Les cyber-spécialistes de la 256e cyber division d’assaut, du groupe analytique Ukrainian Militant et de la communauté internationale de renseignement InformNapalm ont mené une nouvelle opération CYBINT conjointe contre des entreprises russes liées au complexe militaro-industriel de la Fédération de Russie.
Au cours de cette opération de grande echelle, qui a duré plusieurs années, ils ont également réussi à obtenir des documents internes d’organisations travaillant dans l’intérêt de l’armée russe. L’un des résultats a été l’accès à des correspondances fermées et à la documentation du directeur général adjoint de la société par actions «Système de satellites Gonets» (ci-après «SS Gonets») ainsi que de ses subordonnés. Pendant de nombreux mois, sur la période 2023–2025, ces informations ont été systématiquement transmises aux Forces de défense de l’Ukraine.
Après l’achèvement de toutes les étapes de renseignement et la fermeture des sources d’obtention d’information, les participants à l’opération ont observé une longue pause afin de garantir la sécurité opérationnelle (OPSEC) des opérations connexes.
Aujourd’hui, nous publions une petite partie des données qui, d’une part, confirment la compromission de la documentation interne de «SS Gonets», et, d’autre part, peuvent intéresser le grand public et exercer un impact supplémentaire sur les entités mentionnées dans cette opération.
Vidéo d’archive d’une présentation de «SS Gonets» à Dmitri Medvedev :
«SS Gonets» est actuellement présenté en Russie comme un «analogue de Starlink» et, à terme, les spécialistes russes déclarent prévoir l’installation de terminaux sur des drones (UAV).
Cependant, à ce stade, ses caractéristiques techniques et ses capacités diffèrent considérablement du système américain. «SS Gonets» est une tentative de longue date de la Russie de créer son propre système de communication en orbite basse, mais la qualité de ses services reste nettement inférieure à celle de Starlink.
Le ralentissement de son développement est dû non seulement à la pression des sanctions internationales contre la Russie, mais aussi à des cyberopérations réussies menées depuis des années par des spécialistes informatiques ukrainiens.
Dans ce contexte, rappelons qu’en février 2026, plusieurs médias ukrainiens, notamment le média en ligne du ministère de la Défense ArmyInform, le portail d’actualités RBC-Ukraine et d’autres, ont révélé les détails d’une autre opération spéciale CYBINT unique menée par des cyber-spécialistes ukrainiens. Ceux-ci ont créé un «honeypot» permettant d’identifier en temps réel les emplacements précis des terminaux Starlink introduits illégalement en Russie via des pays tiers et utilisés par l’armée russe. L’opération a également permis d’identifier des personnes tentant de fournir à l’ennemi des services d’inscription de terminaux sur des «listes blanches» afin de contourner les restrictions imposées par SpaceX.
Points d’entrée et compromission des données de «SS Gonets»
Les sources directes de l’une des nombreuses fuites de «SS Gonets» ont été des cadres supérieurs et des spécialistes IT, notamment le directeur général adjoint Alexei Labzine(en russe – Алексей Михайлович Лабзин).
Dans son CV personnel, Labzine indiquait qu’il supervisait directement 3 départements, soit 14 personnes. Il assurait la maintenance de l’infrastructure IT du bureau central (110 ordinateurs, 18 serveurs, équipements réseau), ainsi que le support de 8 filiales distantes. Le nombre total d’employés dépasse 300 personnes (PDF de CV de 2023).
Parmi ses principales fonctions dans «SS Gonets», Labzine mentionnait :
- maintenance technique et restauration du fonctionnement des ordinateurs personnels, serveurs et équipements réseau, ainsi que des systèmes de stockage de données ;
- organisation du développement et mise en œuvre de plans d’introduction de nouvelles technologies informatiques ;
- garantie de la sécurité de l’information…
Dans ce domaine, il était assisté par un autre spécialiste militaire expérimenté — Vladimir Kataev, spécialiste principal du service de protection cryptographique de l’information de «SS Gonets», qui a lui aussi été compromis par les cyber-spécialistes ukrainiens.
Il convient ici de faire un bref détour historique. Jusqu’en 2019, Kataev occupait le poste d’ingénieur principal dans l’unité militaire secrète 46179 (12e Direction principale du ministère de la Défense de la Russie, responsable du soutien nucléaire et de la sécurité technique). Au cours de sa carrière militaire, il a servi dans des unités de cette direction à des postes liés à la protection du secret militaire.
Maintenant que nous vous avons présenté les principaux spécialistes de la sécurité de l’information et de la protection des données du «SS Gonets», nous pouvons passer aux informations relatives à l’infrastructure informatique interne.
Infrastructure IT de «SS Gonets»
Dans les sources ouvertes, «SS Gonets» est décrit comme un système de communication satellitaire en orbite basse. Sa mission est de fournir des communications en dehors des zones de couverture GSM, de transmettre des coordonnées et des données de télémétrie, ainsi que d’assurer l’échange de messages entre abonnés et infrastructures. «SS Gonets» fait partie de l’infrastructure spatiale de la Russie et coopère avec la corporation d’État Roscosmos. L’entreprise participe également au système de relais spatial «Loutch», qui assure la transmission de données depuis les lanceurs et les engins spatiaux.
La partie terrestre du système comprend plusieurs stations régionales situées à Moscou, Zheleznogorsk, Ioujno-Sakhalinsk, Mourmansk, Rostov-sur-le-Don, Norilsk et Anadyr. Un site particulièrement révélateur est celui situé dans la zone de la station «Orbita» à Anadyr, dont les documents indiquent des coordonnées au lieu d’une adresse: 64°43’55.8″N 177°28’39.3″E
Les documents internes obtenus montrent que l’adresse Moscou, rue Baumanskaïa 53/2, officiellement déclarée comme adresse juridique, est également le centre principal de l’infrastructure IT.
Dans les spécifications techniques du système de sécurité, cette adresse est indiquée comme le lieu de déploiement du logiciel central du système de contrôle et gouvernance d’accès. Il s’agit du centre de gestion unique de toute l’infrastructure.
Un élément révélateur de la fuite est un tableau du réseau interne et la documentation du système 1S, où il est explicitement indiqué que celui-ci est en cours d’adaptation pour générer des rapports sur l’exécution des contrats d’État dans le cadre des commandes de défense du Ministère de la Défense de la Fédération de Russie.
Les documents internes montrent également les effets des sanctions internationales, qui ont conduit à l’obsolescence des logiciels utilisés.
Exemples de documents extraits :
- spécifications techniques pour la création du système de sécurité des bureaux de «SS Gonets» (convertie en format PDF pour visualisation);
- concept d’informatisation de «SS Gonets» (PDF);
spécifications pour la modernisation du système financier de «SS Gonets» (PDF).
Moscou, rue Baumanskaya 53/2
- siège de direction ;
- infrastructure serveur centrale ;
- nœud de modernisation de la téléphonie IP et de la visioconférence ;
- serveur central du système de contrôle d’accès.
L’infrastructure comprend :
- environ 60 postes de travail ;
- une salle serveur ;
- routeurs et commutateurs ;
- pare-feu Altell Neo 120 et Cisco ASA 5505 ;
- serveurs DELL, Supermicro et Aquarius.
Les serveurs utilisent des systèmes d’exploitation obsolètes :
- Windows Server 2016
- Windows Server 2012 R2
- Ubuntu
- CentOS
Services clés :
- Active Directory
- Microsoft Exchange
- Hyper-V
- DHCP, DNS
- FTP
Ce site constitue de facto le centre de gestion de l’ensemble du réseau d’entreprise.
Le réseau interne utilisait le sous-réseau : 192.168.20.*
Nœuds identifiés :
- 192.168.20.1 — passerelle MicroTik
- 192.168.20.2 — contrôleur de domaine
- 192.168.20.4 — serveur de messagerie Exchange
- 192.168.20.7 — serveur 1S
- 192.168.20.9 — système de contrôle d’accès Parsec
- 192.168.20.12 — gestion documentaire + SQL
- 192.168.20.16 — Kaspersky Security Center
- 192.168.20.17 — Activity Monitor
- 192.168.20.25 — hébergement web
- 192.168.20.28 — SVN
- 192.168.20.190 — dépôt développeurs
Le réseau inclut également des adresses IP de caméras de vidéosurveillance et de passerelles d’autres bureaux.
Conclusion
Cette opération CYBINT démontre non seulement la compromission d’une entreprise russe spécifique, mais aussi des problèmes systémiques de cybersécurité dans des infrastructures critiques de la Fédération de Russie. Les données obtenues montrent que même les structures intégrées au complexe militaro-industriel et liées au secteur spatial restent vulnérables en raison de logiciels obsolètes, d’une architecture centralisée et du facteur humain.
Les documents publiés ne représentent qu’une fraction d’un ensemble d’informations bien plus vaste. Ils illustrent l’ampleur de l’infiltration sans en révéler toute la profondeur, maintenant ainsi une incertitude pour l’adversaire – une approche caractéristique des stratégies cyber modernes, où l’information est utilisée à la fois comme preuve et comme outil d’influence.
Le résultat clé de cette opération ne réside pas seulement dans les documents obtenus, mais dans la démonstration que les cyber-spécialistes ukrainiens sont capables d’opérer de manière systémique contre des cibles complexes, en combinant capacités techniques, analyse et planification à long terme.
La publication a un caractère informatif: elle constate le fait de la compromission des ressources du système de satellites russe «Gonets» ainsi que de ses employés. En même temps, nous ne divulguons pas l’ensemble des informations obtenues afin de maintenir un «brouillard de guerre» quant à la profondeur et au degré de pénétration dans les systèmes.
En guise de postface, nous pouvons montrer un exemple de document que reçoivent périodiquement les principales entreprises russes du complexe militaro-industriel.
Il y est question des actions de hackers ukrainiens qui exploitent des vulnérabilités logicielles. Il est amusant de constater que ces recommandations sont rédigées par des personnes comme Kataiev, qui ont passé toute leur vie à travailler dans le domaine de la protection de l’information et des secrets d’État.
