Le groupe Stormous et les hackers de Gold Rabbit secouent la sphère cyber avec une opération aux multiples facettes : politique, commerciale, idéologique.Depuis le 12 juin, une fuite de données revendiquée par les hackers russes du groupe Stormous cible le gouvernement français. Mais derrière cette annonce brutale se cache une opération plus complexe, où se mêlent revendications idéologiques, cyber-marché noir, et stratégies d’influence. Une véritable cyber manifestation, que ZATAZ décrypte ici avec précaution, à partir d’échanges vérifiés avec un membre du groupe via messagerie sécurisée, fondés sur des preuves concrètes mais non publiables.
Il se font appeler Lapin d’Or – un pseudonyme, vous vous en doutez bien. ZATAZ a eu la possibilité de rencontrer, via une messagerie sécurisée autre que Telegram, un membre de ce groupe de hackers pour parler de l’action qu’ils ont lancée voilà quelques semaines. Le Lapin d’or est apparu sur un forum de pirates, DarkForum entre autres.
Il propose à la vente des données s’affichant comme appartenir à plusieurs ministères et entités étatiques françaises, comme l’Urssaf.
Motivations : entre combat identitaire et intérêt financier
L’idée de Gold Rabbit : manifester contre le racisme ambiant visant les musulmans et, soyons honnêtes, se faire un peu d’argent. Son cas n’est pas unique. Souvenez-vous des opérations OpFrance ou encore OpFR, lancées par des groupes de hackers du Maghreb il y a quelques mois. Ils affichaient les mêmes motivations d’hacktivistes.
« C’est une campagne qui existait déjà auparavant, m’explique-t-il. C’est une sorte de reprise, en quelque sorte. À l’ancienne… c’était une sacrée époque. » nous explique notre source.
Ce qui a attiré l’œil de ZATAZ : le fait que les données de Lapin d’Or apparaissaient sur un autre site, quelques jours après sa petite annonce. Les mêmes données s’affichaient sur le blog des pirates russes Stormous. Autant dire que ce détail a attiré l’attention de votre serviteur. Que viennent faire des activistes russes dans les affaires d’hacktivistes réclamant plus de respect envers les musulmans en France ?Mais avant d’avoir la réponse (plus bas dans cet article), j’ai posé une question qui peut paraître futile, mais qui, je pense, doit titiller votre curiosité : pourquoi le pseudonyme « Lapin d’Or » ? La réponse est simple : « L’or, c’est la valeur ; le lapin, la rapidité, la furtivité et la ruse. » CQFD.
Notre interlocuteur est très respectueux, un jeune papa, fier de son éducation et de celle qu’il donne à son enfant. D’ailleurs, il ne cache pas participer, avec d’autres, à des chasses aux pédocriminels : « On lutte pour la protection des enfants. Quand je vois que des pédocriminels prennent du sursis au lieu du ferme, on lance des cyberattaques contre des plateformes et ces gens, avec mes collègues du groupe.«
Un lien surprenant avec Stormous
Mais revenons aux diffusions de Stormous : 190 000 données soi-disant volées au gouvernement français. Ces données ne datent pas d’hier. Certaines étaient déjà vendues sur Breached (forums pirates fermés aujourd’hui) en 2024 et début 2025. Je vais apprendre de la bouche de l’interlocuteur que Stormous a racheté les informations à Lapin d’Or. Et ce n’est pas la première fois.
L’intérêt pour Stormous est de créer du trouble à l’intérieur des pays qu’il vise. Une manière de dire : « Regardez, votre pays ne sait pas vous protéger » ; « Vos données sont en danger, qu’il vous protège au lieu d’aider l’Ukraine.«
Ce type de stratégie s’appelle la guerre psychologique ou plus précisément une forme de subversion ou d’opérations d’influence. On peut aussi la rattacher à la notion de diversion stratégique. Voici comment elle est abordée respectivement dans les textes de Sun Tzu et Machiavel [Cela fait partie des cours que je peux donner en S.E.].
Analyse stratégique : de Sun Tzu à Machiavel« Le suprême art de la guerre, c’est de soumettre l’ennemi sans combattre. » – L’art de la guerre – Sun Tzu.
Cette campagne illustre des tactiques de guerre psychologique : diviser, semer la peur et la méfiance. Sun Tzu et Machiavel y voient un moyen de soumettre sans combattre, en exploitant les faiblesses internes. En exposant l’impuissance supposée de l’État à protéger ses citoyens, Stormous joue sur l’opinion publique. ZATAZ vous explique en profondeur la tactique.
Sun Tzu insiste sur l’importance de saper l’ennemi de l’intérieur avant même d’engager un conflit ouvert. Cela passe par diviser les alliances (chapitre 1 : « De l’évaluation« ), désinformer et déstabiliser la population et le pouvoir par le doute, la peur, ou la honte. Dans le chapitre 13 (L’emploi des espions), Sun Tzu explique (dans le langage et l’environnement de l’époque) qu’utiliser des agents secrets pour semer la discorde est le plus efficace. Au XXIème siècle, il suffit d’employer quelques internautes, quelques bots et les réseaux sociaux. En somme, créer du trouble dans l’esprit des citoyens et des dirigeants afin de les détourner de leur propre stabilité. C’est ce que je vous décris ici : mettre en scène une incapacité de l’État à protéger sa population, pour affaiblir son autorité et sa cohésion.
Machiavel, lui, est plus centré sur la manipulation des perceptions et le contrôle par la peur ou la division. Il explique qu’un prince avisé doit exploiter les faiblesses internes de ses ennemis en détournant l’attention de la population, et parfois, provoquer ou laisser faire des troubles pour justifier l’autorité du pouvoir ou décrédibiliser l’ennemi. Ce que fait exactement Donald Trump, en ce moment aux États-Unis d’Amérique. Concernant la diffusion de Stormous, faire croire à la population qu’elle est abandonnée ou trahie par son gouvernement. Bref. Typiquement « machiavélique ». On use de la peur, de l’indignation ou du doute pour faire vaciller la loyauté. Et si ça peut être aidé par des internautes qui mettent des « j’aime », repartagent, Etc. C’est tout bénéfice pour la désinformation.« Les hommes se gouvernent plus aisément par les illusions que par la vérité. » – Machiavel – Le Prince
De son côté, la bande Gold Rabbit ne cache pas son business. Elle est présente sur des forums pirates qui permettent la revente de données. Stormous n’a plus qu’à faire ses courses : « Il achète pour des dizaines de milliers d’euros« , me confirme l’hacktiviste rencontré. « Nous ne sommes pas des cybercriminels. Juste des cyber-militants qui en ont marre d’être traités comme des sujets de propagande ou des figures médiatiques ou politiques. Les politiques font des déclarations de guerre envers notre culture, alors qu’on veut vivre comme tous les citoyens. Avec les derniers faits, nous avons décidé de riposter numériquement. C’était la goutte d’eau qui fait déborder le vase.«
Bilan : des journalistes de médias dits de droite, mais aussi des influenceurs et des politiques proches de l’extrême droite ont été visés. Quelques blogs barbouillés. Et des données diffusées ! Certaines via un outil fait maison « A la mano » comme l’indique notre source ; d’autres via une faille. Je reviendrai sur ce dernier détail en fin d’article.
À la question : « Pourquoi Stormous ? »— « Il achète. Nous, c’est juste un ras-le-bol face à ces attaques incessantes. On en a juste marre d’être des punching-balls. C’est du piratage, du militantisme.«
Stratégies et méthodes techniques
Donc non, le gouvernement français n’a pas été piraté directement. Trois cyber attaques ont été exploitées.
D’abord, un sous-traitant. Le fameux problème de la « supply chain« . « Il y a des sous traitants que l’on a ciblé via spear phishing » indique G.R.
Ensuite, Gold Rabbit et son équipe (Je ne lui ai pas demandé combien ils étaient au sein de cette bande) ont créé un RAT, un Remote Access Trojan (cheval de Troie d’accès à distance), plus puissant qu’un stealer. Comme son nom l’indique, une fois un ordinateur infiltré, Gold Rabbit se transforme en Ulysse de « l’Iliade et de l’Odyssée » d’Homère, devant la ville de Troie. Infiltrer sans être vu. Le RAT remplace le cheval de bois. La décennie du Roi d’Ithaque prend quelques secondes aujourd’hui. Le RAT peut se balader, faire des captures d’écran, activer la webcam et le micro, intercepter les frappes clavier et donc copier les informations de l’ordinateur de la cible, en l’occurrence, des machines de particuliers piégés.
« Un RAT personnalisé que l’on a développé nous-mêmes. On a travaillé sur les options de password recovery. C’est par ce biais que l’on a exfiltré les identifiants et mots de passe. […] On préfère coder nous-mêmes manuellement, car quand c’est codé manuellement, le malware a moins de failles, et on peut faire des tests unitaires pour vérifier les bugs. Alors qu’un malware codé par IA ou déjà existant, les EDR et les antivirus vont vite le détecter.« Entre provocation et subversion
Gold Rabbit assume sa posture de cyber-militant. Stormous, de son côté, poursuit ses objectifs de déstabilisation. En surface, l’affaire ressemble à une fuite de données classique. En profondeur, elle témoigne de l’évolution des conflits numériques, où l’information devient arme, et la peur, levier d’influence.
Aprés de longues heures de discussions, Gold Rabbit a fait un geste et m’a proposé la troisième cyber attaque. Il va me fournir la faille qui leur a permis de collecter certaines informations. Je leur ai indiqué qu’un Hacktiviste peut et doit aider. Ils ont bien voulu faire un geste. L’informations sensible qui ne sera pas explicitée ici a été communiqué à L’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information. [Protocole d’Alerte ZATAZ n’105 675]
merci à ZATAZ
