola
  • Des opérations ciblant le Scottish National Party (janvier-mai 2026, 256 comptes, 1 400 commentaires)
  • Des campagnes islamophobes anglophones (#TheWestIsNext) ciblant l’Irlande et le Royaume-Uni

📋 Type et portée

Ce document est un rapport d’analyse officiel de VIGINUM (SGDSN), publié le 29 juin 2026, visant à documenter et qualifier une ingérence numérique étrangère dans le processus électoral français, conformément à la mission légale du service.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Blackcore (unknown) —

TTP

  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
  • T1586.001 — Compromise Accounts: Social Media Accounts (Resource Development)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)
  • T1055 — Process Injection (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1498 — Network Denial of Service (Impact)
  • T1491.002 — Defacement: External Defacement (Impact)
  • T1560 — Archive Collected Data (Collection)
  • T1593.001 — Search Open Websites/Domains: Social Media (Reconnaissance)
  • T1655 — Influence Operations (Impact)

IOC

Malware / Outils

  • Canva (détourné pour génération d’images inauthentiques) (tool)
  • Gemini LLM (génération de contenus inauthentiques) (tool)
  • CommenTron (tool)
  • Avatar Data Generator (Galacticos AI) (tool)

🟡 Indice de vérification factuelle : 63/100 (moyenne)

  • ⬜ sgdsn.gouv.fr — source non référencée (0pts)
  • ✅ 93571 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 32 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/9 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Blackcore (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 94.237.57.56 (ip) → VT (3/91 détections)

🔗 Source originale : https://www.sgdsn.gouv.fr/viginum/publications/rokh-solis-analyse-dun-mode-operatoire-informationnel-ayant-cible-les