Доклад на Френските служби за сигурност за руската дезинформация - разработка “Матрьошка”. Публикация на Христо Грозев в Туитър /Х

Доклад на Френските служби за сигурност за руската дезинформация - разработка "Матрьошка"

Преводът е направен с Гугъл транслейт 

за сведение

Матрьошка

MATRYOŠKA

Проруска кампания, насочена към медиите и общността, проверяваща фактите
Технически доклад
юни 2024 г
Съдържание 1. Резюме .............................................. ................................................. ................................................. .................. 3

2. Анализ ............................ ................................................. ................................................. ...................................... 4

2.1 Изкуствено или автоматизирано, широко разпространено и умишлено разпространение .. .........................4

2.1.1 Модел на разпространение на съдържание.................................. ................................................. ........................ 5

2.1.2 Цели на кампанията .................. ................................................. ................................................. ................. 6

2.2 Явно неточно или подвеждащо съдържание ............................. ................................................. ...................... 8

2.2.1 Подвеждащо и невярно съдържание, насочено към дискредитиране на Украйна и нейните съюзници .........8

2.2.2 Франция, основна цел на кампанията Matryoshka ....................... ................................................. ...... 9

2.3 Пряко или непряко участие на чуждестранен актьор .................................. ................................................. .11

2.4 Атака срещу основните интереси на Франция .................................. ................................................. ..... 13

3. Приложение ......................................... ................................................. ................................................. .................. 14

3.1 Тактики, техники и процедури ......................... ................................................. ....................................... 14

3.2 Имитирани френски юридически лица и медии ... ................................................. ...................................... 15

3.3 Примери за публикувано съдържание на кампанията ........ ................................................. ............................................ 15

2
1. Резюме
От края на 2023 г. VIGINUM наблюдава и документира злонамерена кампания, която може да повлияе на френскоговорящия публичен дебат онлайн.
Тази операция, наречена „Матрьошка“ (руска кукла) в предишни доклади за отворени източници1, е активна най-малко от септември 2023 г.2 Нейната основна цел е да публикува фалшиво съдържание (доклади, графити, мемета и т.н.), което след това се споделя в по координиран начин в X (бивш Twitter), в секцията за отговори на публикации от акаунти на медии, обществени личности и организации за проверка на факти в повече от 60 държави. Операторите на Matryoshka се свързват с целите си директно на X и по имейл, за да ги помолят да разследват фалшивото съдържание. 1 Името идва от руската активистка група Antibot4Navalny, която е активна на X и проследява украински и руски ботове от 2018 г. Техните публикации и свързаните с тях данни бяха анализирани като част от това разследване. Вижте https://twitter.com/antibot4navalny. Кампанията, наречена „Operation Overload“, е документирана по-специално от Agence France Presse (AFP) (вижте https://factuel.afp.com/doc.afp.com.34H32VP), Check First and Reset (https ://checkfirst.network/wp-content/uploads/2024/06/Operation_Overload_WEB.pdf).
2 Check First установи, че кампанията е започнала още през август 2023 г.
Фалшивото съдържание обикновено се представя за северноамерикански и европейски общественици и медии, включително френски. Въпреки че основно антиукраинските разкази се разпространяват и разширяват, това съдържание също е насочено към политиката на Франция за подкрепа на Украйна, френските политици и Олимпийските и Параолимпийските игри в Париж през 2024 г.
Разследванията на VIGINUM установиха, че по-голямата част от съдържанието е публикувано за първи път в канали на Telegram на руски език, които вече са били идентифицирани в информационни операции. VIGINUM счита, че целта на кампанията Matryoshka е най-вероятно да дискредитира медии, обществени фигури и организации за проверка на фактите и да популяризира проруско съдържание.
По отношение на тези елементи VIGINUM счита, че кампанията Matryoshka, която все още продължава, представлява чужда цифрова намеса.

3

2. АНАЛИЗ 2.1 Изкуствено или автоматизирано, широко разпространено и умишлено разпространение
Активна на X най-малко от септември 2023 г., кампанията Matryoshka е операция, проведена на два етапа:
• Първа група от акаунти, известни като „seeders“, публикуват фалшиво съдържание на платформата (вижте раздел 2.2); • Втора група акаунти, известни като „цитатори“, след това споделя публикация на сеедър в отговор на публикации от медии, публични личности и проверяващи факти.
Оферентите се свързват с целеви лица или организации, за да ги помолят да проверят автентичността или достоверността на съдържанието, публикувано от сейдърите. От септември 2023 г. операторите на Matryoshka са извършили най-малко 90 последователни операции, по време на които са адаптирали и тествали различни методи за разпространение на съдържание и довеждането му до вниманието на техните цели.

Фигура 1: Как работи кампанията Matryoshka, e илюстрирано от операция, поставяща под въпрос качеството на водата на Сена

4
Фиг. 2: Хронология на публикациите на трима цитиращи (@Bohyun579659, @Ben990589695027 и @LachelleNa61051) в операция Matryoshka 2.1.1 Модел на разпространение на съдържание
Операциите с Matryoshka обикновено включват два или три сеялки, които първоначално публикуват съдържанието на X в рамките на няколко минути един от друг. Около 30 до 40 минути по-късно двама или трима quoter3 започват да споделят публикациите на сеячите, коментирайки последната публикация на целта. Цитиращите често добавят текст, емотикони или просто споменават целта, като това добавяне е уникално за всяка операция и цитатор. Тази втора фаза обикновено продължава няколко часа, със средно 45 секунди между всеки цитат. 3 В редки случаи Matryoshka е използвала до пет сеещи акаунта.
4 Например, цитаторът @Beth65780671768 изглежда случайно е използвал текста на втория цитатор на операцията, @Benjamin1563563 в един от своите 97 цитата. Вижте https://perma.cc/A4RY-7NST.
5 Например цитаторът @BritannyJa97256 маркира @maxhofmann в коментарите на туит от @dw_politics, в резултат на което се насочва към грешния субект. Вижте https://archive.ph/KpAm4.
6 Включително липсващи интервали между тага на целта и текста на цитиращия.
7 https://perma.cc/SWY8-5JLZ.
8 https://archive.ph/6lhVf.

VIGINUM идентифицира грешки, които най-вероятно не биха се случили, ако бяха автоматизирани, включително:
• Използване от цитатор на текст на друг цитатор по време на същата операция;4 • Използване на грешни тагове в определени публикации на цитатори;5 • Печатни грешки в малък брой публикации на цитатори;6 • Цитати в нишка от коментари и не в отговор на публикация на цел.7
Освен това, акаунтите X, участващи в кампанията Matryoshka, се използват за провеждане на няколко последователни операции, като сметката на квотира почти систематично се превръща в сметка на сеедър и обратно. Например, @wosuhitsu1972 е участвал в най-малко пет операции на Matryoshka от 14 до 28 март 2024 г., на свой ред като квотер, сеящ, сеещ, квотарен и после сеещ. Оттогава акаунтът е спрян.
Отвъд модела на разпространение, Matryoshka премина през няколко еволюции и вариации, откакто се появи, вероятно с цел да се тества дали новите процеси работят. VIGINUM е идентифицирал публикации, автоматично преведени на китайски,8 самите сеялки, които популяризират своите публикации, както и профили на акаунти, участващи в кампаниите, които се променят.
5

Нещо повече, от септември 2023 г. до февруари 2024 г. повечето акаунти на сейдъри и котьори изглежда са били закупени от специализирана компания. Няколко седмици преди да участват в кампанията Matryoshka, някои акаунти подсказваха в показваното си име, че са част от компанията WebMasterMarket, която продава X акаунти.9 Те също споделят общи характеристики, включително връзки с хора от Азия, минали дати на създаване, и скорошни публикации, популяризиращи крипто активи като Memecoin. 9 Вижте https://archive.ph/HLsIe. Акаунтите могат да бъдат закупени с помощта на крипто активи като Ethereum и Bitcoin.
10 Вижте статии на AFP (https://archive.ph/2G4ML) и The New Arab (https://archive.ph/VP5Fg).
11 Например: https://demagog.org.pl/analizy_i_raporty/matriosza-rosyjska-kampania-uderza-w-media-i-fact-checkerow/, https://checkfirst.network/wp-content/uploads/2024 /06/Operation_Overload_WEB.pdf.
12 https://checkfirst.network/wp-content/uploads/2024/06/Operation_Overload_WEB.pdf.
13 Включително германската крайнодясна партия Alternativ für Deutschland (@AfD).
14 Включително ключови украински министерства (@DefenceU, @MVS_UA) и Центъра за противодействие на дезинформацията (@CforCD).
15 Включително косовски акаунти (@HibridInfo), босненски акаунти (@Istinomjer) и македонски акаунти (@vistinomer).
16 Включително грузински акаунти (@MythDetector), арменски акаунти (@CivilNetTV) и азербайджански акаунти (@teyitorg).
17 Включително турски акаунти (@dogrulukpayicom), сирийски акаунти (@VeSyria), йордански акаунти (@misbar_en) и ливански акаунти (@AbbassFneish).
18 Включително мексикански акаунти (@NotiPressMX), еквадорски акаунти (@ECUADORCHEQUEA) и аржентински акаунти (@Chequeado).
19 Включително индийски акаунти (@factinkannada), акаунти в Шри Ланка (@VeriteResearch) и филипински акаунти (@PressOnePH, @mindanewsdotcom).
20 Включително сметки в Бурунди (@AntoineKaburahe) и сметки в Судан (@BeamReports).
21 Включително акаунтите @antibot4navalny, @ProverenoM, @BelarusFiles и @FactNameh.
22 Включително TF1, Le Monde, Mediapart, France 24, Le Journal de Dimanche, активистката организация на Спящия гигант и крайнодесния уебсайт F de Souche.
23 Включително Жан-Марк МОРАНДИНИ и Тристан УАЛЕКС.
24 По-специално префектура Вал д’Оаз.
Създадени малко преди операциите, всички използвани акаунти имат цифрово генерирани профилни снимки, не споменават биография или местоположение и нямат абонати или абонаменти. В сегашния си вид VIGINUM смята, че акаунтите, използвани от Matryoshka, може да са били купени в различни пулове от кампанията и дори е възможно да са били компрометирани.10
И накрая, няколко медии съобщиха публично, че са получили имейли, които ги канят да четат съдържание онлайн в Telegram (вижте раздел 2.3) или на уебсайтове, свързани с екосистемата „Правда“11 на мрежата Portal Kombat. В сегашния си вид изглежда вероятно Matryoshka да е изпратил тези имейли, за да привлече вниманието на ключовите цели към фалшивото съдържание.12 2.1.2 Цели на кампанията
Според VIGINUM кампанията Matryoshka е насочена към лица, на чиито публикации се отговаря от акаунти, свързани с кампанията. Според данните, събрани от VIGINUM, всяка операция е насочена към между 50 и 150 юридически и физически лица на X. Повечето от целите са медии (AFP, BBC, USA Today), организации за проверка на факти или за борба с дезинформацията (EU Disinfo Lab, “Info ou Intox” на France 24, Fact Check Bulgaria) и лица, работещи за тези организации или в областта на проверката на фактите (Христо ГРОЗЕВ, Александър ФИЛИПОВ, Юлиан РЬОКЕ).
VIGINUM също така забеляза, че дейностите на Matryoshka са насочени към университети, инвестиционни фондове, международни организации, правителствени органи и политически партии.13 Въпреки че операторите на Matryoshka редовно актуализират списъка на своите цели, въпреки това някои организации и лица изглежда почти систематично са насочени, особено национални и международни прес агенции.
Общо VIGINUM идентифицира повече от 500 различни X акаунта, които са били насочени от началото на кампанията през септември 2023 г. Докато „западните“ държави са били насочени най-много, кампанията Matryoshka също е насочена към институции в Украйна,14 на Балканите, 15 Кавказ,16 Близкия изток,17 Латинска Америка,18 Азия19 и Африка,20 както и медии, управлявани от руската, беларуската и иранската опозиция.21
Сред тези мишени има най-малко 40 френски X акаунта, включително на медии, организации за проверка на фактите,22 публични фигури23 и правителствени органи.24
6

VIGINUM също така забеляза, че Matryoshka систематично се насочва към няколко държави (вижте картата по-долу). Във всяка страна организациите и обществените фигури изглежда са насочени в един и същи ред, което предполага, че операторите използват предварително определен списък. VIGINUM идентифицира грешки в насочването, което подкрепя теорията, че акаунтите се управляват ръчно. Операторите са се насочили към някои акаунти няколко пъти подред25 и акаунти, които са написани по подобен начин на предполагаемата цел.26 25 Вижте https://ghostarchive.org/archive/TSSYx и https://ghostarchive.org/archive/9Q6GW .
26 Например „lobs“ (@unclelobs), акаунт, насочен сред френските медии, който вероятно е бил объркан с @Le_NouvelObs. Вижте https://perma.cc/AAX7-SVQU.

Фиг. 3: Произход на целите на кампанията Matryoshka

В своето разследване VIGINUM определи общите характеристики на използването на изкуствени процедури (операции, координирани между фалшиви акаунти) в диаграмата на кампанията за разпространение на Matryoshka.

7

2.2 Явно неточно или подвеждащо съдържание 2.2.1 Подвеждащо и невярно съдържание, насочено към дискредитиране на Украйна и нейните съюзници
Изглежда, че тази кампания се е появила за първи път на 5 септември 2023 г.27 с първа публикация, в която се споделя доклад, представящ се за Fox News, и се иска от различни медии да проверят информацията. 27 https://archive.ph/4K6Oj.
28 Вижте статията на руския издател Provereno: https://provereno.media/blog/2024/05/11/krysy-klopy-tuberkulyoz-i-finansovye-problemy-feyki-rossyskoy-propagandy-ob-olimpiade-v-parizhe /.
29 Вижте архив с фалшиви графити, изобразяващи Володимир ЗЕЛЕНСКИЙ (https://archive.ph/VEFVh) и фалшив доклад, представящ се за Euronews (https://archive.ph/XMWb6).
След това кампанията Matryoshka включваше основно разпространение на фалшиви графити и публикации, подправящи визуалната идентичност на западни медии, институции и неправителствени организации, използвайки горната процедура. Към днешна дата това съдържание е публикувано на френски, английски, италиански, немски, руски и украински.
Matryoshka разпространява три вида съдържание, представяйки се за медии, институции и неправителствени организации:
• видео репортажи с невярно съдържание, използващи визуалната идентичност и шрифтове на организацията. Изглежда, че тези фалшиви доклади са създадени с помощта на безплатни стокови изображения и музика;28 • Фалшиви екранни снимки, представящи откъс от статия, история в Instagram или кратък видеоклип в YouTube от медия, организация или физическо лице; • Фалшиви официални документи, представящи се за държавен орган.
Други познати манипулации включват разпространение на фалшиви изображения на графити по улиците на големите западни градове. Тези изображения на графити се създават чрез монтаж на снимка на реално място и карикатура, насочена към украински или европейски личности. Тези манипулирани изображения могат също така да излъжат визуалната идентичност на уличните артисти, като френския художник Lekto.
Наративите, прокарвани от тези публикации, са насочени предимно към Украйна и имат за цел да дискредитират нейното правителство и президента или да критикуват пристигането на украински бежанци в западните страни. Например много случаи на фалшиви графити, често антисемитски, изобразяват Володимир ЗЕЛЕНСКИЙ като просяк или военнопрестъпник, а няколко фалшиви доклада представят украинските бежанци в Европа в неблагоприятна светлина29 (виж по-долу). Фиг. 4: Екранни снимки на фалшиви графити, изобразяващи Володимир ЗЕЛЕНСКИЙ и фалшив доклад, критикуващ украинските бежанци

8

2.2.2 Франция, основна цел на кампанията Matryoshka
Други наративи имат за цел да дискредитират европейските правителства и по-специално тяхната политика в подкрепа на Украйна. Като такава Франция представлява ключова цел за операторите на кампанията. Фиг. 5: Екранна снимка на фалшиви графити, изобразяващи Еманюел Макрон
Медиите BFMTV, Le Parisien, Libération, Le Monde и La Montagne, както и Banque de France, град Париж и Генерална дирекция за вътрешна сигурност (DGSI) са имитирани от кампанията Matryoshka. Освен това, няколко случая на фалшиви графити, за които се твърди, че са разположени в и около Париж. Това фалшиво съдържание, насочено към Франция, разпространи няколко разказа, насочени по-специално към посяване на недоверие към френските институции и членовете на правителството.30 30 Например Матрьошка прокара разкази, изобразяващи президента на републиката като отговорен за ескалацията на напрежението с Русия (https://archive. ph/1Lx92) и обвинявайки френските правоприлагащи органи в сексуални посегателства по време на напрежението в Нова Каледония (https://archive.ph/ZqhAG).
31 https://blogs.microsoft.com/on-the-issues/2024/06/02/russia-cyber-bots-disinformation-2024-paris-olympics/.
Освен това VIGINUM забеляза, че много операции с Matryoshka са насочени към организирането на Олимпийските и Параолимпийските игри през 2024 г. Тези информационни операции имитират медии и институции, за да разпространят идеята, че Игрите през 2024 г. ще бъдат провал сред френската и международната публика. Например публикации са фалшифицирали визуалната идентичност на ЦРУ31, за да твърдят, че терористичната заплаха е твърде висока, за да протичат гладко събитията, докато фалшифициран документ на кметството на Париж, за да помоли парижани да не използват климатика си, тъй като той ще излъчва вълни, които биха могли да попречат на дроновете, осигуряващи инфраструктурата на Игрите през 2024 г. (вижте по-долу). Фиг. 6: Екранна снимка на публикации, насочени към игрите през 2024 г
9

И накрая, на 7 февруари 2024 г. кампанията Matryoshka се открои с разпространението на видео, представено като монтаж от френската крайнодясна студентска организация Groupe Union Défense (GUD), заплашващо да „подпали Banque de France“, защото „лъже“ относно неговата платежоспособност (виж по-долу). Това видео с „фалшив флаг“ беше част от по-широка операция за дискредитиране на Banque de France чрез представяне както на нея, така и на DGSI, за да насърчи хората да теглят огромни суми пари. Фиг. 7: Екранна снимка на публикации, насочени към Banque de France

В своя анализ VIGINUM потвърди разпространението на неверни или неточни твърдения, целящи да подведат уеб потребителите.

10
2.3 Пряко или непряко участие на чужд актьор
Разследванията на VIGINUM потвърдиха, че съдържанието, пуснато на X, е публикувано предварително в рускоезични канали на Telegram (вижте приложение 3.3). С едно изключение, фалшиви доклади, екранни снимки и графити изглежда са публикувани за първи път от канали като @sheyhtamir1974, @belshkarvka и @thehandofkremlin и качени за сравнително кратък период от време.32 Всичко това предполага, че съдържанието първоначално е било настроено за руски -говорещи аудитории. 32 https://archive.ph/PHjTq.
33 Блок от текст или визуално изображение, което е идентично или почти идентично копирано и поставено на една или няколко уеб платформи, с цел да направи съобщението по-видимо.
34 https://www.proekt.media/narrative/telegram-kanaly/.
35 https://t.me/together_to_the_stars.
36 На 18 и 19 март 2023 г. спонсорирано съдържание от кампанията RRN пусна видео във Facebook, което се представя за вестник Le Figaro, твърдейки, че Северен поток е бил саботиран от Съединените щати и Обединеното кралство (рекламен идентификатор:
Докато администраторите на трите гореспоменати канала изглеждат различни и имат свои собствени редакционни линии, оригиналните публикации на руски език, свързани с подвеждащо съдържание, често са копипасти33, които могат да бъдат идентифицирани чрез специфични заглавия.
Семантичен анализ на съобщения, публикувани между 22 февруари 2022 г. и 10 май 2024 г. от каналите @sheyhtamir1974, @belshkarvka и @thehandofkrem

lin, с поне едно от тези две заглавия, на руски: „#нам_пишут_наши_любимые_подписчики“ („#нашите любими абонати ни писаха“) и „#от_подписчика“ („ #от абонат“), демонстрира честотата, с която техниката copypasta се използва от тези три канала и увеличаването на количеството фалшиво съдържание от септември 2023 г. Фиг. 8: Графика на копипаста на подвеждащи съобщения, публикувани в каналите на Telegram
В светлината на това VIGINUM подозира, че това съдържание е създадено от трети страни, за да бъде публикувано в Telegram чрез координирани действия. Засега няма технически доказателства, свързващи методите на работа на Matryoshka с трети страни, които може да са проектирали съдържание, публикувано от каналите.
Теорията, че са замесени трети страни, изглежда се подкрепя от факта, че администраторите на тези канали вероятно са били възнаградени за публикуване на „политическо съдържание“, което е обичайна практика в екосистемата на прокремълските канали, според един разследване на руската медия Проект34. Например каналът @thehandofkremlin приканва потребителите да се свържат с посредник, известен като „Сергей КАЛАШНИКОВ“ за всички търговски партньорства. Освен това Сергей КАЛАШНИКОВ управлява рускоезичен канал Telegram35, където предлага да се публикува съдържание срещу заплащане в каналите на Telegram, които вече са били идентифицирани при предишни информационни операции (вижте по-долу).
И накрая, кампанията RRN вече публикува фалшиви доклади, които са много подобни на публикуваните от Matryoshka в предишните операции36, което води до предположението, че това съдържание е създадено от
11

4208250569399286). На 21 октомври 2023 г. мрежа от вече спрени X акаунти от кампанията RRN публикува доклад, който също се представя за Le Figaro, твърдейки, че Израел използва фалшиви видеоклипове, за да оправдае действията си в Ивицата Газа (https://twitter.com/ casusbellii/статус/1716429778956189928).
37 https://www.washingtonpost.com/world/2024/02/16/russian-disinformation-zelensky-zaluzhny.
38 https://archive.ph/y1UvB, https://archive.ph/YFeUX и https://archive.ph/B5gDP.
39 Вижте: https://about.fb.com/news/2022/11/metas-adversarial-threat-report-q3-2022/.
същите актьори. Тази идея е подкрепена от факта, че според документи, публикувани от Washington Post37, каналът на Telegram @sheyhtamir1974 се появява няколко пъти на таблото за управление на потребител, известен като „Center S“.38 Според тази статия Центърът може да има връзки с руската президентска администрация и може да отговаря за координирането на „операции за влияние“ срещу чужди държави. Освен това, отново от Washington Post, администрацията на руския президент се подозира, че е възложила част от работата си на подизпълнители на ASP и Struktura, като и двете са публично обвинени, че стоят зад кампанията RRN39.
По този начин систематичното използване на руски канали като канали за първо пускане, както и публикуването на оригинално рускоезично съдържание, формират набор от потвърждаващи доказателства, които предполагат участието на чужд актьор.

Фиг. 9: Екранна снимка на публикация от Telegram @together_to_the_stars, свързана със Сергей Калашников и предлагаща платени партньорства с канали на Telegram
12

2.4 Атака срещу основните интереси на Франция
VIGINUM вярва, че основната цел на кампанията Matryoshka е да дискредитира западни личности и медии, участващи в проверка на фактите, включително публично, ако реагират на фалшиво съдържание. На този етап търсенето на аудитория изглежда само второстепенна цел за операторите, както може да се види от ниския обем на аудиторията и слабата ангажираност в публикациите на кампанията40 и въпреки че оперативният метод се използва срещу стотици субекти. 40 Например операцията, целяща изпращането на фалшив графит Lekto до 162 X акаунта, стартирана на 24 април 2024 г., е получила само 720 показвания към 2 май 2024 г.
41 Вижте конкретно: https://dfrlab.org/2022/05/04/how-russia-employs-fake-fact-checking-in-its-disinformation-arsenal.
Анализът на онези, които първи пускат съдържание, предполага, че съдържанието, първоначално насочено към руска аудитория, се подхваща от Matryoshka и след това се използва повторно с минимални разходи срещу „западни“ цели. В някои случаи медиите са реагирали ефективно на обажданията на цитиращите лица или дори са анализирали и публикували статии за съдържание, публикувано по време на кампанията, като по този начин са се изложили на широкомащабно насочване, насочено към насищане на техните способности за разследване.
VIGINUM смята, че тази кампания подкопава репутацията на френските мейнстрийм медии и официални институции. От началото на широкомащабното нахлуване в Украйна през февруари 2022 г. руският механизъм за влияние редовно се насочва към проверяващите факти41 и използва обширни ресурси, за да дискредитира анализи от западни медии.
Освен това използването на президента и имиджа на Републиката за целите на дезинформацията, както и повтарящите се атаки срещу Олимпийските и Параолимпийските игри през 2024 г. и френската политика в подкрепа на Украйна най-вероятно са насочени към накърняване на международната репутация на Франция сред определена публика. След този анализ VIGINUM вярва, че кампанията Matryoshka вероятно ще подкопае директно основните интереси на Франция.

* * *

Като се имат предвид координираните и неавтентични методи за пускане, подвеждащата и измамна природа на публикациите на Matryoshka, вероятните връзки между кампанията и руските актьори и ясното намерение да се навреди на имиджа на Франция, критериите за чужда цифрова намеса изглежда са изпълнени.
Освен това VIGINUM вярва, че методите му на работа могат да се променят през следващите месеци, за да направят процедурите си по-скрити, да уловят повече цели и да достигнат до по-широка аудитория.

13

3. ПРИЛОЖЕНИЕ 3.1 Тактики, техники и процедури
[TA01] Планиране на стратегия
- [T0074] Определяне на стратегически цели

[TA02] Цели на плана
- [T0002] Улесняване на държавната пропаганда - [T0066] Деградиране на противника - [T0075] Отхвърляне - [T0075.001] Дискредитиране на достоверни източници - [T0076] Изкривяване - [T0077] Разсейване - [T0079] Разделяне

[TA13] Анализ на целевата аудитория
- [T0072] Сегментиране на аудитории - [T0072.001] Географско сегментиране - [T0081] Идентифициране на социални и технически уязвимости - [T0081.003] Идентифициране на съществуващи предразсъдъци - [T0081.004] Идентифициране на съществуващи пукнатини - [T0081.005] Идентифициране на съществуваща конспирация Разкази/подозрения - [T0081.008] Идентифициране на уязвимостите на медийната система

[TA14] Разработване на разкази
- [T0003] Използвайте съществуващите разкази - [T0004] Разработване на конкурентни разкази - [T0022] Ливъридж на теорията на конспирацията - [T0022.001] усилват съществуващите разкази на теорията на конспирацията - [T0022.002] Разработване на оригинални разкази за конспирация - [T0040] търсене на застрахователна способност за INSURMONTABLE Доказателство - [T0068] Отговор на извънредно новинарско събитие или активна криза - [T0083] Интегриране на уязвимостите на целевата аудитория в разказа

[TA06] Разработване на съдържание
- [T0019] Генериране на информационно замърсяване - [T0023] Изкривяване на факти - [T0023.001] Преформатиране на контекст - [T0023.002] Редактиране на съдържание с отворен код - [T0084] Повторно използване на съществуващо съдържание - [T0084.002] Плагиатство на съдържание - [T0084 .003] Измамно етикетирано или преведено - [T0086] Разработване на базирано на изображения съдържание - [T0086.003] Измамно редактиране на изображения (Евтини фалшификати) - [T0087] Разработване на видео-базирано съдържание - [T0087.002] Измамно редактиране на видео (Евтини фалшификати) )

[TA15] Създаване на социални активи
- [T0090] Създаване на неавтентични акаунти - [T0090.001] Създаване на анонимни акаунти

[TA16] Установете легитимност
- [T0099] Имитиране на съществуващ субект - [T0099.002] Имитация/пародия на акаунт/сайт - [T0099.003] Имитиране на съществуваща организация - [T0099.004] Имитиране на съществуващ медиен център - [T0099.005] Имитиране на съществуващо длъжностно лице - [T0099 .006] Представете се за съществуващ влиятелен човек

[TA07] Изберете канали и предложения
- [T0104] Социални мрежи - [T0104.001] Основни социални мрежи - [T0112] Имейл

[TA09] Доставяне на съдържание
- [T0115] Публикувайте съдържание - [T0116] Коментирайте или отговорете на съдържанието

[TA11] Устойчивост в информационната среда
- [T0128] Скриване на информационни активи - [T0128.001] Използване на псевдоними - [T0128.004] Пране на информационни активи - [T0129] Скриване на оперативна дейност
[T0129.002] Генериране на съдържание, несвързано с разказа

14
3.2 Представени френски юридически лица и медии
Target Онлайн архив42 Дата Le Parisien
https://archive.ph/8kQmd
21 септември 2023 г
Ла Монтан
https://archive.ph/oCZmb
9 октомври 2023 г
Le Monde
https://archive.ph/pefZ7
16 ноември 2023 г
RFI
https://archive.ph/9I6ZG
24 ноември 2023 г
DGSI
https://archive.ph/vFEsk
2 февруари 2024 г
Le Figaro
https://archive.ph/0d6l3
8 март 2024 г
Франция 24
https://archive.ph/PdIVl
28 март 2024 г
Франция 24
https://archive.ph/1SW5K
11 април 2024 г
Le Figaro
https://archive.ph/MndmD
12 април 2024 г
RFI
https://archive.ph/rta16
15 април 2024 г
RFI
https://archive.ph/sVNOk
18 април 2024 г
RFI
https://archive.ph/WvAl3
19 април 2024 г
BFMTV
https://archive.ph/kTtES
8 май 2024 г
BFMTV
https://archive.ph/Wb5VG
8 май 2024 г
град Париж
https://archive.ph/N2OzX
8 май 2024 г
Освобождение
https://archive.ph/biAIN
11 май 2024 г
BFMTV
https://archive.ph/NGyE8
13 май 2024 г. 42 Тези архиви ни бяха съобщени от antibot4navalny.

3.3 Примери за публикувано съдържание на кампанията
Съдържание Telegram канал, на който беше пуснат за първи път Дата на пускане Matryoshka „seeder“ акаунти на X Дата на пускане Доклад от Der Spiegel за вратар
https://archive.is/a0R2H
Неделя, 28 април 2024 г. в 19:01
https://archive.is/dkk0k
30 април 2024 г. в 12:30 ч
Репортаж на BFMTV за Евровизия
https://archive.is/w6ejq
Събота, 11 май 2024 г. в 10:07 ч
https://archive.is/1GmF8
13 май 2024 г. в 12:39
Антисемитски графити в Париж
https://archive.is/P2nMD
10 май 2024 г. в 15:37 ч
https://archive.is/hAH62
15 май 2024 г. в 13:34 ч

15

MATRYOSHKA A pro-Russian campaign targeting media and the fact-checking community
Technical report
June 2024
Contents 1. Summary .................................................................................................................................................................... 3

2. Analysis ...................................................................................................................................................................... 4

2.1 Artificial or automated, widespread & deliberate dissemination ........................................................... 4

2.1.1 Content dissemination pattern................................................................................................................ 5

2.1.2 Campaign targets ....................................................................................................................................... 6

2.2 Patently inaccurate or misleading content .................................................................................................. 8

2.2.1 Misleading and untruthful content aimed at discrediting Ukraine and its allies ........................... 8

2.2.2 France, a key target of the Matryoshka campaign ............................................................................... 9

2.3 Direct or indirect involvement of a foreign actor .....................................................................................11

2.4 Attack on France’s fundamental interests ................................................................................................. 13

3. Appendix ................................................................................................................................................................. 14

3.1 Tactics, techniques & procedures ................................................................................................................ 14

3.2 Impersonated French entities & media outlets ........................................................................................ 15

3.3 Examples of campaign content released ................................................................................................... 15


2
1. Summary
Since late 2023, VIGINUM has observed and documented a malicious campaign that could affect French-speaking public debate online.
This operation, dubbed “Matryoshka” (Russian doll) in previous open sources reports,1 has been active since at least September 2023.2 Its primary aim is to post fake content (reports, graffiti, memes, etc.), which is then shared in a coordinated manner on X (formerly Twitter), in the reply section of posts by the accounts of media outlets, public figures and fact-checking organizations in more than 60 countries. Matryoshka operators contact their targets directly on X and via email to ask them to investigate the fake content. 1 The name comes from the Russian activist group Antibot4Navalny, which is active on X and has been tracking Ukrainian and Russian bots since 2018. Their publications and the data associated were analysed as part of this investigation. See https://twitter.com/antibot4navalny. The campaign, which has been dubbed “Operation Overload”, has been documented notably by Agence France Presse (AFP) (see https://factuel.afp.com/doc.afp.com.34H32VP), Check First and Reset (https://checkfirst.network/wp-content/uploads/2024/06/Operation_Overload_WEB.pdf).
2 Check First has determined that the campaign started as early as August 2023.
The fake content generally impersonates North American and European public figures and media outlets, including French ones. Although primarily anti-Ukrainian narratives are spread and amplified, this content also targets France’s Ukraine support policy, French politicians, and the Paris 2024 Olympic and Paralympic Games.
VIGINUM investigations have established that most of the content was first published on Russian-language Telegram channels, which had already been identified in information operations. VIGINUM considers that the aim of the Matryoshka campaign is most likely to discredit media outlets, public figures and fact-checking organizations targeted and to promote pro-Russia content.
With regard to these elements, VIGINUM considers that the Matryoshka campaign, which is still ongoing, constitutes a foreign digital interference.

3

2. ANALYSIS 2.1 Artificial or automated, widespread & deliberate dissemination
Active on X since at least September 2023, the Matryoshka campaign is an operation conducted in two stages:
• A first group of accounts, known as “seeders”, posts fake content on the platform (see section 2.2); • A second group of accounts, known as “quoters”, then shares a seeder’s post in response to posts by media outlets, public figures and fact-checkers.
The quoters contact targeted individuals or organizations to ask them to check the authenticity or veracity of content posted by the seeders. Since September 2023, Matryoshka operators have conducted at least 90 successive operations, during which they adapted and tested different methods to disseminate content and bring it to the attention of their targets.

Fig. 1: How the Matryoshka campaign works, illustrated by an operation questioning the quality of the Seine’s water







4
Fig. 2: Chronology of the posts of three quoters (@Bohyun579659, @Ben990589695027 and @LachelleNa61051) in a Matryoshka operation 2.1.1 Content dissemination pattern
Matryoshka operations generally involve two or three seeders that initially post the content on X within a few minutes of each other. Some 30 to 40 minutes later, two or three quoters3 start to share the seeders’ posts, commenting on the target’s latest post. Quoters frequently add text, an emoji, or simply mention the target, this addition being unique for each operation and quoter. This second phase usually lasts several hours, with an average of 45 seconds between each quote. 3 In rare cases, Matryoshka has used up to five seeder accounts.
4 For example, quoter @Beth65780671768 seems to have accidentally used the text of the operation’s second quoter, @Benjamin1563563 in one of her 97 quotes. See https://perma.cc/A4RY-7NST.
5 For example, the quoter @BritannyJa97256 tagged @maxhofmann in the comments of a tweet by @dw_politics, as a result targeting the wrong entity. See https://archive.ph/KpAm4.
6 Including missing spaces between a target’s tag and a quoter’s text.
7 https://perma.cc/SWY8-5JLZ.
8 https://archive.ph/6lhVf.


VIGINUM identified errors which most likely would not have happened if they were automated, including:
• The use by a quoter of another quoter’s text during the same operation;4 • The use of erroneous tags in certain quoters’ posts;5 • Typos in a small number of quoters’ posts;6 • Quotes in a thread of comments, and not in a reply to a target’s post.7
Furthermore, the X accounts involved in the Matryoshka campaign are used to conduct several successive operations, a quoter’s account almost systematically becoming a seeder’s account and vice versa. For example, @wosuhitsu1972 was involved in at least five Matryoshka operations from 14 to 28 March 2024, in turn as a quoter, a seeder, a seeder, a quoter then a seeder. The account has since been suspended.
Beyond the dissemination pattern, Matryoshka has gone through several evolutions and variations since its appeared, possibly in order to test whether new processes worked. VIGINUM has identified posts automatically translated into Chinese,8 seeders themselves promoting their posts, as well as profiles of accounts involved in the campaigns being changed.
5

Moreover, from September 2023 to February 2024, most seeders’ and quoters’ accounts seem to have been bought from a specialized company. Some weeks before they were involved in the Matryoshka campaign, some accounts suggested in their display name that they were part of the WebMasterMarket company, which sells X accounts.9 They also share common features, including links with people from Asia, past creation dates, and recent posts promoting crypto assets such as Memecoin. 9 See https://archive.ph/HLsIe. The accounts may be purchased using crypto assets such as Ethereum and Bitcoin.
10 See articles by the AFP (https://archive.ph/2G4ML) and The New Arab (https://archive.ph/VP5Fg).
11 For example: https://demagog.org.pl/analizy_i_raporty/matriosza-rosyjska-kampania-uderza-w-media-i-fact-checkerow/, https://checkfirst.network/wp-content/uploads/2024/06/Operation_Overload_WEB.pdf.
12 https://checkfirst.network/wp-content/uploads/2024/06/Operation_Overload_WEB.pdf.
13 Including the Germany far-right party Alternativ für Deutschland (@AfD).
14 Including key Ukrainian ministries (@DefenceU, @MVS_UA) and the Centre for Countering Disinformation (@CforCD).
15 Including Kosovar accounts (@HibridInfo), Bosnian accounts (@Istinomjer) and Macedonian accounts (@vistinomer).
16 Including Georgian accounts (@MythDetector), Armenian accounts (@CivilNetTV) and Azerbaijani accounts (@teyitorg).
17 Including Turkish accounts (@dogrulukpayicom), Syrian accounts (@VeSyria), Jordanian accounts (@misbar_en) and Lebanese accounts (@AbbassFneish).
18 Including Mexican accounts (@NotiPressMX), Ecuadorian accounts (@ECUADORCHEQUEA) and Argentine accounts (@Chequeado).
19 Including Indian accounts (@factinkannada), Sri-Lankan accounts (@VeriteResearch) and Philippine accounts (@PressOnePH, @mindanewsdotcom).
20 Including Burundian accounts (@AntoineKaburahe) and Sudanese accounts (@BeamReports).
21 Including the accounts @antibot4navalny, @ProverenoM, @BelarusFiles and @FactNameh.
22 Including TF1, Le Monde, Mediapart, France 24, Le Journal de Dimanche, the Sleeping Giant activist organization and the far-right website, F de Souche.
23 Including Jean-Marc MORANDINI and Tristan WALECKX.
24 Particularly the Val d’Oise Prefecture.
Created shortly before the operations, all the accounts used have digitally generated profile pictures, do not mention a biography or location, and do not have any subscribers or subscriptions. As it stands, VIGINUM considers that the accounts used by Matryoshka could have been bought in different pools by the campaign, and even possibly compromised.10
Lastly, several media outlets have publicly reported that they have received emails inviting them to read content online on Telegram (see section 2.3) or on websites linked to the “Pravda”11 ecosystem of the Portal Kombat network. As it stands, it seems probable that Matryoshka sent these emails in order to draw key targets’ attention to the fake content.12 2.1.2 Campaign targets
According to VIGINUM, the Matryoshka campaign targets entities whose posts are replied to by accounts linked to the campaign. According to the data collected by VIGINUM, each operation targets between 50 and 150 entities and individuals on X. Most of the targets are media outlets (AFP, BBC, USA Today), fact-checking or anti-disinformation organizations (EU Disinfo Lab, France 24’s “Info ou Intox”, Fact Check Bulgaria) and individuals working for these organizations or in the fact-checking field (Christo GROZEV, Alexandre ALAPHILIPPE, Julian RÖPCKE).
VIGINUM has also observed that Matryoshka activities have targeted universities, investment funds, international organizations, government bodies and political parties.13 Although Matryoshka operators regularly update the list of their targets, some organizations and individuals nevertheless seem to almost systematically be targeted, particularly national and international press agencies.
In total, VIGINUM identified more than 500 different X accounts that have been targeted since the beginning of the campaign in September 2023. While “Western” countries have been targeted the most, the Matryoshka campaign has also targeted institutions in Ukraine,14 the Balkans,15 the Caucasus,16 the Middle East,17 Latin America,18 Asia19 and Africa,20, as well as media outlets run by the Russian, Belarusian and Iranian opposition.21
Among these targets there are at least 40 French X accounts, including of media outlets, fact-checking organizations,22 public figures23 and government bodies.24
6

VIGINUM has also observed that Matryoshka systematically targets several countries (see map below). In every country, organizations and public figures seem to be targeted in the same order, which suggests that operators are using a pre-determined list. VIGINUM identified errors in targeting that supports the theory that the accounts are being managed manually. The operators have targeted some accounts several times in a row,25 and accounts that are similarly spelled to the supposed target.26 25 See https://ghostarchive.org/archive/TSSYx and https://ghostarchive.org/archive/9Q6GW.
26 For example, “lobs” (@unclelobs), an account targeted among French media outlets, which was probably confused with @Le_NouvelObs. See https://perma.cc/AAX7-SVQU.

Fig. 3: Origin of Matryoshka campaign targets

In its investigation, VIGINUM determined common characteristics of the use of artificial procedures (operations coordinated between fake accounts) in the Matryoshka dissemination campaign diagram.

7

2.2 Patently inaccurate or misleading content 2.2.1 Misleading and untruthful content aimed at discrediting Ukraine and its allies
This campaign first seems to have appeared on September 5, 2023,27 with a first post sharing a report impersonating Fox News and asking various media outlets to check the information. 27 https://archive.ph/4K6Oj.
28 See article by the Russian outlet Provereno: https://provereno.media/blog/2024/05/11/krysy-klopy-tuberkulyoz-i-finansovye-problemy-feyki-rossyskoy-propagandy-ob-olimpiade-v-parizhe/.
29 See archive of fake graffiti depicting Volodymyr ZELENSKYY (https://archive.ph/VEFVh) and a false report impersonating Euronews (https://archive.ph/XMWb6).
The Matryoshka campaign then primarily involved dissemination of false graffiti and posts spoofing the visual identity of Western media outlets, institutions and NGOs using the above procedure. To date, this content has been published in French, English, Italian, German, Russian and Ukrainian.
Matryoshka spreads three types of content impersonating media outlets, institutions and NGOs:
• video reports with untruthful content using the visual identity and fonts of the organization. These false reports appear to be produced using royalty-free stock images and music;28 • False screenshots presenting an excerpt of an article, an Instagram story or a short YouTube video from a media outlet, organization or individual; • Fake official documents impersonating a government body.
Other posts involve disseminating fake images of graffiti in the streets of major Western cities. These graffiti images are produced using a montage of a photograph of a real place and a caricature targeting Ukrainian or European figures. These manipulated images may also spoof the visual identity of street artists, like the French artist Lekto.
The narratives pushed by these publications primarily target Ukraine and aim to discredit its government and President, or else to criticize the arrival of Ukrainian refugees in Western countries. For example, many instances of fake graffiti, often anti-Semitic, depict Volodymyr ZELENSKYY as a beggar or war criminal, and several false reports have presented Ukrainian refugees in Europe in an unfavourable light29 (see below). Fig. 4: Screenshots of fake graffiti depicting Volodymyr ZELENSKYY and a false report criticizing Ukrainian refugees

8

2.2.2 France, a key target of the Matryoshka campaign
Other narratives aim to discredit European governments, and particularly their policy supporting Ukraine. As such, France constitutes a key target for the campaign’s operators. Fig. 5: Screenshot of fake graffiti depicting Emmanuel Macron
The media outlets BFMTV, Le Parisien, Libération, Le Monde and La Montagne, as well as the Banque de France, the city of Paris and the Directorate-General for Internal Security (DGSI) have been impersonated by the Matryoshka campaign. Moreover, several cases of fake graffiti purported to be situated in and around Paris. This false content targeting France spread several narratives aimed notably at sowing distrust of French institutions and government members.30 30 For example, Matryoshka pushed narratives depicting the President of the Republic as being responsible for escalation of tensions with Russia (https://archive.ph/1Lx92) and accusing French law enforcement of sexual assaults during tensions in New Caledonia (https://archive.ph/ZqhAG).
31 https://blogs.microsoft.com/on-the-issues/2024/06/02/russia-cyber-bots-disinformation-2024-paris-olympics/.
Moreover, VIGINUM has observed that many Matryoshka operations have targeted the organization of the 2024 Olympic and Paralympic Games. These information operations impersonated media and institutions to spread the idea that the 2024 Games will be a failure among both French and international audiences. For instance, posts have spoofed the visual identity of the CIA31 to claim that the terrorist threat was too high for the events to run smoothly, while a falsified Paris City Hall document in order to ask Parisians not to use their air conditioning as it would emit waves that could interfere with drones securing 2024 Games infrastructure (see below). Fig. 6: Screenshot of posts targeting the 2024 Games
9

Lastly, on February 7 2024, the Matryoshka campaign stood out in disseminating a video presented as a montage by the French far-right student organization Groupe Union Défense (GUD) threatening to “burn down the Banque de France” because it was “lying” about its solvency (see below). This “false flag” video was part of a wider operation to discredit the Banque de France by impersonating both it and the DGSI to encourage people to withdraw massive amounts of cash. Fig. 7: Screenshot of posts targeting the Banque de France


In its analysis, VIGINUM has confirmed the dissemination of false or inaccurate allegations aimed at misleading web users.

10
2.3 Direct or indirect involvement of a foreign actor
VIGINUM investigations confirmed that the content released on X was issued upfront on Russian-speaking Telegram channels (see annex 3.3). With one exception, fake reports, screenshots and graffiti seem to have been first posted by channels like @sheyhtamir1974, @belshkarvka and @thehandofkremlin, and uploaded within a relatively short time span.32 All this suggests that the content was initially set up for Russian-speaking audiences. 32 https://archive.ph/PHjTq.
33A block of text or a visual which is identically or almost identically copied and pasted, on one or several web platforms, with the aim of making a message more visible.
34 https://www.proekt.media/narrative/telegram-kanaly/.
35 https://t.me/together_to_the_stars.
36 On March 18 and 19, 2023, sponsored content from the RRN campaign released a video on Facebook which impersonated the Le Figaro newspaper, claiming that Nord Stream had been sabotaged by the United States and the United Kingdom (ad ID:
While the administrators of the three abovementioned channels appear different and have their own editorial lines, original publications in Russian, associated with misleading content, have often been copypastas,33 which are identifiable through specific headers.
Semantic analysis of messages published between February 22, 2022 and May 10, 2024 by the channels @sheyhtamir1974, @belshkarvka and @thehandofkremlin, with at least one of these two headers, in Russian: “#нам_пишут_наши_любимые_подписчики” (“#our favourite subscribers have written to us”) and “#от_подписчика” (“ #from a subscriber”), demonstrated the frequency with which the copypasta technique is used by these three channels, and the increase in the amount of fake content since September 2023. Fig. 8: Graph of copypastas of misleading messages published on Telegram channels
In light of this, VIGINUM suspects that this content was created by third parties in order to be posted on Telegram through coordinated action. For now, there is no technical evidence linking Matryoshka’s operating methods to third parties who may have designed content posted by the channels.
The theory that third parties were involved seems to be supported by the fact that the administrators of these channels are likely to have been remunerated for publishing “political content”, which is a common practice in the ecosystem of pro-Kremlin channels, according to an investigation by Russia media outlet Proekt34. For example, the @thehandofkremlin channel invites users to contact an intermediary known as “Sergey KALASHNIKOV” for all commercial partnerships. Furthermore, Sergey KALASHNIKOV runs a Russian-language Telegram35 channel, where he proposes to publish content against payment on Telegram channels that had already been identified in previous information operations (see below).
Finally, the RRN campaign has already published false reports which are very similar those published by Matryoshka in the previous operations36, leading to the assumption that this content was created by the
11

4208250569399286). On 21 October 2023, a network of now-suspended X accounts from the RRN campaign published a report which also impersonated Le Figaro, claiming that Israel was using fake videos to justify its action in the Gaza Strip (https://twitter.com/casusbellii/status/1716429778956189928).
37 https://www.washingtonpost.com/world/2024/02/16/russian-disinformation-zelensky-zaluzhny.
38 https://archive.ph/y1UvB, https://archive.ph/YFeUX and https://archive.ph/B5gDP.
39 See: https://about.fb.com/news/2022/11/metas-adversarial-threat-report-q3-2022/.
same actors. This idea is backed by the fact that, according to documents published by the Washington Post,37 the Telegram channel @sheyhtamir1974 appears several times on the dashboard of a user known as “Center S”.38 According to that article, the Center could have links with the Russian Presidential Administration and could be responsible for coordinating “influence operations” against foreign countries. Furthermore, again from the Washington Post, the Russian Presidential Administration is suspected to have sub-contracted part of its work to ASP and Struktura, both of which have been publicly accused of being behind the RRN campaign39.
Thus, the systematic use of Russian channels as channels of first release, as well as the publication of original Russian-language content, form a body of corroborating evidence to suggest the involvement of a foreign actor.

Fig. 9: Screenshot of a posting from Telegram @together_to_the_stars linked to Sergey Kalashnikov and offering paid partnerships with Telegram channels
12

2.4 Attack on France’s fundamental interests
VIGINUM believes that the main goal of the Matryoshka campaign is to discredit Western personalities and media outlets involved in fact-checking, including publicly, if they react to fake content. At this point, seeking an audience seems to be only a secondary goal for operators, as can be seen with the low audience volumes and weak engagement in campaign publications,40 and despite the operating method being used against hundreds of entities. 40 For example, the operation aiming to send a fake piece of Lekto graffiti to 162 X accounts launched on 24 April 2024 had only received 720 views as of 2 May 2024.
41 See specifically: https://dfrlab.org/2022/05/04/how-russia-employs-fake-fact-checking-in-its-disinformation-arsenal.
Analysis of those who first release content suggests that content initially aimed for a Russian audience is picked up by Matryoshka, and then re-used at minimal cost against “Western” targets. In certain cases, media outlets have effectively responded to calls from quoters, or even analysed and published articles on content released during the campaign, thus exposing themselves to large-scale targeting aimed at saturating their investigative abilities.
VIGINUM believes that this campaign undermines the reputation of French mainstream media and official institutions. Since the start of the large-scale invasion of Ukraine in February 2022, the Russian influencing mechanism has regularly targeted fact-checkers41 and used extensive resources to discredit analysis from Western media outlets.
Furthermore, the use of the President of the French Republic’s image for disinformation purposes as well as repeated attacks against the 2024 Olympic and Paralympic Games and the French policy in support of Ukraine are most likely aimed at damaging France’s international reputation among particular audiences. After this analysis, VIGINUM believes that the Matryoshka campaign is likely to directly undermine France’s fundamental interests.

* * *

Given the coordinated and unauthentic release methods, the misleading and deceptive nature of the Matryoshka postings, probable links between the campaign and Russian actors and the clear intention to damage France’s image, the criteria of a foreign digital interference appear to have been met.
Furthermore, VIGINUM believes that its operating methods could change in the months ahead to make its procedures stealthier, trap more targets and reach a wider audience.


13

3. APPENDIX 3.1 Tactics, techniques & procedures
[TA01] Plan Strategy
- [T0074] Determine Strategic Ends

[TA02] Plan Objectives
- [T0002] Facilitate State Propaganda - [T0066] Degrade Adversary - [T0075] Dismiss - [T0075.001] Discredit Credible Sources - [T0076] Distort - [T0077] Distract - [T0079] Divide

[TA13] Target Audience Analysis
- [T0072] Segment Audiences - [T0072.001] Geographic Segmentation - [T0081] Identify Social and Technical Vulnerabilities - [T0081.003] Identify Existing Prejudices - [T0081.004] Identify Existing Fissures - [T0081.005] Identify Existing Conspiracy Narratives/Suspicions - [T0081.008] Identify Media System Vulnerabilities

[TA14] Develop Narratives
- [T0003] Leverage Existing Narratives - [T0004] Develop Competing Narratives - [T0022] Leverage Conspiracy Theory Narratives - [T0022.001] Amplify Existing Conspiracy Theory Narratives - [T0022.002] Develop Original Conspiracy Theory Narratives - [T0040] Demand Insurmountable Proof - [T0068] Respond to Breaking News Event or Active Crisis - [T0083] Integrate Target Audience Vulnerabilities into Narrative

[TA06] Develop Content
- [T0019] Generate Information Pollution - [T0023] Distort Facts - [T0023.001] Reframe Context - [T0023.002] Edit Open-Source Content - [T0084] Reuse Existing Content - [T0084.002] Plagiarise Content - [T0084.003] Deceptively Labelled or Translated - [T0086] Develop Image-Based Content - [T0086.003] Deceptively Edit Images (Cheap Fakes) - [T0087] Develop Video-Based Content - [T0087.002] Deceptively Edit Video (Cheap Fakes)

[TA15] Establish Social Assets
- [T0090] Create Inauthentic Accounts - [T0090.001] Create Anonymous Accounts

[TA16] Establish Legitimacy
- [T0099] Impersonate Existing Entity - [T0099.002] Spoof/Parody Account/Site - [T0099.003] Impersonate Existing Organisation - [T0099.004] Impersonate Existing Media Outlet - [T0099.005] Impersonate Existing Official - [T0099.006] Impersonate Existing Influencer

[TA07] Select Channels and Affordances
- [T0104] Social Networks - [T0104.001] Mainstream Social Networks - [T0112] Email

[TA09] Deliver Content
- [T0115] Post Content - [T0116] Comment or Reply on Content

[TA11] Persist in the Information Environment
- [T0128] Conceal Information Assets - [T0128.001] Use Pseudonyms - [T0128.004] Launder Information Assets - [T0129] Conceal Operational Activity
[T0129.002] Generate Content Unrelated to Narrative

14
3.2 Impersonated French entities & media outlets
Target Online archive42 Date Le Parisien
https://archive.ph/8kQmd
21 September 2023
La Montagne
https://archive.ph/oCZmb
9 October 2023
Le Monde
https://archive.ph/pefZ7
16 November 2023
RFI
https://archive.ph/9I6ZG
24 November 2023
DGSI
https://archive.ph/vFEsk
2 February 2024
Le Figaro
https://archive.ph/0d6l3
8 March 2024
France 24
https://archive.ph/PdIVl
28 March 2024
France 24
https://archive.ph/1SW5K
11 April 2024
Le Figaro
https://archive.ph/MndmD
12 April 2024
RFI
https://archive.ph/rta16
15 April 2024
RFI
https://archive.ph/sVNOk
18 April 2024
RFI
https://archive.ph/WvAl3
19 April 2024
BFMTV
https://archive.ph/kTtES
8 May 2024
BFMTV
https://archive.ph/Wb5VG
8 May 2024
City of Paris
https://archive.ph/N2OzX
8 May 2024
Libération
https://archive.ph/biAIN
11 May 2024
BFMTV
https://archive.ph/NGyE8
13 May 2024 42 These archives were communicated to us by antibot4navalny.














3.3 Examples of campaign content released
Content Telegram channel on which it was first released Release date Matryoshka “seeder” accounts on X Release date Report by Der Spiegel on a goalkeeper
https://archive.is/a0R2H
Sunday, 28 April 2024 at 19:01
https://archive.is/dkk0k
30 April 2024 at 12:30
Report by BFMTV on Eurovision
https://archive.is/w6ejq
Saturday, 11 May 2024 at 10:07
https://archive.is/1GmF8
13 May 2024 at 12:39
Anti-Semitic graffiti in Paris
https://archive.is/P2nMD
10 May 2024 at 15:37
https://archive.is/hAH62
15 May 2024 at 13:34






15


























ABOUT VIGINUM

Created on 13 July 2021 and attached to the General Secretariat for Defence and National Security (SGDSN), France’s service for vigilance and protection against foreign digital interference (VIGINUM) is intended to protect the online public debate which affects France’s fundamental interests.
This technical and operational state agency is responsible for monitoring and defining information manipulation campaigns on digital platforms, involving foreign actors with the aim of damaging France and its interests.
Service for vigilance and protection against foreign digital interference | SGDSN
Cover photo credit: flickr | www.CGPGrey.com; photo cropped and converted to black and white

16