Executive Summary

A l'approche des élections législatives du 28 septembre 2025 en Moldavie, l'Insikt Group observe plusieurs opérations d'influence actives liées à la Russie et visant à déstabiliser les élections et à faire dérailler l'adhésion de la Moldavie à l'Union européenne (UE). À ce jour, il est peu probable que les OI analysées dans ce rapport aient réussi à façonner l'opinion publique ou à orienter le discours autour des prochaines élections.

Les OI russes et les réseaux correspondants analysés dans ce rapport - l'opération Overload, l'opération Undercut, la Foundation to Battle Injustice, Portal Kombat et d'autres moyens d'influence russes - projettent constamment une image défavorable du président moldave Maia Sandu et du parti au pouvoir, le Parti de l'action et de la solidarité (PAS), afin de manipuler presque certainement les perceptions publiques internationales et nationales en présentant les dirigeants moldaves en place comme corrompus et contraires aux intérêts de la Moldavie. En outre, ces opérations présentent la poursuite de l'intégration de la Moldavie dans l'UE comme désastreuse pour son avenir économique et sa souveraineté, et la Moldavie dans son ensemble comme étant en désaccord avec les normes et les valeurs européennes. En outre, le contenu amplifié par ces OI suggère que la Moldavie est politiquement et économiquement plus étroitement alignée sur la Russie que sur l'UE, et qu'une relation plus étroite avec le Kremlin est une alternative plus favorable.

Depuis au moins avril 2025, l'opération Overload (Matryoshka, Storm-1679) s'est très certainement engagée dans une campagne de dénigrement du président Sandu, tout en présentant la Moldavie comme incompatible avec le reste de l'Europe. De même, la Foundation to Battle Injustice a également publié de multiples enquêtes inauthentiques dans le but principal de nuire à la crédibilité du président Sandu et du PAS. Au cours de cette période, une OI liée à la Russie que nous suivons sous le nom d'Opération Undercut a activement consacré une grande partie de ses ressources à un effort anti-Sandu, anti-PAS, anti-intégration européenne ciblant les utilisateurs moldaves des médias sociaux, y compris une activité que nous attribuons à Opération Undercut sur TikTok pour la première fois. Ce rapport met également en lumière des pages Facebook secrètes récemment signalées, associées à l'organisation "Evrazia" de l'oligarque moldave Ilan Shor, ainsi qu'à la chaîne de télévision Moldova24, liée à Shor, qui tente activement d'accroître son influence dans le pays. Enfin, notre recherche examine les activités en cours de Pravda Moldova, un agrégateur de médias pro-russes hyper-concentré sur les affaires politiques moldaves et faisant partie de l'écosystème Portal Kombat qui a récemment été identifié comme s'engageant dans l'empoisonnement de la sortie des chatbots d'intelligence artificielle.

À l'approche des élections législatives de septembre 2025, Insikt Group estime que les OI liées à la Russie, y compris les réseaux bien documentés dont il est question dans le présent rapport et tout nouveau réseau émergent, vont très probablement augmenter en volume. Bien qu'il y ait peu de preuves que ces opérations aient influencé de manière significative le comportement des électeurs, elles présentent des risques plus importants pour l'intégrité des médias et la confiance du public. Les récits portant atteinte à la sécurité ou à l’intégrité des élections pourraient réduire la participation électorale, tandis que l’engagement des médias avec des contenus non authentiques – plutôt que d’exposer les tactiques qui les sous-tendent – pourrait amplifier les messages malveillants. Pour atténuer ces risques, nous recommandons de surveiller les sources identifiées dans ce rapport à l’aide de la plateforme d’opérations de renseignement de Recorded Future pour éclairer les messages publics, de renforcer les cyberdéfenses liées aux élections et de continuer à dénoncer de manière proactive les OI malveillantes afin de réduire leur impact potentiel.

Key Findings

• De multiples OI liées à la Russie tentent activement de déstabiliser les élections parlementaires de septembre 2025 en Moldavie et de dégrader la confiance du public dans les dirigeants moldaves pro-occidentaux actuels.
• Operation Overload et l'organisation non gouvernementale (ONG) Foundation to Battle Injustice, basée en Russie, mènent très certainement des campagnes distinctes pour influencer négativement l'opinion internationale sur les aspirations de la Moldavie à l'intégration européenne et pour diminuer le soutien de l'opinion publique au président moldave Maia Sandu.
• L'opération Undercut vise très probablement à conditionner le public moldave à s'attendre à des élections truquées en faveur du PAS, à exploiter les craintes préexistantes d'une guerre conventionnelle avec la Russie et à amplifier les préoccupations économiques des électeurs.
• Des OI associées à l'organisation Evrazia d'Ilan Shor et à Moldova24, un réseau de télévision soutenu par l'État russe et très probablement parrainé par Shor, diffusent des messages anti-Sandu ciblant le public moldave par le biais de publicités dans les médias sociaux sur Meta.
• La seule fonction très probable du site Web de Pravda Moldova est de servir d’amplificateur et de blanchisseur de contenu médiatique pro-Kremlin à la population roumanophone de Moldavie dans le cadre de l’écosystème de Portal Kombat.

Background

Les élections législatives de septembre 2025 en Moldavie devraient avoir une influence décisive sur l'avenir à long terme du pays, en particulier sur la poursuite de la trajectoire vers l'intégration à l'UE d'ici l'échéance de 2030. Cette orientation stratégique a été confirmée à la fin de l'année 2024, lorsque les électeurs moldaves ont approuvé de justesse un référendum constitutionnel en faveur de l'adhésion à l'UE. Ce référendum a coïncidé avec la réélection du président sortant Sandu, qui a obtenu environ 55% des voix. Cependant, l'élection de 2024 a fait l'objet d'importantes tentatives d'ingérence de la part de la Russie, notamment l' achat systématique de votes, le soutien financier occulte à des candidats pro-russes, des OI malveillantes, des perturbations hybrides ciblant l'infrastructure électorale et une ingérence physique par le biais d'alertes à la bombe visant les bureaux de vote de la diaspora. Les élections parlementaires de 2025 étant effectivement la "dernière chance" de ralentir ou de faire dérailler complètement l'adhésion de la Moldavie à l'UE, les OI russes et les activités de déstabilisation potentielles sont susceptibles de s'intensifier.

Les organisations internationales secrètes cherchent à ramener la Moldavie dans le "monde russe".

Insikt Group suit activement plusieurs OI liées à la Russie qui ciblent des publics russophones et roumanophones en Moldavie, ainsi que des communautés internationales plus larges. Ces opérations sont presque certainement conçues pour délégitimer l'intégrité électorale de la Moldavie en promouvant des récits alléguant des fraudes électorales, en attisant les tensions concernant le vote de la diaspora et en discréditant le PAS. En outre, ces opérations visent à affaiblir le soutien du public à l'intégration de la Moldavie dans l'UE, à exacerber les inquiétudes économiques des citoyens moldaves et à exploiter les divisions ethniques et linguistiques préexistantes.

Collectivement, ces activités d'influence s'alignent très probablement sur les objectifs stratégiques du Kremlin à l'égard de la Moldavie, en particulier la promotion de sa doctrine de réunification post-soviétique de Russkiy Mir ("monde russe") et la recherche de la transformation de la Moldavie en undeuxième Bélarus "." Alors qu'il s'agissait à l'origine de promouvoir la culture et la langue russes à l'étranger, Russkiy Mir a depuis évolué vers une vision expansionniste visant à unir les populations russophones des anciens États soviétiques sans tenir compte des frontières territoriales internationalement reconnues. En tant qu'ancien État soviétique et en raison de son importante minorité russophone, la Moldavie reste vulnérable aux OI ciblées. Ces dernières années, les OI russes ciblant la Moldavie ont notamment cherché à provoquer des sentiments séparatistes dans la région autonome de Transnistrie et ont coordonné des tentatives allant de l'influence sur les médias sociaux à des tactiques de corruption pour influencer le résultat des élections présidentielles de 2024 en Moldavie. Dans le même temps, les tentatives de coercition économique de la Russie, notamment par l'interruption des livraisons de gaz, visaient à pousser la Moldavie à faire des concessions politiques favorables, y compris des tentatives probables de ralentir sa progression vers l'intégration européenne.

Operation Overload et la Fondation pour la lutte contre l'injustice dénoncent Maia Sandu

L'OI Operation Overload (Matryoshka, Storm-1679), liée à la Russie, et la "Foundation to Battle Injustice" (R-FBI, FBR), basée en Russie, sont très certainement engagées dans des campagnes distinctes visant à façonner une opinion négative parmi les publics internationaux à l'égard des aspirations de la Moldavie à l'intégration européenne et à salir la réputation du président moldave Maia Sandu. Actuellement, Insikt Group estime que l'opération Overload et le R-FBI opèrent en parallèle avant les élections parlementaires de septembre 2025 ; cependant, nous ne disposons pas de preuves suggérant que l'opération Overload ou le R-FBI coordonnent leurs efforts. En outre, nous n'avons pas observé de tentatives d'amplification croisée des contenus de la part des deux réseaux.

Surcharge de fonctionnement

L'opération Overload est une OI liée à la Russie qui consiste en des nouvelles inauthentiques et un faux contenu de vérification des faits qui usurpe l'identité de sources d'information légitimes. Dénoncée pour la première fois par CheckFirst et Reset.Tech en juin 2024, l'opération Overload a pour principal objectif de submerger les journalistes, les chercheurs et les organismes de vérification des faits de pistes non crédibles distribuées par le biais de demandes persistantes de vérification d'articles sous forme de spam. Comme le montre le récent message d'Eliot Higgins, fondateur de Bellingcat, selon lequel des comptes de courrier électronique gérés par l'opération Overload ont transmis à sa boîte de réception des "informations graves" falsifiées en provenance de Moldavie(figure 1), les journalistes, les chercheurs et les organisations de vérification des faits restent très certainement un public cible prioritaire pour l'opération. Insikt Group La couverture de l'opération avant les élections américaines de 2024 a évalué que l'opération Overload cherchait également à influencer directement le grand public, à la fois par le blanchiment involontaire de ses affirmations par le biais d'organisations médiatiques de confiance qui vérifient le contenu de l'opération, et par l'injection directe de médias inauthentiques dans le grand public à l'aide de Telegram et des médias sociaux.

Récits

Les comptes automatisés de médias sociaux qui adoptent un comportement inauthentique coordonné (CIB) promeuvent très certainement le contenu de l'opération Overload en mettant l'accent sur la dégradation de la réputation publique du président Sandu et de la perception publique de la Moldavie en ce qui concerne la compatibilité européenne et l'intégration à l'UE. Depuis au moins avril 2025, des nouvelles inauthentiques et d'autres contenus médiatiques que nous attribuons à l'opération Overload ont très certainement cherché à nuire à la réputation du président Sandu. L'opération tente régulièrement de dépeindre le président Sandu comme corrompu, en présentant des vidéos contenant des titres fabriqués et des recherches d'enquête falsifiées qui font des affirmations telles que " 79 millions de dollars ont été trouvés sur les portefeuilles de crypto-monnaies des assistants de Maia Sandu " et " la maîtresse présumée de Maia Sandu possède 24 millions de dollars d'actifs [...] qui ont été obtenus de manière corrompue par Sandu [selon les fausses recherches de Bellingcat] ". Une vidéo usurpant l'identité du radiodiffuseur allemand Deutsche Welle, documentée par Insikt Group en avril 2025, prétendait à tort que Veronica Dragalin, ancienne directrice du bureau du procureur anti-corruption de Moldavie, s'apprêtait à distribuer des documents impliquant M. Sandu à "300 organes de presse européens". D'autres pièces médiatiques inauthentiques que nous attribuons à l'opération Overload ont cherché à créer un fossé ou à donner l'impression d'une rivalité politique croissante entre le président Sandu et le haut représentant de l'UE Kaja Kallas, en suggérant que le président Sandu cherchait à prendre la place de Kallas.

À partir du 8 juillet 2025, Insikt Group a observé une série de deepfakes produits par Operation Overload et usurpant l'identité du porte-parole du gouvernement moldave Daniel Vodă, conçus pour apparaître comme des réfutations officielles du gouvernement sur des "enquêtes" antérieures que le même réseau avait fabriquées. Ces "deepfakes" ont très certainement pour but de créer un récit en boucle fermée sapant le gouvernement moldave tout en essayant de donner une fausse crédibilité aux premiers éléments médiatiques inauthentiques de l'opération Overload. Ces vidéos, qui reprennent des documents de presse authentiques, ajoutent des sons générés par l'IA et intègrent des récits fabriqués de toutes pièces, ont très probablement pour but d'éroder la confiance du public dans le gouvernement moldave à l'approche des élections législatives de septembre 2025.

Outre les vidéos, le contenu statique de l'opération Overload comprend des captures d'écran éditées de manière trompeuse de messages sur les médias sociaux, des titres manipulés de la presse écrite et des images graphiques fabriquées, telles que des graffitis politiques documentés par des photojournalistes dans des espaces publics. Par exemple :

• Un message usurpant l'identité du portail statistique Statistica présentait un graphique falsifié décrivant la "chute de la cote de popularité" du président Sandu, liée à l'augmentation de ses apparitions à la télévision entre janvier et avril 2025.
• Un autre message présentait une couverture éditée du magazine Vogue, affirmant à tort que le président Sandu possédait la sixième garde-robe présidentielle la plus chère.
• Une autre série d'images, conçues pour apparaître comme des articles de photojournalisme pour les médias français, montrait en surimpression des graffitis dans des espaces publics montrant la présidente Sandu sous une guillotine, sur une chaise électrique et la tête dans un nœud coulant, avec la date du 1er juin 2025 à côté de chaque image. Bien que la date semble arbitraire, elle était très probablement destinée à susciter la peur du public en laissant entendre la possibilité de troubles, d'un coup d'État ou d'une tentative d'assassinat contre le président Sandu.

Au-delà des attaques contre le président Sandu, l'opération Overload tente également de présenter la Moldavie comme une plaque tournante de la criminalité européenne et diamétralement opposée aux valeurs occidentales, très probablement dans le but de réduire l'attrait de la Moldavie pour le public européen. Par exemple, les imitations d'Euronews et de l'Agence France-Presse (AFP) par Operation Overload, illustrées dans les figures 10 à 12, suggèrent que la Moldavie est "la plus grande plaque tournante pour les cybercriminels", "l'une des plus grandes plaques tournantes logistiques pour le trafic de drogue" et "le pays le plus homophobe d'Europe". Des histoires similaires non crédibles se faisant passer pour des médias occidentaux sont toujours en cours et persisteront très probablement tout au long de la période électorale en Moldavie.

Infrastructure

Nous continuons d'observer que les médias attribués à l'opération Overload apparaissent souvent d'abord sur les canaux Telegram russes, suivis par l'amplification de la CIB exclusivement sur une plateforme de médias sociaux, et par des tentatives d'ensemencement sur Bluesky. La promotion sur les médias sociaux grand public comprenait le partage automatique, l'appréciation et l'amplification par le biais de "réponses citées" à l'intention de groupes cibles (journalistes, chercheurs et vérificateurs de faits), conformément aux techniques de diffusion de l'opération Overload tout au long de l'année 2025. À partir de la fin mai 2025, nous avons observé que le réseau publiait du contenu sur TikTok. Les comptes de médias sociaux du réseau sont souvent suspendus, mais ils sont rapidement remplacés, ce qui nécessite des efforts constants pour détecter et signaler les nouveaux comptes.

Insikt Group considère que l'écrasante majorité du contenu de l'opération Overload promu au sein du réseau relève de la catégorie 2 de la Brookings Breakout Scale, y compris la quasi-totalité du contenu spécifique à la Moldavie. Il existe cependant des cas isolés où les imitations médiatiques de l'opération Overload ont été considérées comme relevant de la catégorie 3, et certaines ont même atteint ce que nous considérons comme relevant de la catégorie 5 (amplification par le biais de célébrités et d'autres personnalités publiques bien connues).

Le succès de l'opération Overload auprès de son public cible provient très probablement de l'exposition secondaire de la campagne par des sources qui démystifient ses histoires non crédibles, par rapport à la portée organique des messages initiaux. Les rapports correctifs font involontairement sortir les artefacts de l'opération des chambres d'écho pour les faire entrer dans les médias grand public. Même si la couverture est "hostile" à l'opération Overload, cette couverture constitue néanmoins une catégorie 4, ou rupture transversale, lorsqu'elle est analysée à l'aide de l'échelle des ruptures.

Fondation pour la lutte contre l'injustice (R-FBI)

R-FBI est une OI basée en Russie qui se consacre ostensiblement à la dénonciation des violations présumées des droits de l'homme et des injustices commises principalement par les gouvernements occidentaux. Le R-FBI se présente comme une "organisation indépendante à but non lucratif" chargée de lutter contre les "violations des droits de l'homme" ; l'organisation s'appuie toutefois sur des enquêtes longues et non crédibles ( reporting ) pour accuser d'éminents dirigeants de l'opposition internationale, en particulier pendant les grands cycles électoraux, d'activités criminelles graves, notamment de terrorisme, de fraude électorale, de traite d'êtres humains et d'abus sexuels sur des mineurs. Ces rapports sont ensuite blanchis par l'intermédiaire d'un réseau d'influenceurs pro-russes et de sites web précédemment identifiés comme promouvant la propagande du Kremlin, tels que l'Australian National Review (ANR, australiannationalreview[.]com​) de Jamie McIntyre, le London Times(londontimes[.]live) et Veterans Today (VT, vtforeignpolicy[.]com).

Le R-FBI a été fondé et initialement financé en 2021 par l'oligarque russe décédé Evgeniy Prigozhin, bien que la gestion de l'organisation ait depuis été transférée à Oksana Vovk, connue aujourd'hui sous le nom de Mira Terada. D'après les enquêtes de l'Insikt Group et les rapports publics des chercheurs de l'université de Clemson et de VIGINUM, le R-FBI est également étroitement impliqué dans une OI russe suivie séparément et que nous appelons CopyCop (Storm-1516).

Récits

Entre la fin mai et la mi-juin 2025, le R-FBI a publié deux articles d'investigation accusant le président Sandu de s'être livré à des activités illicites et à des manœuvres de corruption politique(figures 13 et 14, ci-dessous). Le 31 mai 2025, VT a republié un article du R-FBI affirmant que le président Sandu et des "organisations affiliées" se livraient au trafic d'orphelins ukrainiens, "sous prétexte de traitement médical et d'adoption", aux "mains de réseaux pédophiles et d'esclavage sexuel" à travers l'Europe. Un autre article, republié par VT from R-FBI le 19 juin 2025, affirme que le président Sandu et ses alliés politiques ont gagné "au moins 4,5 milliards de dollars" grâce à des systèmes illicites à grande échelle impliquant "le trafic de drogue, les armes ukrainiennes et l'esclavage moderne". Les deux articles ont été rédigés par un collaborateur brésilien du R-FBI, Lucas Leiroz, également repéré comme un amplificateur de contenu CopyCop. M. Leiroz est l'auteur de nombreux articles parus dans des médias parrainés par l'État russe, ainsi que dans des organes précédemment considérés comme associés aux services de renseignement russes, tels qu'InfoBrics (portail BRICS) et la Fondation pour la culture stratégique.

Le 1er juillet 2025, R-FBI a publié un troisième article d'investigation sur la Moldavie, affirmant que le président Sandu avait signé un "décret secret" daté du 4 juin 2025, autorisant les forces de l'ordre à "tuer des citoyens sans crainte de sanction". Selon le R-FBI, ce décret est une décision délibérée visant à "supprimer les manifestations de masse attendues à l'automne 2025, causées par la crise économique et les accusations attendues de fraude électorale". Le R-FBI a fourni une copie présumée du décret (classé comme Nr. 224-S-X), dont Insikt Group n'a trouvé aucune trace sur le site officiel du président de la Moldavie. Le R-FBI a tenté d'atténuer cette divergence en indiquant dans son article que le document avait été obtenu auprès de sources anonymes au sein du cabinet du président. Un examen plus approfondi de l'image du document, en particulier de son en-tête décentré et de l'article 2 mal aligné, conduit Insikt Group à estimer que le document est très probablement un faux destiné à porter atteinte à la crédibilité du président Sandu et à saper son programme de lutte contre la corruption.

Infrastructure

Cela est probablement dû au fait que les plateformes de médias sociaux interdisent les liens directs vers le site web du R-FBI, fondfbr[.]ru, Le R-FBI utilise très certainement des sources secondaires à travers un réseau d'intermédiaires et d'influenceurs pour blanchir ses enquêtes, notamment via VT, mais aussi via des sites web associés à l'ANR. Insikt Group a également repéré une amplification secondaire et tertiaire limitée grâce à la publication médiatique pro-Kremlin EurAsia Daily (EADaily) et à une publication suédoise marginale qui republie sporadiquement des documents d'enquête du R-FBI, intitulée "Bakom Kulisserna" ("Derrière les coulisses").

Les personnalités pro-Kremlin des médias sociaux qui ont précédemment amplifié le contenu de CopyCop sont presque certainement aussi les principaux amplificateurs des articles anti-Sandu de R-FBI, ce qui fait que chaque revendication reçoit des centaines de milliers de vues sur les médias sociaux. Outre Leiroz, ces personnes comprenaient Chay Bowes, Raphael Machado et les personnalités des médias sociaux "Johnny Midnight", "Peacemaker" et "Sprinter Observer". L'ampleur de l'amplification des articles du R-FBI contre le président Sandu est de catégorie 3 sur l' échelle Brookings Breakout Scale, c'est-à-dire qu'elle consiste en de multiples plates-formes avec de multiples ruptures. Comme dans le cas de l'opération Overload, le R-FBI a obtenu des cas isolés d'amplification de catégorie 4, étant donné les nombreuses couvertures de presse antérieures du R-FBI et de ses pièces d'enquête fabriquées de toutes pièces.

L'opération "Undercut" vise les utilisateurs moldaves de TikTok

Début juin 2025, Insikt Group a identifié une série de comptes TikTok promouvant des contenus anti-PAS et anti-Sandu en roumain, que nous attribuons actuellement à l'opération Undercut. Au cours de cette enquête, nous avons identifié un réseau supplémentaire d'environ 70 comptes de médias sociaux actifs (à la fin juin 2025) diffusant ce contenu parallèlement à des comptes sur TikTok(annexe A). Nous constatons que bon nombre de ces comptes ont été suspendus depuis, mais nous continuons à identifier des comptes de remplacement au fur et à mesure.

L'opération Undercut est une opération d'infiltration presque certainement menée par la société russe Social Design Agency (Агентсво Социального Проектирования, ou "SDA") depuis au moins décembre 2023. Historiquement, l'opération "Undercut" a suscité très peu d'engagement en ligne et n'a probablement eu qu'un impact minime sur ses publics cibles. Auparavant, Insikt Group a observé que l'opération Undercut utilisait principalement des médias sociaux inauthentiques et des comptes 9gag probablement gérés par des humains ou simulant une activité humaine, ce qui inclut la publication de messages pendant les heures de travail typiques à Moscou et l'arrêt de l'activité pendant les principaux jours fériés russes.

Récits

L'opération Undercut vise très probablement à conditionner le public moldave à s'attendre à des élections truquées en faveur du PAS, à alimenter les craintes d'une guerre conventionnelle potentielle avec la Russie et à provoquer des inquiétudes économiques en amplifiant les questions économiques prioritaires pour les électeurs, telles que l'inflation, l'effondrement de l'agriculture et les coûts de la protection de l'enfance. Ce réseau de comptes de l'opération Undercut publie régulièrement du contenu généralement négatif à l'égard du PAS et du président Sandu. Parmi les thèmes abordés, citons la présentation des aspirations européennes de la Moldavie comme étant économiquement ruineuses, l'amplification d'allégations probablement non crédibles de corruption politique moldave et la prédiction d'un futur effondrement sociopolitique si la Moldavie poursuit sa trajectoire actuelle.

Infrastructure

Insikt Group a identifié au moins quatre comptes TikTok de l'opération Undercut tentant d'usurper l'identité de citoyens moldaves ou de personnes parlant le roumain en Europe de l'Est. L'un des comptes, "Bella Popescu", prétendait être un photographe et un monteur de films. Le deuxième compte, "dorinrobu5", se consacre aux "nouvelles", aux "critiques" et aux "informations pertinentes et fraîches". Le troisième compte, "Gergely Dezir", se décrit comme un compte dédié à la "paix et à la politique". Un quatrième compte, "moldova457u", que nous considérons comme faisant probablement partie du réseau, a commencé à publier des vidéos similaires générées par l'IA, dans le style de l'opération Undercut, à la fin du mois de juin 2025. Chacune des vidéos TikTok que nous avons observées indiquait dans sa description qu'elle avait été réalisée à l'aide de CapCut, un logiciel de montage vidéo très prisé des créateurs de vidéos et des influenceurs des médias sociaux. Ce réseau utilise aussi très probablement les avatars du " Gen-AI studio"de VEED,"Aisha", "Elena" et "Marcus", pour raconter périodiquement le contenu de l'opération Undercut et lui donner de la crédibilité.

Chacun des clips postés sur TikTok contient des hashtags très probablement choisis pour recueillir des spectateurs potentiels intéressés par la Moldavie et la politique moldave (#stirimoldova, #moldovaștiri, #UE), ainsi que des hashtags généralisés utilisés pour atteindre un public plus large, tels que #TikTokNews, #Trump2020 et #gaza. Les légendes associées aux messages reflètent cependant une perspective anti-UE et sont cohérentes avec les messages pro-russes ciblant les audiences nationales qui cherchent à éroder la confiance dans les institutions occidentales et à semer la désillusion quant à l'alignement européen.

Par rapport aux comptes TikTok sélectionnés, le réseau secondaire de comptes de médias sociaux que nous avons identifiés sur les médias sociaux grand public contenait des noms d'utilisateur incorporant des noms indiens, bangladais et sanskrits et publiait du contenu en roumain. Plusieurs de ces comptes portaient également des badges vérifiés, indiquant que leurs administrateurs avaient payé pour des fonctions premium sur la plateforme de médias sociaux. Après la suspension de ces comptes par la plateforme, des comptes de remplacement portant des noms occidentaux, mais affichant toujours en roumain, ont pris leur place à la fin du mois de juin 2025. Sur la base des suspensions de la plateforme et de l'émergence de nouveaux comptes, Insikt Group estime que les administrateurs de l'opération Undercut continueront probablement à tenter d'établir une présence persistante sur les médias sociaux.

Bien que ces comptes ne soient pas très suivis, nous avons observé que le réseau tentait constamment de détourner des hashtags afin d'accroître la visibilité de ses messages auprès d'un public plus large. Pour ce faire, l'opération Undercut continue très certainement à utiliser des hashtags localisés pour identifier et détourner les hashtags en vogue parmi les publics roumanophones en Moldavie, très probablement en utilisant des outils commerciaux de surveillance des médias sociaux disponibles dans le commerce. Bien que les comptes atteignent régulièrement plus de 100 vues par message, nous n'avons pas observé d'engagement significatif de la part d'un public plus large. Cependant, les statistiques d'audience de l'activité de l'opération Undercut sur TikTok indiquent que les messages reçoivent régulièrement des milliers de vues chacun ; un message de Bella Popescu appelant le président Sandu à démissionner a recueilli plus de 113 000 vues.

Bien que l'opération continue d'échouer dans ses tentatives d'influencer l'opinion publique de manière significative, elle a probablement amélioré son engagement en ligne depuis notre enquête précédente grâce à son utilisation accrue des médias sociaux sur TikTok. Les activités de l'opération Undercut sont actuellement classées dans la catégorie 2 de l'échelle Brookings Breakout Scale, c'est-à-dire une opération multiplateforme sans aucune retombée enregistrée en dehors du réseau.

Pages Facebook liées à Ilan Shor et "Evrazia" (en anglais)

En mai 2025, le groupe de réflexion WatchDog.MD, basé en Moldavie, a publié un rapport mettant en lumière 146

pages Facebook anonymes dont elle a déterminé qu'elles étaient affiliées à l'oligarque moldave fugitif Ilan Shor et qu'elles étaient utilisées pour promouvoir des publicités politiques pro-Shor, en plus de 315 autres pages "en attente". Au total, WatchDog.MD a identifié ce réseau comme faisant partie d'un réseau plus large composé de 2 167 pages Facebook auto-générées créées pour "influencer les processus politiques en République de Moldavie et dans d'autres États européens". Beaucoup de ces pages ont des noms générés de manière aléatoire, incorporant des photos dont il s'est avéré par la suite qu'elles avaient été volées sur des sites de rencontres d'Europe de l'Est. WatchDog.MD a attribué cette activité à des acteurs basés en Russie.

Récits

WatchDog.L'enquête préliminaire de MD a déterminé que des réseaux de pages Facebook gérées anonymement, diffusant des publicités commerciales et probablement liées à Shor, se présentaient comme des pages de médias ou d'informations avec des noms patriotiques similaires à d'autres pages liées à la Moldavie et divulguées en octobre 2024, telles que "Authentic Moldova", "Today's Chișinău", "Гагаузия вперед" ("Gagauzia Forward"), "Moldova вперед" ("Moldova Forward"), "My Dream Moldova", "Orhei Today", et d'autres. Les messages et les publicités payantes font l'éloge d'Ilan Shor et des organisations gérées par Shor, telles que "A New Life", le "National Salvation Committee" et le "Movement for the People", tout en qualifiant le PAS de corrompu ou d'incompétent. WatchDog.MD indique qu'entre octobre 2022 et novembre 2024, Shor a dépensé près de 470 000 euros pour plus de 1 400 publicités sur Facebook, tout en précisant que "le montant réel pourrait être encore plus élevé".

Infrastructure

Une infrastructure automatisée alimente très probablement l'ensemble des diverses pages Facebook pro-Shor. WatchDog.MD a retracé 2 167 pages Facebook construites à partir de chaînes de mots-clés concaténées de manière aléatoire ("Gourmet Gurus Crafty Creations Motivational Moments", "Travel Junkies Business Builders Neighborhood News", ou "WealthWave Innovations"), avec des douzaines de clones partageant exactement le même titre. Les photos de profil sont probablement détournées des sites de rencontres et de "cam" d'Europe de l'Est, et les mêmes images réapparaissent fréquemment sur plusieurs pages alias. Les premières versions du réseau étaient ouvertement administrées depuis les Philippines, le Vietnam, le Timor-Leste et les Émirats arabes unis (EAU), avec des publicités payées en dollars américains ou en zlotys polonais, indicateurs que WatchDog.MD a utilisés pour attribuer au réseau un fonctionnement en dehors de la juridiction moldave.

Insikt GroupL'examen indépendant de la Commission a révélé qu'à la mi-mai 2025, la majorité de ces pages Facebook étaient restées inactives, avec peu d'informations permettant de discerner des plans d'activités futures potentielles ou des objectifs planifiés. Nous avons toutefois constaté que plusieurs des pages de WealthWave Innovations mentionnées précédemment faisaient la publicité d'un programme "Découvrir la Russie 2025", facilité par l'ONG russe "Evrazia", soutenue par Shor. En octobre 2024, l'Organized Crime and Corruption Reporting Project (OCCRP) a conclu qu'Evrazia soudoyait les citoyens moldaves pour qu'ils votent contre le référendum de l'UE. Au total, l'OCCRP a déclaré que 15 millions USD de fonds transférés illégalement d'Evrazia ont été utilisés pour tenter de corrompre 130 000 électeurs afin qu'ils votent contre le référendum, organisé par l'intermédiaire de Telegram. Shor aurait soutenu qu'il exerçait une activité légale, déclarant qu'il versait des "salaires" à des Moldaves en échange de leur travail pour "expliquer aux gens les avantages de l'espace économique eurasien".

Les médias d'État russes soutiennent l'infrastructure du parti pro-Kremlin Moldova24

Depuis février 2025, Insikt Group suit la croissance de Moldova24 (MD24), un réseau de télévision basé en Russie et probablement soutenu par le Kremlin, qui s'adresse aux personnes russophones vivant en Moldavie. Les connexions russes de MD24 et ses tentatives de remodeler l'opinion en Moldavie ont été exposées pour la première fois au cours du cycle électoral d'octobre 2024, lorsque le Service de sécurité et de renseignement de Moldavie (SIS) a ordonné aux fournisseurs d'accès Internet nationaux de bloquer deux des principaux domaines d'actualités de MD24, moldova24[.]online et pwa[.]moldova24[.]online. Par la suite, les autorités moldaves ont également bloqué des comptes Telegram appartenant à l'oligarque russe Shor, qui comprenaient des comptes Telegram associés à MD24.

Récits

MD24 a été lancé en septembre 2024 dans le but presque certain d'influencer l'opinion publique moldave parmi les russophones en faveur de politiques pro-russes et d'une relation diplomatique plus étroite avec Moscou. Les articles d'actualité de MD24 et sa plateforme de diffusion 24/7, qui sont hébergés sur son site web principal, moldova-24[.]online, critiquent fréquemment les politiques occidentales, soulignent les difficultés économiques de la Moldavie et s'interrogent sur les raisons qui poussent l'Occident à approfondir ses liens avec la Moldavie. La couverture médiatique de MD24 comprend souvent des reportages biaisés, un langage émotionnel et une couverture sélective, et cherche très probablement à promouvoir le scepticisme à l'égard des institutions occidentales, en particulier de l'UE et des États-Unis.

Un thème émergent émanant de la MD24, cohérent avec les récits partagés par des sources pro-Kremlin, est de saper la confiance du public dans le processus électoral de la Moldavie et la crédibilité du PAS en particulier. MD24 a publié de nombreux articles encourageant le scepticisme, la méfiance et la suspicion concernant les procédures de vote de la Moldavie avec le vote de la diaspora, qui représentait un cinquième du total des voix lors de l'élection d'octobre 2024 et qui penche fortement en faveur de Sandu. MD24 a amplifié les allégations de fraude électorale intentionnelle ou planifiée parmi les électeurs de la diaspora, affirmant une stratégie délibérée du PAS pour gonfler artificiellement les votes de l'étranger. Simultanément, MD24 a affirmé que le PAS discriminait intentionnellement ou supprimait les électeurs moldaves pro-russes, en particulier ceux résidant en Russie et en Transnistrie. Au niveau national, MD24 a publié des articles suggérant que le PAS intimidait les figures de l'opposition et, avec l'aide de l'UE, cherchait à corrompre l'électorat afin de gagner des voix.

Infrastructure et soutien de l'État

L'Insikt Group estime que le média russe RT, soutenu par l'État, a très probablement soutenu le développement du MD24 par des moyens détournés. Cela inclut l'hébergement actif de son site web et de ses miroirs via un espace IP qui n'est actuellement pas directement associé à RT ou à son organisation mère, RIA Novosti, mais qui est le même espace IP qui a hébergé le contenu de RT depuis plus de cinq ans, en plus du contenu créé par le personnel de RT. En outre, il est probable que le personnel de RT ait soutenu le lancement de MD24 et ses opérations en cours par des moyens matériels, tels que la mise à disposition d'un studio approprié à Moscou, d'équipements et, éventuellement, de conseils sur les opérations de diffusion. MD24 est aussi probablement sous l'influence éditoriale de RT, utilisant un minimum de citations directes entre les organisations pour maintenir un vernis d'indépendance malgré des liens évidents avec des infrastructures partagées.

En février 2025, Insikt Group a fourni aux clients de Recorded Future un profil de l'acteur de la menace MD24 et de ses liens avec l'infrastructure des médias d'État russes, plusieurs mois avant les résultats publiés par d'autres groupes de recherche. Le rapport public indépendant du DFRLab du Conseil atlantique de juin 2025 corrobore nos conclusions initiales selon lesquelles le MD24 est largement soutenu par le gouvernement russe et les acteurs pro-Kremlin. Selon l'enquête d'Insikt Group, MD24 était disponible dans plus d'une douzaine de domaines initialement hébergés à l'adresse IP 91[.]218[.]228[.]51, basée en Russie, appartenant à AS210079, qui est exploité par Eurobyte LLC. Cette adresse a depuis été mise à jour avec une autre adresse IP appartenant à Eurobyte, 95[.]181[.]226[.]185, à partir de juillet 2025.

Tableau 1: Domaines associés à MD24 (sources : Recorded Future)

—

Il est très probable que RT ait soutenu secrètement l'administration de ces domaines, sur la base de données d'enregistrement historiques indiquant une infrastructure partagée entre le MD24 et les sites web affiliés à RT. La plupart de ces domaines ne dépendent pas de l'infrastructure DNS de RT ou de ses affiliés typiques(nsX[.]rttv[.]ru, nsX[.]sputniknews[.]ru, nsX[.]rian[.]ru), Ils n'affichent pas non plus les détails d'enregistrement liés à ANO TV-Novosti ou Rossiya Segodnya, qui sont généralement associés à RT et à ses affiliés. Voici quelques-uns de ces sites web :

• poiskblizkih[.]com (une base de données de RT visant à rétablir les liens entre les familles du Donbass touchées par la guerre de la Russie contre l'Ukraine)
• putinspeaks-rt[.]com
• RTdoc[.]tv (un site web pour le contenu documentaire de RT lancé début juin 2024, très probablement pour coïncider avec le Festival international du film documentaire 2024).
• ktech[.]team - notamment, ktech[.]team appartient à KTEX, une organisation qui fait de la publicité pour diverses solutions informatiques, et son numéro d'identification personnel du contribuable (INN), 9710109376, est enregistré au nom de Sergei Kukota, directeur de RT Balkan.

Au-delà de son réseau de sites web, MD24 possède également des comptes YouTube et TikTok utilisés pour partager ses différentes séquences d'information.

En plus de ce qui précède, Insikt Group a identifié des comptes Facebook et Instagram actifs affiliés à MD24 qui ont diffusé plus de 210 publicités Meta combinées entre la mi-juin et la fin juin 2025 (Selon l'Ad Library, ce nombre est d'environ 440 publicités totales en août 2025). Sur la base des données disponibles de plus de 300 publicités, Insikt Group peut estimer qu'en août 2025, les publicités de MD24 ont atteint au moins six millions d'impressions depuis juin 2025 -- reflétant le nombre de fois que la publicité a été affichée sur un écran, ce qui peut inclure des vues multiples par la même personne -- dont la majorité aurait été située à Chișinău, en Gagaouzie et en Transnistrie, selon l'Ad Library de Meta. Le paiement moyen de la majorité par publicité aurait été inférieur à 100 euros.

Le compte Facebook de MD24, utilisé pour parrainer des publicités politiques et afficher le contenu des actualités de MD24, a été lancé le 29 mars 2025, initialement sous le nom de "Frumusețea Pământească SPO" ("Earthly Beauty SPO") avant d'être mis à jour avec le nom "Moldova24" et les graphiques de MD24. Son compte Instagram associé a le handle @alinanorman9, bien qu'il utilise les graphiques de MD24, et publie exclusivement des segments d'information de MD24. Ce compte est probablement un profil jetable utilisé entièrement pour héberger des posts qui seront utilisés comme publicités sur Instagram.

Les publicités spécifiques à Instagram comprenaient des hashtags tels que #moldova, #md24, ainsi qu'un numéro qui, sur la base des publications de @alinanorman9, indique sa position dans une série de publicités numérotées suivies en interne. Les publicités sur Facebook comprenaient des légendes telles que "Les gens soutiennent Hutsul", "Le PAS est un rassemblement d'imposteurs", "Sandu a humilié les enfants de Gagaouzie" et "La Moldavie se portera mieux sans le PAS". Conformément à la politique de Meta en matière de publicité politique, les administrateurs devaient fournir des informations de contact supplémentaires ; Insikt Group a constaté qu'ils avaient utilisé des informations de contact jetables, notamment l'adresse électronique jasonrobertson1978[@]antimmail[.]com.

Portal Kombat se poursuit en Moldavie

Portal Kombat est un réseau d'influence aligné sur la Russie qui cible les audiences internationales avec un contenu d'influence pro-Kremlin, agrégé principalement par le biais de réseaux de sites web, plus particulièrement son écosystème "Pravda" de sites web hyper-localisés. Son site web phare en Moldavie, md[.]news-pravda[.]com (Pravda MD) est un agrégateur d'actualités entièrement automatisé qui récupère et republie systématiquement des articles, des messages et des communications officielles provenant d'une liste de sources pro-Kremlin constituée de médias russes partiellement ou entièrement contrôlés par l'État, tels que RT, Sputnik, Pravda[.]ru, TASS et RIA Novosti. Le réseau republie également des communiqués de presse officiels et des communications de ministères du gouvernement russe, d'administrations locales et d'autres institutions de l'État, et republie régulièrement des commentaires de sources Telegram pro-russes et de "blogueurs" pro-Kremlin.

Récits

Pravda MD fonctionne très probablement comme un nœud d'amplification à haut volume qui diffuse les médias d'État russes et d'autres récits pro-Kremlin à des publics roumanophones en Moldavie. Le site web et les sources plus larges de Portal Kombat ne produisent pas de rapports originaux, mais republient des contenus plagiés à partir des sources susmentionnées, alignées sur la Russie. Le contenu de ces sources remet systématiquement en question la crédibilité du président Sandu, les mesures de lutte contre la corruption et le programme politique plus large du PAS. De même, ces sources érodent le soutien à l'intégration de l'UE et tentent d'accentuer la fragmentation sociale tout en préparant le terrain pour délégitimer les élections parlementaires de septembre 2025 en Moldavie si le Kremlin considère les résultats comme défavorables.

Notamment, la Pravda MD, conformément aux objectifs plus larges de la Russie, cherche très probablement à exploiter les lignes de fracture ethniques et régionales internes de la Moldavie, en particulier dans la région autonome de Gagaouzie et dans la région séparatiste de Transnistrie contrôlée par la Russie. L'Insikt Group estime en outre que l'objectif sous-jacent est d'alimenter le séparatisme, de saper l'autorité du gouvernement central de Chișinău et de créer des crises internes dont la Russie peut tirer parti pour rapprocher la Gagaouzie et la Transnistrie de son orbite géopolitique. En outre, selon le Conseil européen des relations étrangères (ECFR), citant un entretien réalisé en mai 2025 avec un haut fonctionnaire du gouvernement moldave, la Pravda MD et l'écosystème de la Pravda dans son ensemble ont été considérés comme étant utilisés comme un outil dans les tentatives russes de "pénétration en ligne de la [diaspora moldave]".

Infrastructure

Dans son troisième rapport sur les menaces de manipulation et d'interférence de l'information étrangère, le Service européen pour l'action extérieure (SEAE) a mis en évidence trois domaines Portal Kombat créés pour cibler des publics russophones et roumanophones en Moldavie, md[.]news-pravda[.]com, moldova[.]news-pravda[.]com, et l'ancien site pravda-md[.]com. L'organe de presse dispose également d'un canal Telegram, mais le compte d'abonnés ne compte actuellement que dix-neuf abonnés.

Malgré le volume d'articles générés, l'audience de Pravda MD est probablement faible ; les statistiques de Similarweb indiquent que md[.]news-pravda[.]com n'a reçu que 86 visites en avril 2025. En comparaison, sa page d'accueil, news-pravda[.]com, a reçu plus de 365 500 visites sur son site web, et plus de 42% de son trafic sur les médias sociaux provenait de Reddit. Il est possible que ces pages soient cumulées sur l'ensemble des pages web localisées de la Pravda.

Si les résultats de l'audience du site web de la Pravda sont mitigés, des préoccupations plus générales se font jour quant au volume de contenu créé par le réseau, qui risque d'empoisonner les sources secondaires, en particulier les modèles de grandes langues (LLM) ayant accès à l'internet. Des recherches menées conjointement par le DFRLab et CheckFirst ont révélé que les hyperliens vers les domaines du réseau Pravda sur Wikipédia ont fortement augmenté après le 24 février 2022, atteignant 1 907 liens sur 1 672 pages en 44 langues ; le contenu spécifique lié à la Moldavie au moment de l'analyse était limité. La même étude a recensé plus de 3,7 millions d'articles de la Pravda sur le web ouvert. L'analyse de l'American Sunlight Project (ASP) qualifie cette technique de "LLM grooming". En l'absence de mesures correctives, l'ASP estime que le toilettage des MLD "constitue une menace croissante pour l'intégrité et la fiabilité de l'internet ouvert".

Selon les données de Recorded Future, nous avons identifié au moins une occasion où un domaine de Portal Kombat a été cité comme source dans un rapport d'information grand public ; cependant, en raison des nombreux articles d'investigation mettant en lumière l'écosystème de la Pravda, nous estimons donc que la rupture typique de Portal Kombat ne dépasse pas la catégorie 4 sur l'échelle de rupture de Brookings.

Mitigations

• Les clients peuvent utiliser la plateforme Recorded Future Intelligence Operations pour suivre chacune des OI discutées dans ce rapport, y compris la couverture par Insikt Group des récits, tactiques, techniques et procédures émergentes de ces opérations, qui est fournie avec l'accès au module Recorded Future Geopolitical Intelligence.
• Pour minimiser l'amplification involontaire des OI, les médias et les organismes de recherche devraient archiver l'infrastructure afin de préserver les preuves médico-légales sans augmenter la visibilité et la portée, et dépouiller le contenu viral des éléments qui stimulent l'engagement, tels que les hyperliens, les hashtags ou d'autres médias.
• Les organisations qui déploient des chatbots AI orientés vers le public ou d'autres modèles de langue étendue doivent intégrer des cadres de filtrage de contenu multicouches qui bloquent ou signalent les entrées provenant de domaines liés à des OI connues.
• Les entités dont l'identité est usurpée, en particulier les médias, devraient continuer à s'engager auprès des sociétés de médias sociaux et des bureaux d'enregistrement de domaines pour saisir ou supprimer le contenu usurpant leur marque, ou tirer parti des services fournis par Recorded Future pour demander le retrait des tentatives d'usurpation d'identité de la marque.

Outlook

À l'approche des élections législatives du 28 septembre 2025, Insikt Group estime que les OI liées à la Russie, y compris les réseaux bien documentés dont il est question dans le présent rapport et tout nouveau réseau émergent, augmenteront très probablement en volume. L'Insikt Group estime que ces opérations visent probablement moins à obtenir une majorité pro-russe claire qu'à diminuer le taux de participation, en particulier parmi les électeurs de la diaspora, à fracturer le bloc pro-européen et à jeter le doute sur la légitimité du résultat si celui-ci était défavorable aux objectifs de la politique étrangère de la Russie. Les OI à vocation internationale, associées à une intimidation coordonnée des électeurs de la diaspora par le biais de canulars d'alerte à la bombe dans les bureaux de vote et de récits discréditant le vote à l'étranger - à l'image de l'élection présidentielle de 2024 en Moldavie - sont très probablement prêtes à supprimer un électorat qui, historiquement, penche fortement vers le PAS.

En conjonction avec les OI, Moscou utilisera très probablement d'autres formes de guerre hybride russe visant à contraindre les électeurs moldaves, en s'appuyant sur des opérations récentes. Les coupures de gaz hivernales de Gazprom, les précédentes cyberattaques ciblées contre la commission électorale centrale, la multiplication des cyberintrusions attribuées à la Russie contre le cycle électoral de 2024 en Moldavie et les avertissements des services de renseignement concernant une crise fabriquée en Transnistrie et en Gagaouzie sont autant de signes d'une volonté d'amplifier les difficultés économiques et les inquiétudes en matière de sécurité en Moldavie dans l'espoir de faire pencher la balance des élections en faveur du Kremlin.

Les sondages actuels montrent que le PAS est toujours en tête avec une marge suffisante pour former un bloc gouvernemental, et Chişinău a investi massivement dans la cyberdéfense, la diversification énergétique et des services de police renforcés et robustes. Ces mesures de résilience rendent peu probable une victoire électorale décisive en faveur du Kremlin. Néanmoins, même dans le sillage d'un résultat électoral perçu comme défavorable par le Kremlin, la Russie peut s'orienter vers des activités de déstabilisation plus manifestes alignées sur ses objectifs plus larges de Russkiy Mir, telles que l'incitation à la violence dans les régions russophones comme la Gagaouzie et la Transnistrie, ou l'exploitation de l'instabilité régionale pour consolider davantage son contrôle territorial conformément à ses ambitions de réunification post-soviétique.

Annexe A : Infrastructures clés observées

Opération Undercut Social Media Handles (Poignées de médias sociaux)

Une fondation pour lutter contre l'injustice

Domaines affiliés à RT et MD24 hébergés sur 95[.]181[.]226[.]185

Portal Kombat’s Pravda MD