🏛️ Contexte
En mars 2026, le service français VIGINUM (rattaché au SGDSN) a publié un rapport détaillant le mode opératoire informationnel (MOI) Rokh Solis, détecté à partir de février 2026. Cette campagne visait à influencer les élections municipales françaises des 15 et 22 mars 2026 en ciblant le parti La France Insoumise (LFI) et plusieurs de ses candidats.
🎯 Objectifs et narratifs
Le MOI Rokh Solis s’articule autour de deux stratégies narratives distinctes :
- Dénigrement ciblé : accusations de viol contre Sébastien DELOGU (Marseille), accusations de pédophilie et soutien au terrorisme contre François PIQUEMAL (Toulouse), dénonciation des positions propalestiniennes de David GUIRAUD (Roubaix)
- Polarisation communautaire : mise en scène d’un faux écosystème islamiste radical (lalternative2026.com, forsane-alizza.eu) opposé à un faux mouvement souverainiste catholique (rcn-france.org), visant à instrumentaliser la communauté musulmane
🌐 Infrastructure technique
Quatre sites web principaux forment le cœur du dispositif, créés entre le 9 et le 19 février 2026 :
- blogdesophie.com (9 février 2026) — accusations de viol contre DELOGU
- delogupourpalestine.com (19 février 2026) — dénigrement de DELOGU
- piquemalzero.com (11 février 2026) — accusations contre PIQUEMAL
- lalternative2026.com (9 février 2026) — fausse initiative citoyenne musulmane
Ces sites partagent la même adresse IP réelle (198.177.120[.]188), le même hébergeur Namecheap, le même template WordPress (hello-elementor 3.4.6), et des images générées par Gemini (LLM) via Canva avec le même nom d’auteur (« usman latif »). Deux sites additionnels complètent l’écosystème : rcn-france.org et forsane-alizza.eu.
🤖 Amplification artificielle
- Réseau de 500 pages Facebook aux caractéristiques inauthentiques amplifiant les contenus dès leur publication
- 21 comptes Facebook inauthentiques ayant posté le même lien vers piquemalzero.com entre 00h01 et 00h02 le 6 mars 2026
- 138 comptes uniques identifiés commentant de manière coordonnée sur trois pages Facebook cibles
- Comptes présentant des photos de profil générées par IA, noms francophones génériques, localisations fictives aux États-Unis
- Usurpation de l’identité de l’association « Enfance et Partage » sur Facebook
- Amplification coordonnée sur TikTok, Instagram, X et Facebook
🔗 Marqueurs d’extranéité et attribution
Plusieurs éléments techniques pointent vers un acteur israélien :
- Caractères hébreux dans les métadonnées du site lalternative2026.com
- Compte TikTok @renaissancecatholiquefr localisé en Israël
- Utilisateur Canva localisé en Israël dans les métadonnées de forsane-alizza.eu
- Comptes Facebook renommés avec localisation à Tel Aviv-Jaffa et Rishon Letsion
- Partage de hashtags et publications liés à l’organisation pro-israélienne ELNET
🏢 Attribution à Blackcore
VIGINUM attribue la campagne avec un niveau de confiance élevé à Blackcore, entité israélienne sans statut légal enregistré, opérant via le domaine blackcore.online (enregistré le 22 août 2025). L’infrastructure révèle :
- Sous-domaine angola-plan.blackcore.online lié à des opérations en Angola
- Sous-domaine demo.blackcore.online revendiquant 1 600 avatars sur Facebook, Instagram et TikTok
- Liens avec les entités Galacticos AI, Iron Mind AB (enregistrée en Suède par Nir DOBICKY), Omri Systems, Electric Marinade
- Connexion avec Yigal UNNA, ancien directeur général de l’Israel National Cyber Directorate (INCD), via l’incubateur Cygun LTD
- Liens avec le cabinet d’avocats Afik & Co. et la société Galacticos LTD (103 Hachashmonaim, Tel Aviv)
🌍 Portée internationale
Le même réseau de comptes inauthentiques a été impliqué dans :
- Des opérations ciblant les élections municipales de New York (novembre 2025)
- Une campagne d’amplification pro-MPLA en Angola
- Des opérations ciblant le Scottish National Party (janvier-mai 2026, 256 comptes, 1 400 commentaires)
- Des campagnes islamophobes anglophones (#TheWestIsNext) ciblant l’Irlande et le Royaume-Uni
📋 Type et portée
Ce document est un rapport d’analyse officiel de VIGINUM (SGDSN), publié le 29 juin 2026, visant à documenter et qualifier une ingérence numérique étrangère dans le processus électoral français, conformément à la mission légale du service.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Blackcore (unknown) —
TTP
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
- T1586.001 — Compromise Accounts: Social Media Accounts (Resource Development)
- T1608.005 — Stage Capabilities: Link Target (Resource Development)
- T1055 — Process Injection (Defense Evasion)
- T1036 — Masquerading (Defense Evasion)
- T1059 — Command and Scripting Interpreter (Execution)
- T1498 — Network Denial of Service (Impact)
- T1491.002 — Defacement: External Defacement (Impact)
- T1560 — Archive Collected Data (Collection)
- T1593.001 — Search Open Websites/Domains: Social Media (Reconnaissance)
- T1655 — Influence Operations (Impact)
IOC
- IPv4 :
198.177.120.188— AbuseIPDB · VT · ThreatFox - IPv4 :
80.78.18.115— AbuseIPDB · VT · ThreatFox - IPv4 :
94.237.57.56— AbuseIPDB · VT · ThreatFox - IPv4 :
5.22.213.198— AbuseIPDB · VT · ThreatFox - IPv4 :
185.230.63.107— AbuseIPDB · VT · ThreatFox - IPv4 :
185.230.63.171— AbuseIPDB · VT · ThreatFox - IPv4 :
185.230.63.186— AbuseIPDB · VT · ThreatFox - Domaines :
blogdesophie.com— VT · URLhaus · ThreatFox - Domaines :
delogupourpalestine.com— VT · URLhaus · ThreatFox - Domaines :
piquemalzero.com— VT · URLhaus · ThreatFox - Domaines :
lalternative2026.com— VT · URLhaus · ThreatFox - Domaines :
rcn-france.org— VT · URLhaus · ThreatFox - Domaines :
rcn-france.com— VT · URLhaus · ThreatFox - Domaines :
forsane-alizza.eu— VT · URLhaus · ThreatFox - Domaines :
blackcore.online— VT · URLhaus · ThreatFox - Domaines :
electric-marinade.com— VT · URLhaus · ThreatFox - Domaines :
omrisystems.com— VT · URLhaus · ThreatFox - Domaines :
balckcore.com— VT · URLhaus · ThreatFox - Domaines :
sadaqahpalestine.com— VT · URLhaus · ThreatFox - Domaines :
iron-mind.ai— VT · URLhaus · ThreatFox - Domaines :
galacticos.ai— VT · URLhaus · ThreatFox - Domaines :
twostepinnovations.com— VT · URLhaus · ThreatFox - URLs :
https://angola-plan.blackcore.online— URLhaus - URLs :
https://demo.blackcore.online— URLhaus - URLs :
https://full-report.blackcore.online— URLhaus - URLs :
https://fb-search.omrisystems.com— URLhaus - URLs :
https://avatar-data-generator.electric-marinade.com— URLhaus - URLs :
https://avatar-data-generator.omrisystems.com— URLhaus - URLs :
https://proposals.blackcore.online— URLhaus - Emails :
enfanceetpartageorg@proton.me - Emails :
quiestdelgou@gmail.com - Emails :
info@guiraudestzero.com
Malware / Outils
- Canva (détourné pour génération d’images inauthentiques) (tool)
- Gemini LLM (génération de contenus inauthentiques) (tool)
- CommenTron (tool)
- Avatar Data Generator (Galacticos AI) (tool)
🟡 Indice de vérification factuelle : 63/100 (moyenne)
- ⬜ sgdsn.gouv.fr — source non référencée (0pts)
- ✅ 93571 chars — texte complet (fulltext extrait) (15pts)
- ✅ 32 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 1/9 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 12 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Blackcore (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
94.237.57.56(ip) → VT (3/91 détections)
🔗 Source originale : https://www.sgdsn.gouv.fr/viginum/publications/rokh-solis-analyse-dun-mode-operatoire-informationnel-ayant-cible-les