Un enquêteur financier est tombé par hasard sur les activités douteuses d'un groupe néonazi en Russie. Le journal pro-occidental en exil Medusa a expliqué qu'en juillet 2022, Artem Irgebaev téléchargeait un jeu de tir sur un site de torrent: «Synthetik: Legion Rising». Une fois le fichier torrent téléchargé, il remarque un «comportement inhabituel». Quiconque a déjà attrapé un virus sur de tels sites connaît les symptômes: Puissance de calcul utilisée à plein régime, programmes inconnus fonctionnant en arrière-plan, etc.
Artem et ses amis, qui ont également téléchargé le jeu, se rendent compte que quelque chose ne va pas:
En y regardant de plus près, Artem a remarqué «des adresses de cryptowallet emballées dans le code». L'affaire est maintenant claire: son PC a été infecté par un logiciel malveillant dit du «presse-papiers».
Outre ce logiciel malveillant plutôt difficile à détecter, un deuxième est caché dans le fichier du jeu: un programme de crypto-minage. L'ordinateur de la victime mine ainsi des cryptomonnaies (en consommant de la puissance de calcul et de l'électricité) et les envoie à un portefeuille. Rien d'inhabituel, explique Irgebaev à Medusa.
Par curiosité, Artem cherche sur Google les adresses auxquelles elles appartiennent:
Rusich est l'un des nombreux groupes paramilitaires néonazis qui combattent aux côtés de l'armée russe en Ukraine. Toutefois, comme elles ne font pas formellement partie de l'armée, de telles unités doivent financer elles-mêmes leur équipement et leurs soins médicaux. La solution parfaite pour cela: les cryptomonnaies.
Selon ses propres déclarations, Rusich utilise effectivement l'argent transféré sur ces portefeuilles pour l'équipement et l'approvisionnement. Dans un post Telegram, le groupe a même publié une liste du matériel nécessaire. Depuis septembre 2022, cinq des portefeuilles de Rusich figurent sur une liste de sanctions américaines.
L'une des adresses de portefeuille apparaît également sur le site web de la fondation ukrainienne de dons Happy New Life. Les personnes peuvent y soutenir financièrement les forces armées ukrainiennes et les réfugiés, notamment par des crypto-paiements. La fondation a été créée en juin 2022 à Dnipro. Elle est née d'un mouvement local de bénévoles. Pourquoi donc les dons de la fondation vont-ils à Rusich?
Le fondateur de la fondation, Daniel Ovtcharenko, ne sait pas comment l'adresse de Rusich s'est retrouvée sur son site web. Il explique à Medusa que c'est l'adresse du portefeuille de la fondation qui devrait s'y trouver:
Il admet qu'il n'a, lui-même, presque pas participé à la création du site web et qu'il a été créé «rapidement et à moindre coût».
Rapide et à moindre coût signifie souvent aussi mal sécurisé. Pour l'enquêteur financier Irgebaev, il est donc clair que Rusich a piraté le site et échangé les adresses:
Le site de Happy New Life est désormais en cours de maintenance. Le portefeuille Rusich en lien est toujours en service. Il contient actuellement plus de 7000 francs en Ethereum (au taux de change actuel).
Retour au PC d'Artem. L'infection par le logiciel malveillant a eu lieu juste après le téléchargement des fichiers du jeu. On peut donc penser que le groupe a créé lui-même le logiciel malveillant et l'a intégré dans le jeu sur le site de torrents. Selon Irgebaev, ce n'est pas forcément le cas: il est très probable que les néonazis se soient fait aider par des cybercriminels professionnels.
On trouve facilement de tels services de cybercriminalité sur le Darknet. Rusich y a également des liens: Irgebaev a pu prouver qu'entre juillet et octobre 2022, le groupe a reçu l'équivalent de plus de 1700 francs de trois bourses de drogue séparées.
Il est peu probable que le groupe Rusich vende lui-même de la drogue sur Internet, tout comme il est peu probable que les exploitants de ces bourses aient payé le groupe pour ses services (militaires).
La solution la plus évidente est que les bourses de la drogue ont été utilisées pour anonymiser les paiements. Sur de telles plateformes, on achète une monnaie interne avec des crypto-monnaies «normales». On l'utilise ensuite pour payer la drogue, le service, etc. Ces transactions internes n'apparaissent pas dans la blockchain. On peut donc seulement voir que l'on a dépensé de l'argent sur la bourse, mais pas à qui cet argent a été versé.
La majeure partie des avoirs sur les portefeuilles de Rusich provient de transactions directes. D'autant plus que les adresses officielles de dons de Telegram et les adresses des logiciels malveillants sont les mêmes, il n'est pas possible de déterminer exactement quelle quantité provient de quelle source. Les transactions présentent toutefois des caractéristiques curieuses:
Ces chiffres sont tout de même très élevés pour que ces «dons» proviennent uniquement d'utilisateurs de Telegram qui ont vu des annonces de Rusich. Les montants moyens des dons, en particulier, semblent douteux.
Medusa a interrogé le leader du groupe, Alexei Milchakov, sur les faits: le volume important d'argent, la fondation piratée, les attaques de logiciels malveillants, les bourses de drogue. Milchakov avoue candidement tout:
Milchakov souligne qu'il ne bénéficie pas personnellement d'argent des dons; il décide seulement de la manière dont il est dépensé.
En septembre, sur le canal de Rusich, Milchakov a suggéré aux soldats russes de faire chanter les proches de prisonniers de guerre ukrainiens: «Ne laissez pas les corps [des prisonniers morts] sur place, prenez une photo sur laquelle le visage est bien visible. Ensuite, contactez les proches et proposez-leur de révéler l'endroit où leur bien-aimé a été enterré en échange de 2000 dollars américains».