Retour masqué : Killnet, les cybermercenaires de Moscou

Le groupe de hackers russes Killnet revient sur le devant de la scène après une longue période de silence, métamorphosé en une entité bien différente de ses débuts pro-Kremlin.

Pendant près de deux ans, Killnet s’était taillé une réputation bruyante dans la galaxie du cyber (H)activisme pro-russe, revendiquant attaques par déni distribué de service (DDoS) et sabotages symboliques contre les ennemis de Moscou. Mais après plusieurs mois d’absence, les revoilà, transfigurés, opérant dans une zone grise entre cybercriminalité commerciale et manipulation informationnelle. Leur résurgence, survenue début mai, jour sacré de la victoire soviétique sur l’Allemagne nazie, pourrait bien n’être que la façade d’un vaste jeu d’ombres mêlant propagande, mercenariat numérique et luttes d’influence, au cœur des tensions géopolitiques actuelles.

Une réapparition très politique

Début mai, Killnet a affirmé avoir piraté le système de localisation des drones ukrainiens, fournissant des données permettant, selon eux, la destruction de plusieurs stations radar par l’armée russe. Une annonce bruyamment relayée par les médias russes, accompagnée de vidéos et de cartes non vérifiées, mais jusqu’ici invérifiable par les analystes indépendants.

Le choix du calendrier n’a rien d’innocent : le retour de Killnet coïncide avec le 9 mai, journée hautement symbolique utilisée par le Kremlin pour mobiliser l’opinion autour du récit glorieux de la Seconde Guerre mondiale. Dans le contexte actuel de guerre hybride, marquée par des négociations sensibles entre Washington, Kiev et Moscou, cette soudaine résurgence sert de levier psychologique destiné à entretenir l’illusion d’un activisme pro-russe massif et coordonné. Sa couverture médiatique intensive à l’intérieur de la Russie suggère une instrumentalisation à des fins de guerre de l’information.

Les débuts de Killnet ne datent pas de 2022. Derrière Killnet, KillMilk, dealer 2.0, fondateur de blackmarkets dans le dark web. L’entrée en guerre de la Russie va transformer le business en  des allures de croisade idéologique. Le groupe se livrait à des attaques DDoS rudimentaires contre des institutions européennes, américaines et ukrainiennes, se présentant comme un bras numérique du patriotisme russe. Ils iront jusqu’à menacer des institutions militaires US. Mais cette posture militante s’est peu à peu effacée, notamment après l’exposition médiatique de son fondateur, KillMilk. Révélé par les médias russes comme un homme de 30 ans amateur de voitures de luxe et soupçonné de liens avec le trafic de drogue, KillMilk a été invité a quitté la scène. En coulisses, un transfert de pouvoir s’organise. Les actifs numériques de Killnet sont rachetés entre 10 000 et 50 000 dollars (entre 9 200 et 46 000 euros) par le Deanon Club, un collectif se présentant comme anti-drogue, dirigé par un administrateur surnommé BTC. ZATAZ vous racontait cette histoire, en 2023.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Sous cette nouvelle direction, l’identité même de Killnet bascule. Le groupe revient à ses premiers amours : il délaisse l’idéologique pour vendre des prestations de piratage sur commande, de lutte contre les trafiquants du darknet, des cours de « piratage » et des opérations ciblées à fort impact, destinées à faire monter leur cote sur les forums criminels. Une mue commerciale qui suscite des tensions internes. Plusieurs membres fidèles à la cause pro-Kremlin quittent le navire pour fonder leurs propres entités, comme KillNet 2.0 ou encore Anonymous Russia poursuivant « un cyber combat » au nom de la Russie.

Une marque plus qu’un groupe

Le phénomène Killnet ne se limite plus à une seule structure identifiable. Il est devenu un label. Un nom que des cybercriminels peuvent temporairement adopter, abandonner, puis reprendre selon leurs besoins, leurs cibles et leurs stratégies d’évitement. Depuis la disparition de KillMilk, de nombreuses factions se réclament du groupe sans qu’il soit possible d’en déterminer la légitimité ou les liens réels.

La structure de Killnet s’apparente désormais à une galaxie décentralisée où les sous-groupes se font et se défont au gré des événements géopolitiques et des opportunités financières. Sans parler des opérations policières et judiciaires. Les coups portés aux nombreux groupes Telegram ont « presque » rendu muet de nombreux micro groupes comme j’ai pu le démontrer lors d’une conférence au Hackfest de Québec en 2024. Ce modèle, très répandu dans le cyberespace, permet une résilience face à la surveillance, mais rend aussi l’attribution des attaques particulièrement difficile. Cette fragmentation complique aussi l’analyse de leur mode opératoire : certains continuent d’exécuter des DDoS symboliques (souvent acheté auprés de revendeur de DDoS), d’autres s’attaquent à des cibles économiques ou militaires (en récupérant de vieilles données), parfois pour le compte de clients tiers. Dans tous les cas, une constante demeure : l’ambiguïté entretenue entre activisme politique, propagande et cybercriminalité.

Si Killnet a perdu de sa cohérence interne, il n’a pas pour autant disparu du radar géopolitique. Sa transformation est emblématique d’une époque où les groupes de hackers oscillent entre loyauté politique, quête de visibilité médiatique et appât du gain. En Russie, comme ailleurs, ces collectifs numériques deviennent des instruments à géométrie variable, capables de frapper, de disparaître, puis de renaître sous une nouvelle forme. Comprendre la logique de ces entités mouvantes, et anticiper leurs actions, qui peuvent aussi bien semer la panique dans des infrastructures critiques que participer à des campagnes de désinformation soigneusement orchestrées n’est pas simple, et certains états l’ont bien compris.