Diese Tweets (im Video von @hhumorlos) gehören offenbar zu einem Netzwerk, das spätestens seit Juli 2022 prorussische Propaganda verbreitet.
Es gibt Anzeichen dafür, dass es sich um ausländische Einflussnahme handelt – denn es wurden Fehler gemacht.
Das Netzwerk verpackt seine Botschaften in vermeintliche Nachrichtenartikel:
Die Ukraine und Sanktionen sind böse, Putin ist toll, der Westen steht am Abgrund. Dazwischen Transfeindlichkeit.
Eine kleine Spurensuche: 🧵
Gefälscht wurden u. a. der Spiegel, die FAZ, die SZ, der Tagesspiegel und die Washington Post.
Die seltsamen Links auf Twitter (projetoveraofit[.]online usw.) sollen es vermutlich schwieriger machen, die Verbreitung einzudämmen.
Wer sie anklickt, wird über Server bei einer russischen Firma („Aeza“) weitergeleitet und landet auf den nachgebauten Websites großer Medien.
Die Domains dieser Medien enden dann jeweils auf „.ltd“ statt beispielsweise auf „.de“.
Wo die Server dieser Fakes stehen, kann ich nicht sagen, weil der Standort mithilfe des Dienstes Cloudflare verschleiert wird. Man kann aber sehen, dass dieselbe Cloudflare-Nameserver-Kombination verwendet wird bzw. wurde:
- früher „jocelyn“ & „plato“,
- heute weitgehend „gabriella“ & „yew“.
Das ist Tech-Babble für: Die Hinterleute nutzen für diese Websites womöglich dasselbe, kostenlose Nutzerkonto.
Wer die Homepages der Fakes direkt aufruft, wird zur echten Nachrichtenwebsite weitergeleitet, als wäre alles in Ordnung.
Die Propaganda soll nur sehen, wer die URL kennt, wie sie hier auf Twitter gestreut wurden.
In diesem Fake, das ein „Sanktionsregime“ beklagt, habe ich etwas gefunden, was dafür spricht, dass die Hinterleute keine deutsche Tastatur hatten.
Sie haben einen Fehler 13-mal gemacht – so sieht er aus: β.
Das ist kein scharfes S, sondern der griechische Buchstabe Beta!
Daniel Laufer
Martin Rocket