Le changement de vocation de Killnet : mythe ou réalité ?

Remarqué pour la première fois au début de 2022 par les firmes de cybersécurité occidentales, Killnet est considéré comme le groupe d’hacktivistes pro-russe le plus actif depuis le début de la guerre en Ukraine (février 2022). Le collectif peut d’ailleurs se targuer d’avoir accompli, du moins en partie, sa mission originelle : créer et regrouper en son sein divers groupes d’hacktivistes pro-russes pour multiplier sa force de frappe. L’intégration d’Anonymous Sudan, un autre groupe aux objectifs apparemment similaires, a notamment permis au collectif d’accroître considérablement ses capacités au cours des derniers mois.

Identifié par l’alliance des « Five Eyes » (Australie, Nouvelle-Zélande, Royaume-Uni, Canada, États-Unis) en tant que menace aux infrastructures critiques, Killnet continue toutefois d’être perçu par les chercheurs comme un groupe peu sophistiqué, dont les conséquences des cyberattaques — visant en grande partie les infrastructures critiques, les médias et les sites web gouvernementaux des pays de l’OTAN et de leurs alliés — laissent à désirer. Le groupe est d’ailleurs fréquemment pointé du doigt pour sa tendance à exagérer ses exploits, voire à revendiquer des attaques n’ayant jamais eu lieu.

De simples coups marketing ?

Ce sont les dernières annonces de Killnet sur Telegram qui ont permis au collectif d’hacktivistes, friand d’exposition médiatique, de faire la une des journaux à l’international. À la mi-mars 2023, Killmilk, le leader autoproclamé du groupe, annonce le rebranding de la marque : Killnet deviendrait Black Skills, une entreprise de cyber-mercenariat inspirée du groupe de mercenaires Wagner. Aux yeux des experts, cette refonte — qui n’existe pour l’instant que de nom — aurait pour but d’attirer l’attention des médias occidentaux, en plus d’amener davantage de crédibilité au groupe.

La firme d’intelligence privée londonienne Grey Dynamics croit cependant que ce remodelage pourrait représenter une tentative d’attirer davantage le soutien et l’attention du gouvernement russe, dans le but de permettre des opérations plus élaborées.

Killnet dévoilait également, en début d’année, le lancement de sa Dark School, une école de cybercriminalité visant à former la relève et à grossir les rangs du collectif. Les cours, offerts en anglais, en russe, en espagnol et en hindi, couvrent différents sujets tels que les attaques DDoS, la création et la promotion de désinformation à des fins lucratives, l’ingénierie sociale, l’OSINT, la psychologie de la cyberguerre et le cyber-espionnage.

Malgré l’attention médiatique suscitée par ces annonces, des chercheurs en cybersécurité mettent en doute l’avancement réel des initiatives du collectif pro-russe, rappelant sa vente précipitée du forum Infinity, une plateforme destinée aux hacktivistes et aux cybercriminels, en février 2023.

Quel avenir pour Killnet ?

Malgré sa ligne de conduite calquée sur les intérêts géopolitiques de la Russie, les chercheurs n’ont pu établir de lien direct entre Killnet et les autorités russes. La firme Mandiant, qui a consacré un rapport en juillet 2023 aux dernières mutations du groupe, souligne toutefois que Killnet pourrait bel et bien représenter une opération gouvernementale russe de type « fausse bannière » avec l’objectif de déguiser ses offensives numériques sous le couvert d’un mouvement citoyen.

Dans tous les cas, il paraît évident que Killnet cherche à gagner en notoriété auprès du public et à attirer de potentielles sources de financement pour propulser ses activités. Son entêtement à s’identifier comme un groupe de cyber-mercenaires peut également être interprété comme un acte opportuniste, vu la popularité des sociétés militaires privées en Russie. Et ce en plus de lui permettre de naviguer sur le récent écho médiatique dont profitent les acteurs de ce phénomène grandissant.

En dépit de ses capacités décuplées par son affiliation avec Anonymous Sudan, Mandiant affirme que le mode opératoire du groupe et le choix de ses victimes restent sensiblement les mêmes. Prudente, la firme américaine prévoit qu’à défaut de se muer en fournisseur de services de cyberguerre, Killnet et ses affiliés risquent à l’avenir de « poursuivre leurs attaques DDoS et devenir plus audacieux dans leur ciblage des organisations ».