Un membre du renseignement russe au cœur d’un forum cybercriminel

Le chercheur américain en cybersécurité Brian Krebs a publié, le 7 février 2024, une enquête portant sur le forum cybercriminel russe Mazafaka. Entre sa création en 2001 et le piratage dont il a été victime en 2021, ce forum a joué un rôle-clé dans la cybercriminalité russe. Or, il s’avère qu’un de ses membres les plus influents appartient au renseignement militaire russe, le GRU.

Le piratage de Mazafaka a en effet entraîné une divulgation de ses données internes, dont une liste de ses membres. Le premier nom cité n’y est pas celui d’un administrateur, ni celui de son fondateur, le célèbre « Stalker », mais d’un certain Djamix. Entre 2001 et 2008, ce dernier était l’un des membres les plus actifs du forum.

Il s’y présentait en tant qu’avocat disposé à donner des conseils juridiques aux cybercriminels. Il commentait régulièrement les arrestations et les procès de pirates informatiques, notamment russes, partout dans le monde. « Pour échapper à la loi, il faut la connaître. C’est le plus important. Les capacités techniques ne peuvent surpasser l’intelligence et la ruse », avait-il par exemple affirmé en septembre 2007.

Par des recoupements entre son adresse mail et des identifiants sur divers sites, Brian Krebs a pu identifier Djamix comme étant Aleksei Safronov. Ce citoyen russe, né en 1970 à Sotchi, porte, sur des photos de son profil public Facebook, un treillis militaire avec un écusson du GRU. Le rôle exact qu’il joue au sein du renseignement militaire russe n’est toutefois pas clair.

La présence d’un agent du GRU dans Mazafaka (et dans d’autres forums similaires) peut s’expliquer par une volonté d’y recruter des cybercriminels. Une mission de renseignement est une autre piste possible. Mark Rasch, ancien procureur chargé de la cybercriminalité au ministère américain de la Justice, estime ainsi qu’Aleksei Safronov aurait pu infiltrer « la communauté cybercriminelle russe » afin de la « surveiller pour le compte du GRU ».