CopyCop étend son playbook avec de nouveaux sites web et de nouvelles cibles

Executive Summary

Depuis mars 2025, Insikt Group a observé CopyCop (également connu sous le nom de Storm-1516), un réseau d'influence secret russe, créer au moins 200 nouveaux sites Web de médias fictifs ciblant les États-Unis, la France et le Canada, en plus de sites Web se faisant passer pour des marques de médias et des partis et mouvements politiques en France, au Canada et en Arménie. CopyCop a également mis en place un réseau régionalisé de sites Web se faisant passer pour une organisation fictive de vérification des faits publiant du contenu en turc, en ukrainien et en swahili, des langues qui n’avaient jamais été présentées par le réseau auparavant. En incluant les 94 sites Web ciblant l'Allemagne signalés par Insikt Group en février 2025, cela représente plus de 300 sites Web créés par les opérateurs de CopyCop depuis le début de l'année, marquant une expansion significative par rapport à notre rapport initial sur le réseau en 2024, et dont beaucoup n'ont pas encore été documentés publiquement.

Ces sites sont très probablement gérés par John Mark Dougan avec le soutien du Centre d'expertise géopolitique (CGE) basé à Moscou et de la Direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU). CopyCop utilise ces sites Web comme infrastructure pour diffuser du contenu d'influence ciblant les dirigeants pro-occidentaux et publier du contenu généré par l'intelligence artificielle (AI) avec des thèmes pro-russes et anti-ukrainiens pour soutenir les opérations offensives de la Russie dans l'environnement informationnel mondial.

Bien que la portée du réseau en termes de langues et de pays cibles se soit élargie, ses objectifs principaux restent presque certainement inchangés : saper le soutien à l’Ukraine et exacerber la fragmentation politique dans les pays occidentaux qui soutiennent l’Ukraine. L'Insikt Group a également observé que CopyCop s'engageait dans des objectifs secondaires supplémentaires tels que la promotion des objectifs géopolitiques de la Russie dans sa sphère d'influence élargie, comme l'Arménie et la Moldavie. Les récits et le contenu de CopyCop à l'appui de ces objectifs sont régulièrement amplifiés par un écosystème d'influenceurs des médias sociaux, en plus d'autres réseaux d'influence russes tels que Portal Kombat et InfoDefense.

Tout comme ses objectifs, les tactiques, techniques et procédures (TTP) de CopyCop restent globalement inchangées, avec des améliorations marginales destinées à renforcer la portée, la résilience et la crédibilité du réseau. Les tactiques et les techniques utilisées pour la diffusion du contenu comprennent généralement des "deepfakes", de longs dossiers destinés à embarrasser les cibles, et de fausses interviews de prétendus dénonciateurs faisant des affirmations sur des dirigeants politiques d'États membres de l'OTAN tels que les États-Unis, la France et l'Allemagne. Insikt Group a également identifié de nouvelles preuves que CopyCop utilise des modèles linguistiques larges (LLM) auto-hébergés et non censurés, basés sur les modèles open-source Llama 3 de Meta, pour générer du contenu AI plutôt que de s'appuyer sur des fournisseurs de services occidentaux AI.

Par rapport à d’autres réseaux d’influence russes, l’impact de CopyCop reste significatif : le contenu d’influence ciblé promu par ses sites Web et un écosystème d’influenceurs pro-russes sur les réseaux sociaux et de soi-disant « journalistes » obtient régulièrement des taux élevés d’engagement organique sur plusieurs plateformes de médias sociaux, et a un précédent pour percer dans le discours politique dominant. L’identification persistante et la dénonciation publique de ces réseaux devraient rester une priorité pour les gouvernements, les journalistes et les chercheurs qui cherchent à défendre les institutions démocratiques contre l’influence russe.

Key Findings

Background

Insikt Group a précédemment documenté CopyCop en mai et juin 2024, en plus des tentatives du réseau d'influencer les élections anticipées françaises de 2024, les élections présidentielles américaines de 2024 et les élections fédérales allemandes de 2025. Des rapports provenant d’autres organisations telles que l’Université de Clemson, VIGINUM, NewsGuard, Microsoft, le Service européen d’action extérieure et le Projet Gnida ont largement corroboré nos évaluations initiales des objectifs, des cibles et de l’infrastructure du réseau, en plus de notre attribution d’une partie des activités du réseau à John Mark Dougan, un citoyen américain basé à Moscou. Le Washington Post et le département américain du Trésor ont également établi depuis lors des liens entre Dougan, le GCE et le GRU. Le GRU aurait aidé à financer l’infrastructure auto-hébergée de LLM, tandis que le CGE était probablement responsable, avec l’aide de Dougan et la direction du GRU, de la création de deepfakes et de contenus inauthentiques ciblant les dirigeants politiques aux États-Unis, en Ukraine, en France et dans d’autres pays.

Expansion majeure de l'infrastructure

Depuis janvier 2025, Insikt Group a identifié au moins 200 nouveaux sites web que nous attribuons à CopyCop, dont la grande majorité n'a pas encore été signalée. Ces sites web se font presque tous passer pour des médias locaux fictifs aux États-Unis, en France, au Canada et en Norvège, pour des partis et mouvements politiques en France, au Canada et en Arménie, ou pour des organismes fictifs de vérification des faits publiés en turc, en ukrainien et en swahili. Insikt Group a également fait état de 94 sites CopyCop ciblant les élections fédérales allemandes de février 2025. Cela porte à au moins 300 le nombre total de sites web du réseau à ce jour cette année, reflétant une expansion significative de son infrastructure et de ses ambitions internationales depuis notre dernier rapport dédié à CopyCop en juin 2024.

Ces sites Web ont deux fonctions : premièrement, diffuser du contenu d’influence ciblé probablement préparé par le CGE et, dans certains cas, par Dougan lui-même ; deuxièmement, publier de grandes quantités de contenu généré par l’IA avec des thèmes pro-russes, anti-ukrainiens et anti-occidentaux. Les domaines d’hébergement des sites Web CopyCop sont généralement enregistrés par lots sur une infrastructure liée, et restent probablement dormants (ou publient passivement du contenu généré par l’IA) jusqu’à ce qu’ils soient utilisés pour publier du contenu ciblé, qui est ensuite amplifié sur les plateformes de médias sociaux.

Sites Web sur le thème des États-Unis

En avril 2025, Insikt Group a identifié 35 nouveaux sites CopyCop enregistrés le 29 janvier 2025, presque certainement conçus pour attirer un public basé aux États-Unis. Bien que la plupart des 35 sites Web soient protégés par Cloudflare, ils sont presque certainement hébergés sur 72[.]14[.]185[.]187, qui appartient à Akamai/Linode (AS63949). La liste complète de ces sites Web CopyCop est fournie à l’annexe A.

Sites web Truefact

Insikt Group a identifié un autre domaine hébergé sur 72[.]14[.]185[.]187, Afrique[.]Fait véridique[.]actualités. Enregistré pour la première fois en mars 2025, truefact[.]news possède les neuf sous-domaines suivants, qui ont commencé à héberger des sites CopyCop le 1er juillet 2025, en se faisant passer pour une organisation fictive de vérification des faits nommée "Truefact" :

Le domaine germany[.]truefact[.]news est hébergé sur 89[.]31[.]82[.]185, une adresse IP géolocalisée en Russie qui héberge très certainement plusieurs projets personnels de John Mark Dougan (tels que darkpulsar[.]AI ). et skryty[.]ru) et des sites CopyCop déjà identifiés comme clearstory[.]news. D'autres sous-domaines de Truefact sont identiques à des sites CopyCop déjà identifiés. Les sites france[.]truefact[.]news et fr[.]truefact[.]news a d'abord reproduit deux sites CopyCop précédemment utilisés pour cibler les élections françaises anticipées de 2024, veritecachee[.]fr et franceencolere[.]fr, respectivement.

D’autres sites Web du cluster Truefact sont probablement en train de créer de nouvelles identités et ont l’intention de cibler de nouveaux publics en publiant du contenu généré par l’IA dans un plus large éventail de langues, démontrant ainsi la valeur que les LLM peuvent apporter aux réseaux d’influence secrets qui cherchent à étendre leur portée. Plusieurs des sites Web de ce cluster utilisent encore le modèle WordPress par défaut « Zeen News » des fabricants de modèles CodeTipi, qui utilise l’en-tête « The World Times ».

Domain
Nom
Langues
africa[.]truefact[.]news
Habari Afrika
Swahili
turkey[.]truefact[.]news
Le World Times
Turc
ukraine[.]truefact[.]news
Le World Times
Ukrainien, français

Table 1: Exemples de sites Web et de langues Truefact (Source : Recorded Future)

Sites web en français

Insikt Group a identifié au moins 141 nouveaux sites Web CopyCop se faisant passer pour des médias français fictifs enregistrés entre février et juin 2025, en plus d'un site Web se faisant passer pour le radiodiffuseur public France Télévisions, détaillé dans la section de ce rapport intitulée « Les TTP évoluent pour permettre la génération de contenu et la survie du réseau ». La liste complète des sites web de CopyCop ciblant la France figure à l'annexe C. Insikt Group a également identifié au moins 43 adresses de messagerie Gmail, Proton Mail et Zoho Mail utilisées pour enregistrer des groupes de sites web de CopyCop ciblant la France, qui figurent également à l'annexe C.

En découvrant cette nouvelle infrastructure, Insikt Group a également été en mesure de relier des activités plus anciennes et non signalées à CopyCop. Par exemple, partiroyaliste[.]fr, un site web inauthentique se présentant comme un parti politique royaliste français enregistré pour la première fois en août 2024 sous le nom de partiroyaliste@proton[.]me, est probablement lié à CopyCop. Le site est hébergé sur la même infrastructure que d'autres sites CopyCop récemment identifiés et ciblant la France. Contrairement à d'autres sites web, partiroyaliste[.]fr n'utilise pas WordPress ou un autre système de gestion de contenu (CMS) pour publier du contenu généré par l'IA. Insikt Group n'a pu identifier aucune référence au domaine du site web dans les sources ouvertes, et l'intention de maintenir le site web en ligne n'est pas claire. L'un des objectifs potentiels du site web est de faire appel aux éléments monarchistes marginaux existant en France, tels que l'Alliance Royale, dont les objectifs anti-UE et anti-républicains peuvent très probablement s'aligner sur les objectifs d'influence de la Russie.

Figure 1: Site web de CopyCop partiroyaliste[.]fr se faire passer pour un parti politique royaliste français

(Source : partiroyaliste[.]fr)

Sites web canadiens

CopyCop tente presque certainement de capitaliser sur le sentiment pro-indépendance croissant dans la province canadienne de l’Alberta et d’exacerber la polarisation intérieure de la politique canadienne sur fond d’appels à un référendum sur l’indépendance. Insikt Group a identifié au moins deux nouveaux sites Web CopyCop ciblant le Canada :

Le site Web torontojournal[.]CA a été utilisé en juillet 2024 pour promouvoir un contenu inauthentique visant le chancelier allemand Friedrich Merz. Le deuxième site Web identifié par Insikt Group, albertaseparatist[.]com, se fait passer pour un mouvement d’indépendance populaire de l’Alberta, au Canada. Sur la base d'une infrastructure partagée et de similitudes avec d'autres sites web identifiés, ce site web est probablement exploité par CopyCop.

Le site Web est associé à un compte de médias sociaux (@bertaseparatist), à un compte TikTok (@bertaseparatist) et à une chaîne YouTube (@bertaSeparatist), ce qui démontre un changement dans les TTP par rapport aux sites Web CopyCop précédemment observés, qui ont rarement des comptes de médias sociaux associés. Le compte de média social a commencé à publier des messages au début du mois de mai 2025, peu après l'enregistrement du domaine du site web le 2 mai 2025. Le site Web et les comptes font la promotion de discours d’influence appelant à l’indépendance de l’Alberta vis-à-vis du Canada (figure 2), notamment en soulignant le prétendu « vol systématique » des ressources économiques de l’Alberta par Ottawa en faveur d’une redistribution vers des provinces plus pauvres comme le Québec.

Figure 2: Site web et chaîne YouTube d'Alberta Separatist (sources : albertaseparatist[.]com, YouTube)

Autres sites web

Insikt Group a identifié au moins douze autres sites web classés comme étant probablement affiliés à Dougan ou comme des sites web ciblant d'autres zones géographiques, telles que l'Union européenne (UE) et l'Arménie. La liste des sites web figure à l'annexe E.

Le 7 mars 2025, les opérateurs de CopyCop ont enregistré un domaine visant très certainement NewsGuard, newsguard[.]tech, intitulé "News Guard Parody". NewsGuard a déjà couvert CopyCop et Dougan tout au long du cycle de vie du réseau, nommant Dougan son "désinformateur de l'année 2024". Le site News Guard Parody est probablement l'une des dernières tentatives de harcèlement des chercheurs et des journalistes qui couvrent les activités de Dougan, comme un site web se faisant passer pour la BBC et ciblant le journaliste Mike Wendling, documenté dans le premier rapport d' Insikt Group sur le réseau.

En juillet 2025, des chercheurs du projet Gnida ont constaté que CopyCop utilisait plusieurs *eu[.]com des domaines pour créer des sites web inauthentiques et promouvoir des contenus d'influence, tels que insider[.]eu[.]com et ndc[.]eu[.]com. Insikt Group n'a pas été en mesure d'identifier des groupes plus importants de sous-domaines similaires enregistrés par CopyCop sur ce domaine. Les chercheurs du projet Gnida ont également identifié un site web CopyCop usurpant l'identité du parti vert arménien et utilisé pour promouvoir des contenus d'influence ciblant l'Arménie, greenarmenia[.]org.

Insikt Group a également identifié plusieurs enregistrements de sites web probablement liés aux projets de freelance de Dougan, tels que trois domaines(darkquasar[.]tech, skryty[.]ru, et skryty[.]com) hébergeant une page de connexion pour "SKRYTY" et demandant une clé d'enregistrement. Insikt Group a également identifié un autre domaine portant un nom similaire(darkpulsar[.]AI) lié à une plateforme d'hébergement vidéo PeerTube(video[.]darkpulsar[.]AI). En janvier 2025, darkpulsar[.]AI a également présenté brièvement une page de connexion avec la légende suivante : "Des informations sur les sites web du monde entier, comme une balise pulsar". En mars 2025, chat[.]darkpulsar[.]AI a également hébergé une page de connexion Open WebUI, probablement destinée à interagir avec les LLM auto-hébergés.

Figures 3 et 4: Formulaire de connexion sur darkquasar[.]tech et reg[.]skryty[.]ru (à gauche) et darkpulsar[.]AI (à droite)

(Source : URLscan 1, 2)

Les objectifs persistent alors que les récits s'adaptent continuellement

CopyCop conserve très certainement son objectif initial, qui est d'éroder le soutien politique et public international à la défense de l'Ukraine contre la Russie. CopyCop cherche clairement à diminuer le soutien à l’aide occidentale en promouvant de faux récits sur l’effort de guerre de l’Ukraine et en remettant en question la légitimité de l’administration du président Volodymyr Zelensky, visant ainsi à remodeler l’opinion publique en faveur d’un changement de leadership à Kiev.

CopyCop continue également d'aligner ses activités sur les objectifs d'influence plus larges du Kremlin, notamment en discréditant les dirigeants occidentaux et pro-occidentaux, en légitimant les exigences maximalistes de la Russie en Ukraine, en sapant les institutions démocratiques et en semant la méfiance parmi les membres de l'OTAN et de l'UE. Il projette ces récits en recyclant le contenu des médias d'État russes et des médias pro-Kremlin, en amplifiant les messages qui sèment la discorde et en injectant des affirmations fabriquées dans les flux d'information occidentaux par le biais de son réseau de sites d'information inauthentiques, d'autres sources médiatiques pro-Kremlin et d'influenceurs sympathisants sur les médias sociaux.

Des sites web centrés sur les États-Unis sont utilisés pour diffuser des récits anti-ukrainiens

Les derniers sites web de CopyCop sur le thème des États-Unis tentent presque certainement d'apparaître comme des portails d'information locaux ; cependant, les prétendus organes de presse ont tendance à baser leur couverture sur l'actualité nationale et internationale des États-Unis, avec un accent particulier sur la Russie et l'Ukraine. Les sites Web comportent également des sous-sections consacrées à des thèmes non politiques tels que le divertissement, le style de vie et les nouvelles technologiques. Les articles proviennent presque certainement de diverses sources d’information internationales, de médias et de tabloïds, et ont été réécrits à l’aide d’un LLM.

Sur les 35 domaines axés sur les États-Unis, seuls six ont été utilisés pour blanchir du contenu original créé par CopyCop ou ont été mentionnés sur les médias sociaux jusqu'à présent : allstatesnews[.]us, capitalcitydaily[.]com, fldaily[.]news, Cité d’argent[.]actualités, usatimes[.]news, et wval[.]actualités. Les 29 sites restants, à l'heure où nous écrivons ces lignes, republient des informations provenant de sources américaines et internationales, mais n'ont pas été utilisés comme sources pour le contenu original et inauthentique de CopyCop.

Les contenus présentés comme des "enquêtes" et des "histoires exclusives" intégrés dans des versions de médias authentiques reproduites par l'IA cherchent presque certainement à nuire au soutien public de l'Ukraine auprès du public américain. En mars 2025, la source CopyCop-attribuée clearstory[.]news a publié un contenu suggérant que le président Volodymyr Zelensky "détournait des fonds du contribuable américain" en payant des journalistes pour dépeindre négativement le président américain Donald Trump, citant un document à en-tête présidentiel ukrainien qui était presque certainement falsifié. L'article, partagé plus tard à de nouvelles sources CopyCop USA Times News et All States News, suggère en outre que la correspondante du Washington Post Catherine Belton jouait "un rôle clé" dans l'effort, déclarant qu'il était "logique" que Zelensky choisisse Belton, citant ses soi-disant "articles et tweets anti-Trump".

Dans un autre cas, des sources attribuées à CopyCop ont tenté d'affaiblir le gouvernement ukrainien aux yeux du public américain en l'accusant de parrainer secrètement l'aide militaire aux cartels mexicains, qui ont été désignés comme organisations terroristes étrangères (FTO) aux États-Unis en février 2025. En avril 2025, le nouveau site Web CopyCop, Capital City Daily , a mis en ligne un clip de la plateforme alternative de partage de vidéos Rumble , initialement publié par un utilisateur nommé « Red Pill News ». La vidéo, intitulée « Un lanceur d’alerte affirme que l’Ukraine vend des armes américaines au cartel sur Red Pill News Live », prétendait inclure une interview d’un membre anonyme du cartel mexicain. En plus de ses allégations non crédibles de transfert d’armes secret, la vidéo a presque certainement tenté d’exploiter des sujets polarisants de la politique intérieure américaine liés aux politiques d’immigration et d’asile des États-Unis.

Figure 5: CopyCop vidéo partagée à Rumble featuring Red Pill News Live, 14 avril 2025

(La source : Rumble via archive)

En juin 2025, les sites Web CopyCop Silver City News et WVAL News ont publié des conclusions « exclusives » d’une « attaque à grande échelle sans précédent contre l’Ukraine », à la suite de l’attaque de drones « Opération toile d’araignée » du 1er juin 2025 par l’Ukraine contre des bases aériennes russes. L’histoire était probablement une tentative de projeter la Russie comme opérant à partir d’une position de force après l’opération réussie de drones ukrainiens, ainsi que de continuer à attiser la fatigue de la guerre en Occident. L’article affirmait que les médias occidentaux, citant des rapports de renseignement de l’OTAN qui auraient fuité, avaient découvert que la Russie prévoyait de sévères frappes de représailles contre des infrastructures militaires et civiles critiques dans les grandes villes ukrainiennes, notamment Kiev, Lviv, Khmelnytskyi, Dnipro et Kharkiv. Le rapport décrit les analystes occidentaux comme alarmés par l’ampleur de l’attaque prévue et par la poursuite de l’escalade de la guerre en Ukraine. Après la publication, Insikt Group a trouvé une amplification secondaire de l'histoire grâce au réseau d'influence suivi InfoDefense Slovenia, avec une amplification tertiaire via le site Web Pravda Balkan de Portal Kombat. Notamment, la fin de l'article dans Silver City News contenait des artefacts LLM, déclarant : "Veuillez noter que cette réécriture vise à fournir un résumé clair et concis du texte original tout en conservant les détails clés", et "le ton est objectif et factuel, se concentrant sur les informations présentées dans le rapport des services de renseignement".

Figure 6: Article rédigé sur Silver City News reporting. Il s'agit d'une allégation de plans de représailles militaires russes contre l'Ukraine.

(Source : Silver City News)

Figure 7: Fin de l'"exclusivité" du Silver City News contenant des artefacts LLM

(Source : Silver City News)

Des chercheurs de l’Université de Clemson ont déjà détaillé comment CopyCop et l’écosystème Storm-1516 partagent un lien historique, technique et organisationnel étroit avec l’organisation russe « Foundation to Battle Injustice » (R-FBI). Insikt Group a continué d'observer le contenu du R-FBI ciblant les États-Unis et conçu pour remodeler négativement l'opinion publique américaine à l'égard de l'Ukraine. L’un des articles d’investigation fabriqués de toutes pièces par le R-FBI, par exemple, alléguait après l’élection présidentielle américaine de 2024 que des agents ukrainiens prévoyaient de mener une tentative d’assassinat du président élu de l’époque, Donald Trump, dans le cadre d’une « opération Sting ». Des versions de l’enquête ont ensuite été repartagées sur deux sites Web qui avaient précédemment amplifié le contenu de CopyCop, notamment « The Intel Drop » et le « London Times ».

Figure 8: Enquête fabriquée par le R-FBI alléguant des plans ukrainiens d'une tentative d'assassinat contre le président élu Trump en décembre 2024, repartagée dans le London Times (sources : London Times via archive)

CopyCop tente de diviser les liens stratégiques entre la France et l'Arménie

Dans un contexte de relations tendues entre la Russie et l’Arménie, la France et l’Arménie ont approfondi leurs liens stratégiques ces dernières années. La France elle-même est un fervent partisan occidental de l'Arménie, en partie en raison de l'influence de sa communauté arménienne, et l'approfondissement des relations bilatérales s'est manifesté récemment par un soutien continu de la France au développement économique, militaire et politique de l'Arménie et par la défense de l'Arménie dans le processus de paix Arménie-Azerbaïdjan d'avril 2025. Plus récemment, cela inclut également la formalisation de relations bilatérales plus étroites, notamment par la signature d' un "accord de partenariat stratégique" qui souligne l'engagement de la France en faveur du développement de l'Arménie pour "les années et les décennies à venir".

Compte tenu de ces nouvelles dynamiques stratégiques, CopyCop cherche probablement à mettre à rude épreuve les relations bilatérales entre les deux pays. En avril 2025, CopyCop a probablement produit une vidéo deepfake d’un individu de 16 ans nommé Narine, accusant à tort le Premier ministre arménien Nikol Pashinyan d’abus sexuels en octobre 2020. En juillet 2025, des amplificateurs de médias sociaux associés à CopyCop ont diffusé une vidéo de structure similaire d'une femme de 25 ans nommée Arpine, qui accusait des agents du service de sécurité nationale arménien d'abus sexuels parce qu'elle avait "osé protester contre Pashinyan".

Figures 9 et 10: (à gauche) Des deepfakes attribués par CopyCop accusant le premier ministre Pashinyan et des agents du service de sécurité nationale (à droite) d'abus sexuels (sources : médias sociaux via des archives).

Le 29 mai 2025, le site CopyCop infofrancaisedujour[.]fr a été utilisé pour propager un article d'investigation non crédible visant les gouvernements français et arménien. L'article affirme que le premier ministre Pashinyan a utilisé l'aide étrangère de l'Agence française de développement (AFD) pour acheter une villa à Marseille, en France. L’article a été amplifié sur les réseaux sociaux et Telegram par des comptes connus pour amplifier le contenu de CopyCop, tels que le compte de médias sociaux @its_The_Dr.

Le 27 juin 2025, un article a été publié sur le site Web à thème arménien « Arménie verte » (greenarmenia[.]org), se faisant presque certainement passer pour le Parti vert d’Arménie, a ciblé la société nucléaire française Orano en l’accusant de collusion avec le gouvernement américain pour enterrer des déchets nucléaires dans le parc national de Dilijan en Arménie. L’article citait des « reportages des médias français » avec un lien vers un article du 25 juin 2025 sur un autre site Web de CopyCop, courrierfrance24[.]fr. Les articles ont ensuite été amplifiés sur les réseaux sociaux par des comptes d’amplification CopyCop connus comme @KevorkAlmassian, @ROYALMRBADNEWS et @worldgreendlp.

En plus de tenter de creuser un fossé entre la France et l'Arménie, CopyCop a continué à cibler directement le gouvernement français, en décrivant les dirigeants en place comme corrompus et se livrant à des abus de pouvoir. En avril 2025, des chercheurs du projet Gnida ont révélé que lequotidienfrancais[.]fr (The French Daily) diffusait un contenu d'influence produit par CopyCop qui dénigrait le système judiciaire français actuel . Une archive de la plainte, en plus de l'article du Quotidien français, indique que le gouvernement français - y compris les principaux magistrats Gérald Darmanin, Bruno Retailleau et Simon Brunnquell - prévoyait d'émettre des mandats d'arrêt contre les figures de proue de l'opposition de droite française, Marine Le Pen, Marion Maréchal, Sarah Knafo et Florian Philippot. Comme "preuve" à l'appui de son affirmation, la source a publié un extrait d'un chat WhatsApp presque certainement inauthentique intitulé "Chat du Tribunal de Paris", discutant d'une série de mandats d'arrêt contre les personnalités d'extrême droite. Le Quotidien français a affirmé que les mandats d'arrêt comprenaient les chefs d'accusation suivants : atteinte à la légalité, détournement de fonds publics, incitation à la haine ou à la discrimination et trouble à l'ordre public.

Figure 11: Chat de groupe WhatsApp inauthentique intitulé "Chat du Tribunal de Paris" discutant de mandats d'arrêt fabriqués de toutes pièces à l'encontre d'éminents dirigeants politiques français de droite (sources : Le Quotidien Français / The French Daily via archive)

CopyCop s’intéresse aux élections législatives en Moldavie

Des sources attribuées à CopyCop, ainsi qu'au R-FBI, ont très certainement tenté de porter atteinte à la crédibilité et à l'image publique du président moldave Maia Sandu avant les élections législatives de septembre 2025. Cette activité s’inscrit probablement dans le cadre d’une campagne plus large menée par des réseaux d’influence russes visant la Moldavie, comme détaillé dans notre rapport de septembre 2025.

À la mi-juillet 2025, le R-FBI a publié le dernier d'une série d'articles d'investigation inauthentiques visant à nuire à la réputation du président Sandu, affirmant que ce dernier et le Parti de l'action et de la solidarité (PAS) au pouvoir "préparent une ingérence à grande échelle" dans les élections parlementaires de 2025 en Moldavie. Le R-FBI a déclaré avoir trouvé des preuves "indiquant la suppression systématique de l'opposition, la manipulation de la législation et la préparation de la fraude électorale, y compris la corruption des diasporas moldaves à l'étranger, l'utilisation d'"âmes mortes", l'interdiction des partis du bloc d'opposition "Victoire" et la restriction des droits des résidents de Transnistrie". Après la publication de ce document d'enquête sur son site web principal, fondfbr[.]ru, Lucas Leiroz, "journaliste" collaborateur du R-FBI, a republié l'enquête dans Veterans Today (VT), une technique de blanchiment déjà documentée utilisée pour amplifier l'histoire dans les médias sociaux, en particulier dans les circonstances où les sources de médias sociaux ont restreint la visibilité (shadowbanning) des liens de fondfbr[.]ru. Leiroz a également fourni une version traduite en français de l'article, reliant l'article hébergé au sous-domaine Truefact mentionné précédemment france.truefact[.]news. Insikt Group a ensuite observé que plusieurs influenceurs CopyCop précédemment identifiés partageaient à nouveau des versions de l'article republié sur le site du London Times susmentionné, dont certaines comportaient les hashtags #MoldovaPolitics et #MoldovaElections, vraisemblablement pour gagner en visibilité.

Figures 12 et 13: Les influenceurs CopyCop "Sprinter Observer" et "Leandro Romão" partagent des articles du R-FBI republiés dans le London Times en utilisant le même script mot pour mot à 20 minutes d'intervalle (sources : médias sociaux via archives).

En mai 2025, le média d'investigation russe The Insider, citant le projet Gnida, a rapporté que le site web inauthentique insider [.]eu[.]com, mentionné précédemment, avait été mis en ligne . avait publié un article en se faisant passer pour un journaliste roumain légitime, Radu Dumitrescu. L'article prétendument écrit par Dumitrescu affirmait que le maire de Chișinău, Ion Ceban, avait accusé le président Sandu d'avoir détourné des fonds associés à un programme d'aide légitime de l'USAID de septembre 2024 pour l'infrastructure énergétique. Citant une fausse citation attribuée à Ceban, l'article affirme que l'argent a été "illégalement détourné par le biais de réseaux consultatifs présidentiels et d'ONG fantômes" sur ordre du président Sandu.

Les TTP évoluent pour permettre la génération de contenu et la survie des réseaux

CopyCop utilise globalement les mêmes TTP précédemment documentés par Insikt Group et d'autres organisations, à savoir :

Insikt Group a observé plusieurs détails supplémentaires et des évolutions mineures dans les TTP pour générer du contenu, étendre la présence du réseau et aider à établir la crédibilité de ses sites web inauthentiques. En particulier, des éléments supplémentaires corroborent les conclusions du Washington Post selon lesquelles les opérateurs de CopyCop utilisent probablement des serveurs auto-hébergés fonctionnant avec une version non censurée des modèles Llama 3 de Meta (probablement dolphin-2.9-llama3-8b ou llama-3-8B-Lexi-Uncensored) pour générer un contenu biaisé. Selon le Washington Post et le département américain du Trésor, les serveurs LLM de Dougan sont financièrement sponsorisés par le GRU. Insikt Group observe également que les opérateurs de CopyCop utilisent des sous-domaines sur des sites web de médias fictifs utilisés pour refléter d'autres sites web du réseau, probablement pour accroître la présence et la résilience du réseau. Enfin, Insikt Group a également observé un changement dans le type de contenu ciblé promu par les sites CopyCop pour imiter le style de production des médias légitimes.

LLM auto-hébergés pour la génération de contenu

Il est presque certain que les opérateurs de CopyCop continuent d'utiliser des LLM pour réécrire des articles provenant d'organes de presse légitimes et les publier sur des sites web non authentiques. Insikt Group a observé la présence continue d'artefacts textuels générés par l'IA dans des articles publiés par des sites web CopyCop usurpant l'identité de médias américains, comme le passage suivant d'un article paru le 19 février 2025 sur bayoucity[.]news en indiquant que la date limite de connaissance du modèle est fixée à janvier 2023 :

Il semble que vous souhaitiez que je réécrive le texte fourni en conservant tous les détails et en les présentant de manière complète, en formatant la réponse en JSON. Toutefois, veuillez noter que je ne peux pas interagir directement avec des sites web ou des sources externes. C'est pourquoi je vous propose une version réécrite sur la base des informations disponibles à la date limite de mes connaissances, à savoir janvier 2023.

Lors d'une table ronde organisée à Moscou en janvier 2025, M. Dougan a exprimé sa frustration quant à l'utilisation de LLM occidentaux pour générer du contenu pro-russe, déclarant que "pour l'instant, il n'existe pas de très bons modèles pour AI afin d'amplifier les nouvelles russes [...] nous devons commencer à former des modèles AI sans ce parti pris [occidental] ; nous devons les former du point de vue russe". Ce cadrage, en plus de l'infrastructure liée à l'utilisation des LLM identifiée dans ce rapport (comme une page de connexion Open WebUI hébergée sur une infrastructure liée à Dougan), renforce l'évaluation selon laquelle les opérateurs de CopyCop utilisent très probablement des LLM auto-hébergés et non censurés pour la génération de contenu plutôt que de s'appuyer sur des API LLM commerciales, ce que Dougan a également affirmé dans une interview (maintenant indisponible) avec les médias français en juin 2025. Les images de l'interview de Dougan avec les médias français montrent un script Python appelant Ollama (via une fonction appelée restart_ollama()), un cadre d'inférence LLM utilisé pour exécuter des LLM locaux ou auto-hébergés.

Figure 14: Script Python utilisant Ollama montré par Dougan lors d'une interview télévisée avec les médias français.

(Source : YouTube)

Au cours de la table ronde de 2025, M. Dougan a admis avoir demandé à l'organe de presse de l'État russe TASS l'accès à des articles pour affiner les LLM "initialement formés en Occident" sur des récits alignés sur le gouvernement russe, en mentionnant une version "non censurée" des modèles de lamas de Meta. Le candidat le plus proche de la description de Dougan et de la date limite de connaissance de janvier 2023 mentionnée plus haut (qui peut être inexacte lorsque l'on interroge directement les modèles) est probablement un modèle non censuré basé sur le Llama-3.1-8b de Meta, dont la date limite de connaissance est mars 2023. Les deux versions non censurées les plus populaires de Llama-3.1-8b sur la plateforme open-source HuggingFace et sur le registre de modèles d' Ollama sont dolphin-2.9-llama3-8b et Llama-3-8B-Lexi-Uncensored, ce qui suggère que l'un de ces modèles est potentiellement utilisé par CopyCop pour générer du contenu d'influence pro-russe à grande échelle.

Cependant, l’utilisation de modèles locaux et non censurés est probablement une contrainte qui entrave la capacité du réseau à générer du contenu de manière cohérente sans inclure d’erreurs de sécurité opérationnelles. L'« ablittération » des modèles et d’autres méthodes pour « décensurer » les modèles open source existants peuvent avoir un impact sur les performances des LLM, y compris leur capacité à suivre systématiquement les instructions des utilisateurs. D’autres artefacts identifiés sur les sites Web de CopyCop indiquent que les opérateurs ont du mal à obtenir des sorties JSON structurées :

Sous-domaines en tant que miroirs

À partir de mars 2025, les opérateurs de CopyCop ont également commencé à héberger des sites web miroirs pour des sites web usurpant l'identité de médias français en combinant différents domaines de sites web CopyCop en tant que sous-domaines(figure 15). Cette mesure est très certainement destinée à améliorer la résistance du réseau aux retraits et à maximiser l'exposition du public au même contenu.

Figure 15: Illustration des sous-domaines utilisés par CopyCop pour refléter d'autres sites web (sources : Recorded Future)
Domaine 1
Domaine 2
Sous-domaine combiné
actualitespourtous[.]fr
expressactus[.]fr

actualitespourtous[.]fr[.]expressactus[.]fr

(La source)

franceavanttout[.]fr
infosdupays[.]fr
franceavanttout[.]fr[.]infosdupays[.]fr
(Source)
lafrancesouveraine[.]fr
savoirtout[.]fr

lafrancesouveraine[.]fr[.]savoirtout[.]fr

(La source)

Tableau 2: Exemples de sous-domaines utilisés par CopyCop (sources : Recorded Future)

Nouveaux formats de contenu non authentiques

Le contenu inauthentique promu par les sites CopyCop comprenait auparavant souvent des deepfakes et des interviews inauthentiques, tels que de faux dénonciateurs faisant des allégations sur des dirigeants politiques ciblés. Alors que le réseau continue de produire et d'amplifier du contenu en utilisant de faux dénonciateurs (comme on l'a vu avec la vidéo du membre présumé d'un cartel mexicain en avril 2025, mentionnée plus haut dans ce rapport), les nouveaux sites CopyCop ciblant la France ont commencé à publier des vidéos en utilisant la marque du site web inauthentique sur lequel elles sont promues. Par exemple, courrierfrance24[.]fr a fait la promotion d' une vidéo qui contient des graphiques de diffusion utilisant le logo "Courrier France 24" et édités pour ressembler à des émissions télévisées légitimes.

Figures 16 et 17: Contenu inauthentique promu par des sites CopyCop se faisant passer pour des médias

(Source : courrierfrance24[.]fr)

Cette nouvelle tactique corrobore notre évaluation selon laquelle le réseau tente très probablement de se faire passer pour des médias légitimes en utilisant des visuels de qualité croissante, une tactique utilisée par d'autres opérations d'influence russes telles que l'opération Overload et Doppelgänger. Insikt Group a également documenté l' utilisation par le réseau de profils de journalistes générés par l'IA, et les chercheurs du projet Gnida ont depuis noté que les nouveaux sites CopyCop utilisent probablement aussi des identités volées à des journalistes légitimes.

Usurpation de l’identité de vrais médias

Outre l'exploitation de marques médiatiques fictives, CopyCop continue également à se faire passer occasionnellement pour des entités légitimes, après avoir déjà usurpé l'identité de la BBC et de partis politiques américains et français. Le 22 juillet 2025, CopyCop a enregistré tvfrance2[.]fr (en utilisant jeanmoreau90[@]proton[.]me) et a commencé à héberger un site web usurpant l'identité du radiodiffuseur public français France Télévisions. Le 24 juillet 2025, le site a publié un article affirmant que le gouvernement français avait vendu sa participation majoritaire dans EDF, le fournisseur national d'énergie français, au vice-premier ministre ukrainien Oleksiy Chernyshov.

Figure 18: Article sur un site CopyCop usurpant l'identité de France Télévisions

(Source : tvfrance2[.]fr)

Mitigations

Outlook

Les réseaux d'influence russes tels que CopyCop, qui utilisent le site génératif AI pour produire des contenus biaisés à grande échelle, risquent de dégrader l'environnement mondial de l'information et de menacer l'intégrité de l'information, notamment au cours des processus démocratiques et en particulier dans le contexte des élections. L'empoisonnement des résultats de recherche avec de grandes quantités d'informations pro-russes qui peuvent être utilisées comme contexte pour l'ingestion de LLM peut conduire à une refonte potentielle des récits autour de questions géopolitiques clés telles que l'Ukraine dans les données recueillies par les agents de AI ou incluses dans les ensembles de données d'entraînement des modèles. La volonté délibérée d'empoisonner les MFR est devenue une intention déclarée des acteurs de l'influence russe, comme l'a décrit Dougan lui-même en janvier 2025. Alors que d'autres réseaux russes comme Portal Kombat dépassent probablement CopyCop en termes de génération de contenu, les récits de ce dernier sont régulièrement diffusés sur plusieurs plateformes de médias sociaux, atteignant régulièrement les catégories trois et quatre de l'échelle Breakout de la Brookings Institution pour les opérations d'influence, et ont précédemment établi un précédent en atteignant la catégorie cinq. Du point de vue d'un LLM, les récits de CopyCop peuvent apparaître comme étant confirmés par différentes sources, notamment des journalistes pro-russes, des sites web de médias locaux en Afrique et au Moyen-Orient, et les sites web de CopyCop eux-mêmes.

Exposer publiquement ces récits et leur infrastructure sous-jacente doit rester une priorité pour les gouvernements, l'industrie et la société civile. Le démenti des récits russes (par l'intermédiaire de vérificateurs de faits ou de notes de la communauté) reste efficace pour fournir un contexte équilibré aux résultats de recherche et aux outils génératifs de plus en plus intégrés de AI, et peut contribuer à atténuer l'empoisonnement du LLM. Les entreprises qui déploient le site génératif AI au niveau de l'infrastructure (y compris les moteurs de recherche et les navigateurs) et les applications populaires de consommation ou de médias sociaux doivent prêter une attention particulière aux sources d'influence russes et les empêcher d'être indexées et amplifiées par les LLM.

Enfin, bien que les chercheurs s’intéressent de plus en plus aux opérations d’influence visant les principaux États membres de l’OTAN comme les États-Unis, la France et l’Allemagne, les réseaux d’influence russes ont toujours le potentiel d’interférer de manière significative avec les processus démocratiques dans les pays moins surveillés, comme l’a démontré l’annulation des élections présidentielles de décembre 2024 en Roumanie en raison des craintes d’ingérence russe. Les États démocratiques situés dans la sphère d'influence de la Russie et ayant des élections à venir, tels que la Moldavie et les États baltes, sont très certainement exposés à des tentatives d'ingérence de la part d'opérations d'influence russes telles que CopyCop, Portal Kombat, Operation Overload et Doppelgänger.

Annexe A : Sites web américains de CopyCop

Domaines

AllstatesNews[.]nous
alohadigest[.]com
bayoucitycrier[.]com
bayoucitytoday[.]com
capitalcitydaily[.]com
capitoldaily[.]news
quotidienhebdomadaire[.]news
fldaily[.]news
flga[.]news
goldengatedaily[.]com
kjfk[.]news
klas[.]news
klax[.]news
kmia[.]news
kpbi[.]news
kphl[.]news
ksfo[.]news
ksmo[.]news
lachronicle[.]news
lareport[.]news
metroreport[.]news
sfreport[.]news
silvercity[.]news
steelcitydaily[.]com
twincityreport[.]com
txdaily[.]news
usatimes[.]news
walx[.]news
wdmdtv[.]com
windycitycrier[.]com
windycitymirror[.]com
windycitytimes[.]news
wktv[.]news
wtat[.]news
wval[.]news

Adresse IP

72[.]14[.]185[.]187

Annexe B : Sites web du groupe Truefact

Domaines

truefact[.]news
afrique[.]truefact[.]news
de[.]truefact[.]news
fr[.]truefact[.]news
france[.]truefact[.]news
allemagne[.]truefact[.]news
mexico[.]truefact[.]news
espagne[.]truefact[.]news
turkey[.]truefact[.]news
ukraine[.]truefact[.]news

Adresses IP

72[.]14[.]185[.]187
89[.]31[.]82[.]185

Annexe C : Sites web français de CopyCop

Domains

actu-net[.]fr
actualite360[.]fr
actualitesmaintenant[.]fr
actualitespourtous[.]fr
actualitespourtous[.]fr[.]expressactus[.]fr
actubretagne[.]fr
actudirecte[.]fr
actuiledefrance[.]fr
actuiledefrance[.]fr[.]nouvelle-aquitaine-aujourdhui[.]fr
actuperspectives[.]fr
actus-independantes[.]fr
actus-independantes[.]fr[.]meilleuresactus[.]fr
actus-sanscensure[.]fr
actus-sanscensure[.]fr[.]infos-encontinu[.]fr
actus24[.]fr
actusetinfosdupays[.]fr
actusetinfosdupays[.]fr[.]frmedialive[.]fr
affichedujour[.]fr
agorahexagone[.]fr
ame-nationale[.]fr
ame-nationale[.]fr[.]savoirtout[.]fr
analyse-actus[.]fr
analyse-actus[.]fr[.]pause-actus[.]fr
ardennesinfolive[.]fr
ardennesinfolive[.]fr[.]vosges-enligne[.]fr
bref-france24[.]fr
bref-france24[.]fr[.]visiondelafrance[.]fr
chroniquesfrancaises[.]fr
chronoinfo[.]fr
courrierfrance24[.]fr
direct-nouvelles[.]fr
direct-nouvelles[.]fr[.]meilleuresactus[.]fr
echorhonealpes[.]fr
eclairinfo[.]fr
editorialesactus[.]fr
editorialesactus[.]fr[.]francechronique[.]fr
enquetedujour[.]fr
evenementsetactus[.]fr
evenementsetactus[.]fr[.]patrimoineinfo[.]fr
expressactus[.]fr
flash-actualites[.]fr
flash-actualites[.]fr[.]francechronique[.]fr
flash-bourgognefranchecomte[.]fr
flash-bourgognefranchecomte[.]fr[.]nouvelle-aquitaine-aujourdhui[.]fr
flashhexagone[.]fr
france-aujourdhui[.]fr
france-aujourdhui[.]fr[.]actus24[.]fr
france-droite[.]fr
france-droite[.]fr[.]patrimoineinfo[.]fr
france-premiere[.]fr
france-vision[.]fr
france24-7[.]fr
france24actus[.]fr
franceactuelle[.]fr
franceactuweb[.]fr
franceactuweb[.]fr[.]vivezlinfo[.]fr
franceavanttout[.]fr
franceavanttout[.]fr[.]infosdupays[.]fr
francechronique[.]fr
francedetail[.]fr
francepatriotique[.]fr
francepatriotique[.]fr[.]chronoinfo[.]fr
francepourlesfrancais[.]fr
francepourlesfrancais[.]fr[.]infosdupays[.]fr
francerealites[.]fr
frmedialive[.]fr
info-grand-est[.]fr
info-minute[.]fr
infofrancaisedujour[.]fr
infofrance-focus[.]fr
infohexagone[.]fr
infohexagone[.]fr[.]actus24[.]fr
infos-encontinu[.]fr
infosdupays[.]fr
infosinternationales[.]fr
infosinternationales[.]fr[.]visiondelafrance[.]fr
instantactus[.]fr
investigateurfrancophone[.]fr
journalrepublicain[.]fr
la-francegaullienne[.]fr
la-francegaullienne[.]fr[.]frmedialive[.]fr
lactualite-provencale[.]fr
lactualite-provencale[.]fr[.]info-grand-est[.]fr
lafrance-debout[.]fr
lafrance-debout[.]fr[.]infos-encontinu[.]fr
lafrancesouveraine[.]fr
lafrancesouveraine[.]fr[.]savoirtout[.]fr
latribunefrancaise[.]fr
le-choinfo[.]fr
lefilactualites[.]fr
lefilhexagonal[.]fr
lefocus-occitanie[.]fr
lejournalfrancophone[.]fr
lejournalnormand[.]fr
lepointnumerique[.]fr
lequotidienfrancais[.]fr
linformateurdujour[.]fr
linformateurdujour[.]fraffichedujour[.]fr
magazinedusoir[.]fr
meilleuresactus[.]fr
midi-pyreneesactualite[.]fr
midi-pyreneesactualite[.]fr[.]vosges-enligne[.]fr
minutedinfo[.]fr
miroirdelafrance[.]fr
nordactuquotidien[.]fr
nordactuquotidien[.]fr[.]normandie-actusinfos[.]fr
normandie-actusinfos[.]fr
nouvelle-aquitaine-aujourdhui[.]fr
nouvelleperspective[.]fr
nouvelles-deshautsdefrance[.]fr
nouvelles-hexagonales[.]fr
nouvellesfrance24[.]fr
nouvellesfrance24[.]fr[.]chronoinfo[.]fr
panorama-info[.]fr
panorama-info[.]fr[.]chroniquesfrancaises[.]fr
partiroyaliste[.]fr
patrimoineinfo[.]fr
pause-actus[.]fr
perspectives-francaises[.]fr
pointdevueactu[.]fr
reportagesinternationaux[.]fr
reportagesinternationaux[.]fr[.]pause-actus[.]fr
reseauavecactus[.]fr
reseauavecactus[.]fr[.]lefilactualites[.]fr
revelationdes-mensonges[.]fr
revelationdes-mensonges[.]fr[.]infosdupays[.]fr
savoirtout[.]fr
sudouestdirect[.]fr
tvfrance2[.]fr
visiondelafrance[.]fr
visionfrancophone[.]fr
visionfrancophone[.]fr[.]expressactus[.]fr
vivezlinfo[.]fr
voix-francophone[.]fr
voix-francophone[.]fr[.]lefilactualites[.]fr
voixdelafrance[.]fr
vosges-enligne[.]fr
xn--actu-auvergne-rhne-alpes-lnc[.]fr
Xn--actu-auvergne-rhne-alpes-lnc[.]fr[.]normandie-actusinfos[.]fr

IP Addresses

82[.]221[.]136[.]1
82[.]221[.]136[.]47
82[.]221[.]129[.]24
185[.]11[.]145[.]145
185[.]11[.]145[.]254
198[.]54[.]116[.]120
82[.]221[.]136[.]24

Email Addresses

7rose7rose7rose7[@]gmail[.]com
bowiejack79[@]gmail[.]com
car0nmattt[@]gmail[.]com
cherryd0mmd[@]gmail[.]com
cupofteaxoxoxo[@]gmail[.]com
faupure[@]gmail[.]com
fosseppp[@]gmail[.]com
marrriiiiion[@]gmail[.]com
mst1cscr1be[@]gmail[.]com
mystiqueg55[@]gmail[.]com
oldbalance90[@]gmail[.]com
olivepeppi[@]gmail[.]com
patrickb0o0ob[@]gmail[.]com
rochwork81[@]gmail[.]com
sonicwaave[@]gmail[.]com
trawolfy[@]gmail[.]com
urbahvibes[@]gmail[.]com
w0oo0denst0ne[@]gmail[.]com
xianoex1[@]gmail[.]com
applefreshtaste[@]proton[.]me
guacamoolee[@]proton[.]me
imnemesis[@]proton[.]me
jeanmoreau90[@]proton[.]me
partiroyaliste[@]proton[.]me
roycarbon[@]proton[.]me
snippingg[@]proton[.]me
subzero1334[@]proton[.]me
cptjsilver[@]protonmail[.]com
frod0bag[@]protonmail[.]com
jeluwin[@]protonmail[.]com
q[.]berthoin[@]protonmail[.]com
solsstice[@]protonmail[.]com
xxxphoeniixxx[@]protonmail[.]com
zephyzephyr[@]protonmail[.]com
ctrlaltdell[@]zohomail[.]eu
dinoalbino[@]zohomail[.]eu
eclipseespilce[@]zohomail[.]eu
johnlock4815[@]zohomail[.]eu
kupper66[@]zohomail[.]eu
laughingwizard[@]zohomail[.]eu
nathgir[@]zohomail[.]eu
neonninja72[@]zohomail[.]eu
pixelpioneeer[@]zohomail[.]eu
sparr00w[@]zohomail[.]eu
strawberrry[@]zohomail[.]eu

Annexe D : Sites web canadiens de CopyCop

Domaines

albertaseparatist[.]com
torontojournal[.]ca

Annexe E : Autres sites web

Domains

newsguard[.]tech
insider[.]eu[.]com
ndc[.]eu[.]com
greenarmenia[.]org
darkquasar[.]tech
skryty[.]com
skryty[.]ru
darkpulsar[.]ai
video[.]darkpulsar[.]ai
darkpulsar[.]ai
chat[.]darkpulsar[.]ai
reuters[.]uk[.]net