[Interview] - Rencontre exclusive avec Gr0lum : L'homme qui à mis à terre YGG Torrent

[Casio]

YGG Leak.

YGG_Leak.jpeg (12.5 Kio) Vu 11573 fois

Le 3 mars 2026, dans la nuit, YGGTorrent s’éteint. Pas sous les coups d’une opération policière, pas suite à une décision de justice, pas à cause de l’ARCOM. Sous les coups d’un seul homme, un hacker qui se fait appeler Gr0lum.

En neuf ans, ni les FAI, ni les ayants droit, ni les blocages successifs n’avaient réussi à couler le plus grand tracker francophone, classé dans le top 35 des sites les plus visités de France, générant selon le dossier publié entre 5 et 8,5 millions d’euros par an, avec un pic à 490 000 euros sur le seul mois de janvier 2026.

Il a suffi d’un port SphinxQL ouvert sans authentification, d’un Directory Listing actif, et d’un mot de passe administrateur stocké en clair dans un fichier lisible par n’importe qui.

Quatre serveurs détruits. Sept bases de données vidées. Une archive de 11 Go rendue publique, soit près de 30 Go décompressée. 6,6 millions de comptes exfiltrés.

Ce que Gr0lum semble avoir trouvé derrière la porte une fois entrée, c’est une autre histoire :

• Un fichier Security.php qui interceptait les numéros de carte bancaire complets : PAN, CVV, date d’expiration, nom du titulaire, avant même leur transmission au processeur de paiement. 54.776 cartes concernées.
• Un script déguisé en gestionnaire d’images qui scannait les wallets crypto (Phantom, MetaMask) de chaque visiteur.
• Un système de blanchiment via 36 fausses boutiques en ligne, PayPal/Stripe, Tornado Cash, puis conversion en Monero.
• Des attaques DDoS commandées sur stresscat.ru contre les trackers concurrents, toutes les deux minutes, en automatique.
• ...

Le tout, pendant que les modérateurs bossaient bénévolement.

Gr0lum a tout documenté en 15 phases dans un dossier technique public, le YGGLeak, qui se lit comme un writeup de pentest, mais dont les révélations ont la portée d’une bombe judiciaire.

Depuis, Destroy/Oracle nie beaucoup de chose dans un communiqué officiel et promet un retour de YGG Torrent via un nouveau nom de domaine qui semble à l’écriture de cette introduction, hors ligne.

Communiqué officiel YGG.

Communique_YGG.png (157.13 Kio) Vu 11573 fois

EDIT : J’ai appris dans la soirée, la diffusion le 12 mars, d’un dossier sur Gr0lum via gr0leak.fun.

– Ce dossier semble semble avoir été créé pour :

• Contester certaines affirmations du leak YGG
• Remettre en cause la crédibilité de gr0lum
• Présenter la version des administrateurs YGG
• Répondre aux accusations techniques et financières.

L’intéressé répond aussi à ces accusations dans cette interview.

EDIT : Destroy affirme de nouveau qu’aucun retour de YGG n’est prévu :

Fermeture définitive d'YGG.

Fermeture_YGG.png (381.13 Kio) Vu 11573 fois

Dans ce contexte chaud bouillant actuellement dans la communauté warez, digne des twists des meilleures série TV, j’ai voulu creuser un peu plus les motivations de ce leak et Gr0lum a accepté de répondre à mes questions.

À noter que cette interview s’inscrit dans une démarche d’information et de compréhension de l’affaire. Elle ne constitue pas une prise de position de planete-warez. Les propos tenus restent ceux de l’interviewé et nous encourageons les lecteurs à garder un esprit critique face aux éléments présentés, et chacun est libre de se faire sa propre opinion.

Le dossier, tu l’as écrit pour qu’il soit compris de tout le monde, pas que des techos. C’était une décision éditoriale consciente, ou ça vient naturellement comme ça ?

C’est totalement conscient. La partie intrusion n’est que la moitié du travail, l’autre moitié consiste à réussir à produire un document assez clair pour que chaque étape soit compréhensible par quelqu’un qui n’est pas spécialiste. C’était la raison principale de ce choix éditorial.

La deuxième raison, c’est la transparence. Je savais que certains éléments seraient contestés, donc documenter précisément la chaîne d’exploitation permettait simplement de rendre les faits vérifiables par n’importe qui.

Le point d’entrée, c’est finalement assez artisanal : un favicon dont tu calcules le hash Shodan pour trouver le serveur de pré-prod, un SphinxQL sur le port 9306 sans la moindre auth, un Directory Listing ouvert. Le mot de passe administrateur stocké en clair dans un fichier accessible. Pour un site qui encaissait un demi-million d’euros par mois, tu t’attendais à ça ?

Oui et non. Ce genre de négligences, tu les retrouves même dans de grandes entreprises : un serveur mal configuré et des GPO trop permissives, et tu peux poutrer toute l’infra. Ce sont des cas de figure que je croise souvent, donc non, je ne suis pas spécialement étonné d’avoir trouvé une machine de pré-prod aussi vulnérable.

Ce qui m’a surpris, en revanche, c’est qu’une fois dedans, tout le reste a suivi aussi facilement. Le tracker, la boutique, le forum : c’était le même niveau de laisser-aller partout. On a vraiment l’impression que la sécurité n’a jamais été une priorité dans l’infra.

Dans le dossier, tu écris : “La partie hack est terminée. Tout ce qui suit est de la post-exploitation.” C’est à quel moment précis que tu as réalisé que tu avais les clés de toute la baraque ?

La partie « hack » est assez courte. Pour moi, ça se résume au fait de détourner un service prévu pour indexer des données en lui faisant lire un mot de passe. Après, c’est de la collecte : le FileZilla est très bavard et le navigateur donne les mots de passe, les pivots de machine en machine se font assez facilement.

La partie boutique a demandé un peu plus de travail. Il fallait exploiter un CloudPanel vulnérable et passer par du FastCGI cross-user pour accéder aux bases WooCommerce, mais même là, ça reste une chaîne d’exploitation assez directe. Le hack en soi a duré très peu de temps.

Tout le vrai travail, c’est ce qui vient après : collecter, recouper, documenter. Le moment où j’ai compris que l’infrastructure entière était compromise, c’est quand les clés privées du tracker sont apparues. Quand elles sont découvertes, ça compromet l’intégrité du tracker tout entier.

Security.php, un contrôleur CodeIgniter de 1,6 Ko, en production, qui récupère le PAN, le CVV, la date d’expiration et le nom du titulaire, les fait transiter en clair par le serveur YGG avant de les relayer vers Singularity via un formulaire cache auto-soumis. Et une redirection silencieuse vers google.com quand le token est invalide, technique classique d’anti-analyse. Tu ne peux pas affirmer avec certitude que ce fichier a servi à du skimming, tu l’écris toi-même. Mais sincèrement, tu en penses quoi ?

Je profite de ta question pour éclaircir certaines choses que j’ai pu voir passer. Aucune CB n’a été trouvée stockée sur aucun des serveurs, aucune donnée bancaire n’a été exfiltrée. Destroy gardait des logs des paiements, point. Donc non, je n’ai aucune preuve que des cartes ont été clonées ou stockées quelque part, et c’est exactement pour ça que j’ai tenu à le mentionner dans le dossier.

Par contre, ce que j’ai observé, ce sont des mécanismes d’interception. Le code source est consultable dans le leak, n’importe qui peut vérifier. Les données bancaires transitent en clair par le serveur YGG, justement via des formulaires cachés et des redirections silencieuses. Ce sont des techniques que tu retrouves dans de vrais cas de skimming. Il n’y a AUCUNE raison légitime de faire transiter les données des cartes bleues de ses clients en clair sur son propre serveur avant de les envoyer au processeur de paiement.

Pour faire simple, pour les moins « techos », imagine que tu veux payer à Carrefour. Tu sors ta CB, tu la tends à la caissière, mais un autre type la saisit au passage, la regarde recto verso et la donne à la caissière à ta place. Tu as bien payé, mais quelqu’un a eu ta carte dans les mains sans aucune raison. C’est exactement ce que fait ce code.

Destroy et son équipe nient tout dans leur communiqué officiel : pas de collecte bancaire, pas de MD5, pas de bases détruites. Mais ils reconnaissent quand même la fuite de la BDD. Comment tu lis ce communiqué ? Tentative de sauvetage de réputation, ou calcul juridique ?

Une grande partie de son équipe semble avoir pris ses distances. J’ai pu échanger avec plusieurs d’entre eux après le leak, peu étaient directement impliqués dans les décisions prises par Destroy. YGGFlop, qui était son capo, a quant à lui totalement disparu et ne donne plus de signe de vie depuis le 03 mars. Je sais qu’il avait de gros problèmes de santé et je lui souhaite tout de même un bon rétablissement où qu’il soit. Je pense surtout qu’il agissait sous l’influence de Destroy.

Destroy tente en effet de sauver sa réputation. Un calcul juridique aurait été de se taire et de disparaître. Il s’accroche, car il n’est pas prêt à s’asseoir sur les revenus que YGG générait. Il parle « d’éléments fabriqués » et de « campagne de désinformation ». Le leak est public, le code source est public, n’importe qui peut aller vérifier. Sur le MD5, il dit « ce n’est plus le cas depuis longtemps », dans le code source, tu vois clairement une cohabitation entre deux algorithmes et des migrations en cours.

Il explique ensuite que c’est l’hébergeur qui a commis une faute de sécurité, ce n’est pas l’hébergeur qui a laissé SphinxQL ouvert sans authentification sur le 9306, ce n’est pas l’hébergeur qui a oublié un mot de passe admin en clair dans un sysprep\_unattend.xml, ce n’est pas l’hébergeur qui a désactivé le firewall Windows, ni qui a laissé un directory listing grand ouvert avec les .env et les clés JWT en clair dedans. Ces éléments relèvent clairement d’actions faites par l’utilisateur, l’hébergeur n’y est pour rien. Sur la collecte bancaire, j’ai été clair : aucune CB stockée n’a été trouvée, mais des mécanismes d’interception sont dans le code, et ça, il n’en parle pas.

Tu as choisi de caviarder les données personnelles, emails, IPs, mots de passe, avant de publier l’archive. Mais Clubic et d’autres ont noté que la frontière est poreuse : les pseudos, les historiques de téléchargement, les profils restent là. Tu as eu un vrai débat intérieur sur jusqu’où aller dans la protection des utilisateurs ? Pourquoi ne pas anonymiser les informations sensibles si je peux dire ?

Je vais être honnête : c’est une erreur de ma part. Sur les quelques jours qu’a duré l’opération, entre le maintien des accès, l’exfiltration des données et la rédaction du dossier, je n’ai pas pensé à caviarder les pseudos. Je n’ai pas réalisé sur le moment qu’un pseudo associé à un historique de téléchargement pouvait permettre de relier une personne réelle à son activité sur YGG. Je m’en suis rendu compte quand la base était déjà publique.

J’en profite pour rebondir sur une autre erreur que j’ai constatée après coup. J’ai écrit « je garde ça bien au chaud » en parlant des données utilisateurs. La formulation était maladroite et a été interprétée comme un sous-entendu, comme si les données pourraient être ressorties un jour. Ce n’est pas du tout ce que je voulais dire. Il fallait comprendre que je garde les données à l’abri de tout tiers, hormis les autorités en ce qui concerne les administrateurs uniquement. Et ça, jusqu’à la fin du travail de recherche que j’effectue pour identifier les doubles comptes des admins et les adresses IP, puis recouper avec un travail d’OSINT.

Les données utilisateurs n’ont pas été rendues publiques. Je suis le seul à en avoir une copie, en dehors de la partie torrent, mais j’y reviendrai plus tard. Les données n’ont pas vocation à être utilisées après la fin de mes recherches : elles seront détruites.

Le circuit financier que tu décris c’est du lourd : 36 fausses boutiques e-commerce pour faire passer les paiements pour des achats de t-shirts, passage par PayGate.to, mixage via Tornado Cash, conversion finale en Monero. C’est le tableau d’une organisation criminelle structurée, ou d’un dev qui a bricolé un système au fil du temps jusqu’à ce que ça devienne monstrueux ?

Qu’il blanchisse l’argent de ses revenus n’est pas surprenant dans ce milieu. Ce qui surprend surtout, c’est le volume d’argent qui transite par ce système. Dans l’historique Chrome, on voit de nombreuses recherches sur des forums connus pour évoquer ce type de montages, comme BlackHatWorld ou lolz.live. Destroy n’a pas « bricolé un truc » dans son coin, il a activement cherché comment mettre en place ce système, couche par couche, et il a très bien réussi puisque son système a tenu.

ygg.gratis, le projet U2P / Utopeer qui a récupéré le catalogue complet et recrée un tracker fonctionnel. C’est toi derrière ça, tu y es lié, ou c’est une initiative complètement indépendante qui a émergé dans la foulée ?

Pendant l’opération, j’étais accompagné par deux personnes qui m’ont aidé à comprendre l’écosystème torrent, c’est un domaine dans lequel je ne suis pas expert. Sans eux, la tentative de sauvetage des torrents n’aurait pas été possible. C’est en nous concertant que nous avons ensuite décidé de faire appel à l’équipe du projet U2P, pour deux raisons : leur vision, qui est littéralement à l’opposé de celle de YGG, et leur maîtrise du fonctionnement d’un réseau P2P. Ils sont à l’origine d’un des projets les plus aboutis en termes de décentralisation du partage de torrents, c’était donc un choix évident. À deux, les membres de U2P ont tout de même réussi à monter un indexeur fonctionnel en 24 h, sans dormir. Tout n’est pas encore parfait, mais le catalogue est là.

Ces étapes ne sont pas mentionnées dans le dossier yggleak, mais cela constitue une part considérable du temps de l’opération. Et paradoxalement, ça a été la partie la plus intéressante. J’étais littéralement téléguidé pour aller chercher dans la base les informations nécessaires à la conservation des torrents, parfois au sacrifice de la discrétion et au risque de perdre les accès. Je pense notamment au moment où il a fallu activer le mode debug du tracker XBT en requêtant la base de données de production pour dumper l’état complet des paires : les IP, les ports, les info\_hash, tout ce qui permet de reconstituer le swarm. Le genre de requête qui est tout sauf discrète sur une base en production (enfin, quand tu monitors un minimum ton serveur).

YGG ne se laisse manifestement pas enterrer facilement. Sur ygg.guru : un compte à rebours, la phrase en russe “il est trop tôt pour nous enterrer”, puis du latin, Non omnis moriar. Puis à un moment, au lieu du compteur, une IP brute qui s’affiche : 185.178.208.155 - DDoS-Guard, hébergeur russe bulletproof, connu pour avoir protégé des sites de phishing, de cybercriminalité organisée, et pire encore. Ça te dit quelque chose sur la nature du projet qui revient, et sur les gens derrière ?

DDoS-Guard, c’est juste une solution de repli. À la base, il était sur Cloudflare, mais ils ont bloqué son domaine après des suspicions de diffusion de malware.

Pour le reste, tout ne s’est pas arrêté avec YGG. Des projets comme torr9, c411 ou La Cale sont déjà actifs, et d’autres initiatives apparaissent. Il y aura probablement une période de transition, mais les stacks \*arr finiront par tourner à plein régime comme avant, et sans limite de temps ni de nombre de téléchargements.

Dans le dossier, les données révèlent que l’admin bossait en parallèle sur au moins cinq projets : RageTorrent, TheRock (réécriture complète), warezfr.com (ils ont même voulu faire la pub chez nous, en siphonnant nos catégories racines de notre forum, le topic a été supprimé direct), CocoTV, CloudTorrent. Ils n’avaient clairement pas l’intention de partir. Est-ce que tu as prévu quelque chose si YGG revient sous une autre forme ?

Je pense qu’on s’est tous fait avoir une fois, pas deux. Le warez, c’est une communauté qui communique, que ce soit sur Reddit, Twitter, Discord ou des forums comme le tien. Ça me paraît difficile pour Destroy de débarquer avec un nouveau projet sans se faire griller le jour même.

La confiance est définitivement rompue. Il a été aux commandes du plus gros tracker francophone pendant des années, il a voulu presser le citron trop fort et s’est brûlé les ailes. Il n’y a pas de retour en arrière ni de rédemption possible. Surtout quand tu vois ce qui est en train de se construire sur les trackers émergents : les grosses teams d’upload commencent à s’y installer. Certaines de ces teams ont d’énormes couilles et n’ont pas hésité à claquer la porte d’YGG au moment du Turbo Mode. Les faire revenir sur un YGG bis me semble illusoire.

YGG revient. Compteur, domaine, hébergeur, bulletproof russe, projets parallèles déjà sur les rails. Toi tu as frappé fort, tu as tout publié, la communauté est au courant. Alors concrètement, c’est quoi la suite pour toi ? Tu tournes la page, tu surveilles, ou tu as encore des cartes dans ta manche ?

Non, je ne tourne pas la page. Je continue le travail de recherche avec les données du leak et je suivrai ce qui se passe à l’ouverture de ygg[.]guru.

Pour la suite, je m’inscris dans la même ligne que beaucoup d’autres : défendre un warez accessible à tous, gratuit et libre. Je ne suis pas opposé à une monétisation transparente et « éthique » : des dons optionnels, de la publicité discrète. Il faut bien que quelqu’un paie les serveurs, l’imminente fermeture de Sharewood le démontre bien. Mais entre ça et commercialiser le torrent avec des méthodes de mafieux en sabotant la concurrence, il y a un gouffre. Je n’en fais pas le combat d’une vie, je resterai attentif si des projets similaires voient le jour.

Suite aux éléments publiés le 12 mars sur gr0leak.fun te concernant (que je découvre avant publication de l’interview), souhaites-tu réagir ou apporter des précisions pour clarifier certains points ?

Je suis effectivement tombé sur son petit article de leak. Nous avons beaucoup ri dans notre prétendue « équipe de cybercriminels ». Je pense que personne n’est dupe et que ton montage d’email ne trompera personne. Tu ne parviendra pas à te faire passer pour la victime, et tu peux monter autant de dossiers que tu veux, mon objectif est clair depuis le début, et je ne changerai pas de ligne. Essayer de me faire passer pour un voyou rançonneur me semble être un très mauvais calcul de ta part.

Pour la suite, la jeune femme que tu accuses d’être Gr0lum est ravie de l’attention que tu lui portes. Je ne t’apprends rien en te disant que c’est une femme, n’est-ce pas ? Tu entendras ma voix pour de vrai d’ici peu, tu jugeras alors de la pertinence de ton enquête.

Concernant la partie ransomware, signalement et takedown, ygg.guru étant définitivement suspendu par le registrar, et pas seulement par Cloudflare, il se peut, les lecteurs en jugeront d’eux-mêmes, que je ne sois pas totalement innocent en effet.

Dossier d'investigation sur l'attaquant de YGG.

gr0leak.jpeg (45.9 Kio) Vu 11569 fois

Dernière question, la plus directe : qui es-tu ? Pas ton identité bien sûr, mais ta légitimité. Hacker éthique, justicier, lanceur d’alerte, utilisateur déçu, concurrent... Comment te définis-tu dans cette affaire, et qu’est-ce que tu veux qu’il reste de tout ça dans six mois ?

Je ne suis ni un justicier, ni un concurrent, ni un lanceur d’alerte au sens classique. Disons que c’est le résultat d’un ras-le-bol qui était assez largement partagé à ce moment-là. Le Turbo Mode a été la goutte de trop pour beaucoup de monde. J’avais les compétences pour aller regarder ce qui se passait en coulisses, je l’ai fait, et ce que j’ai trouvé méritait d’être rendu public. C’est aussi simple que ça.

Un dernier mot pour la communauté de Planete-Warez, et plus largement pour toute la scène warez Française ?

Le warez, ça a toujours été du partage. Gratuit, libre, sans condition. Quand certains essaient de transformer ça en modèle purement commercial, c’est à la communauté de réagir. L’épisode YGG l’a bien montré, et je pense qu’il faut continuer dans ce sens pour ne plus jamais laisser un monopole s’installer et imposer ses règles.

Merci à VIOLENCE pour l’interview.

Merci à gr0lum d’avoir accepté de répondre à mes questions et d’avoir partagé sa version des faits avec la communauté.

Comme souvent dans ce type d’affaires complexes, il appartient désormais à chacun de se faire son propre avis. Cette interview aura au moins permis d’apporter un éclairage supplémentaire sur un événement qui a marqué la scène torrent francophone.

Post original : https://planete-warez.net/topic/8268/in ... gg-torrent

[Casio]

Afin d'avoir un maximum de chances de dépeindre le vrai du faux de chaque partie, voici le disclaimer d'YGG :

Depuis le 12/03/2026, voici le contenu du site https://ygg.guru - https://yggtorrent.org :

YGGtorrent / YGG
Fermeture définitive — 12 mars 2026

Après plusieurs années d'activité, nous mettons fin à l'ensemble des services YGGtorrent / YGG (site, tracker et infrastructure). Le relancement initialement envisagé est abandonné, faute des conditions nécessaires pour poursuivre le projet dans un contexte marqué par des cyberattaques répétées.

Nous présentons nos excuses à la communauté et remercions chaleureusement tous ceux qui ont soutenu YGGtorrent / YGG avec respect et bienveillance.

L'auteur de l'intrusion et de la fuite de données a été identifié. Les éléments sont consultables ici (voir ci-dessous).

Aucun retour n'est prévu. Méfiez-vous des sites ou services se présentant comme des alternatives dans les semaines à venir : la plupart sont malveillants. Restez vigilants.

STOP YGG

stop.png (174.52 Kio) Vu 11129 fois

Noms de domaine à céder.
L'ensemble des noms de domaine liés à YGGtorrent / YGG, qui continuent de générer un volume de trafic significatif, sont disponibles à la vente. Contact : ygg_partner@proton.me

Nous invitons nos anciens utilisateurs à se tourner vers des alternatives légales pour accéder à leurs contenus.

Cordialement,
L'équipe YGGtorrent / YGG

Et voici donc le contenu de la page https://gr0leak.fun :

gr0leak.fun
Dossier d'investigation sur l'attaquant de YGG

1. Introduction
Le 4 mars 2026, la plateforme YGG a fait l'objet d'une attaque revendiquée par un individu opérant sous le pseudonyme Gr0lum. Rançon, exfiltration, ransomware, faux signalements. Ce dossier retrace le cheminement factuel qui a permis d'identifier l'auteur de ces actes.

2. La demande de rançon
Le 2 mars, un email est envoyé depuis gr0lum@proton.me exigeant 300 XMR (plus de 100 000 $) en échange du non-leak des données de l'infrastructure.

Email de rançon envoyé par gr0lum@proton.me

8c0167c75a2a.png (93.95 Kio) Vu 11129 fois

3. Les conséquences
Face au refus de payer, l'attaquant met ses menaces à exécution. La base de données et le code source sont diffusés publiquement, privant des millions d'utilisateurs de l'accès à la plateforme.

Il expose des personnes n'ayant rien demandé, cible des membres du staff en divulguant leurs adresses IP et dérobe 35 000 $ en cryptomonnaie. En parallèle, il propage de nombreuses fausses informations pour décrédibiliser YGG.

4. La relance
Grâce aux sauvegardes hebdomadaires, aucune donnée n'est perdue. Le code source ayant fuité, il était certain que de nombreuses personnes allaient scanner le site à la recherche de failles, notamment à l'aide d'outils IA. Le site est placé en maintenance et entièrement réécrit avec Django, un framework bien plus robuste côté sécurité que CodeIgniter 3 dont la codebase avait plus de dix ans. La plateforme est relancée sous le nom de ygg.guru.

Countdown annonçant la relance de YGG

ca573e4cd4ed.png (175.85 Kio) Vu 11129 fois

5. Les attaques continues
Le tracker redevient opérationnel et récupère ses millions de paires. Malgré cela, les attaques se poursuivent. Les mêmes acteurs, qui avaient pourtant affirmé que les données étaient irrécupérables, multiplient les tentatives de nuisance.

Parmi les plus élaborées : un faux signalement à Cloudflare prétendant que ygg.guru sert de serveur C2 pour un ransomware. Cloudflare bloque effectivement l'accès au site.

Faux rapport d'abus envoyé à Cloudflare

925f1d9a3af3.png (313.21 Kio) Vu 11129 fois

Pour crédibiliser ce signalement, l'attaquant compile un véritable ransomware intégrant un appel vers ygg.guru/api/health, puis le soumet lui-même à de nombreux éditeurs antivirus. Ceux-ci détectent naturellement le ransomware qu'il a lui-même compilé et flaggent le domaine ygg.guru. Analyse : tria.ge/260309-p8g54scw31

Configuration du malware : ransom note, wallet BTC et email noreply@ygg.guru

7b8be53391cf.png (222.87 Kio) Vu 11129 fois

Cette opération a porté ses fruits : à la suite de ces faux signalements, le domaine ygg.guru a été placé en onhold par le registrar, rendant le nouveau site inaccessible. Une attaque indirecte mais efficace, exploitant les procédures d'abus légitimes pour nuire à la plateforme.

6. Profil de l'attaquant
Les éléments collectés permettent de dresser un portrait :

• Comportement provocateur et immature : caricature du logo YGG, insultes récurrentes. Le niveau de provocation et l'absence totale de recul suggèrent un individu jeune, dont le comportement s'apparente davantage à celui d'un adolescent qu'à celui d'un acteur structuré
• Culture japonaise : avatars de style anime sur Telegram et Twitter
• Compilation de malware : capable de produire un ransomware fonctionnel
• Pentesting et exploitation : maîtrise avérée des techniques offensives

Caricature provocatrice du logo YGG

4366141fe361.png (1.85 Mio) Vu 11129 fois

Avatar Telegram

ad0f2feb6544.png (44.5 Kio) Vu 11129 fois

7. Remonter la piste
Ce niveau d'acharnement ne correspond pas au comportement d'un simple utilisateur mécontent. À voir la haine déployée, on pourrait croire qu'ils ont perdu un proche plutôt qu'un accès à un site de torrents. Il s'agit nécessairement d'une personne proche de l'écosystème YGG, frustrée d'avoir perdu son terrain de jeu et bien décidée à le faire payer.

En décembre 2025, les opérateurs de YGG étaient intervenus sur le serveur Discord d'un projet de contournement publié sur GitHub. L'auteur de cet outil, conçu pour automatiser le téléchargement en contournant les sécurités du site, avait également découvert via Shodan l'adresse IP du serveur web. Il s'agit du seul serveur Discord sur lequel les opérateurs de YGG sont intervenus publiquement.

Dépôt GitHub du projet de contournement (515 commits)

787e61a9b734.png (106.71 Kio) Vu 11129 fois

Après correction des failles exploitées, des messages Discord révèlent la frustration croissante de l'auteur : insultes et menaces envers les opérateurs.

Profil Twitter @UwUCode avec avatar d'animation japonaise, lié au compte GitHub UwUDev

208efb4dd4cb.png (135.2 Kio) Vu 11129 fois

Son logiciel étant devenu inexploitable suite au renforcement de la sécurité de YGG, cette personne annonce en février 2026 sur son Discord travailler sur une nouvelle piste sérieuse. L'IP du serveur de pré-production est possiblement récupérée à cette période, suivie des tentatives d'exploitation.

Son CV en ligne confirme le profil : exploit development, API reverse engineering, application hijacking, Discord storage abuse, data collection systems. Des compétences qui correspondent aux méthodes employées contre YGG.

CV du suspect - lila.ws

13d3bb7b35e1.png (165.07 Kio) Vu 11129 fois

À ce stade, le profil est cohérent mais insuffisant pour confondre formellement cette personne avec Gr0lum.

8. L'erreur : qui se cache derrière Gr0lum ?
C'est un excès de confiance qui trahit l'attaquant. Sur son GitHub, un dépôt nommé ciao-ygg, laissé publiquement accessible, contient du code Rust avec l'adresse IP du serveur de préprod en dur (188.253.108.198) et une clé HMAC extraite, publiés avant le leak.

Code Rust du dépôt ciao-ygg : IP du serveur préprod et clé HMAC exfiltrée

f4f9bc22beca.png (129.79 Kio) Vu 11129 fois

Le même dépôt contient également le schéma complet de la base de données des torrents, preuve supplémentaire d'un accès direct à l'infrastructure

8ca3feb9a82e.png (180.49 Kio) Vu 11129 fois

Le dépôt est créé le 1er mars 2026, trois jours avant le leak, puis archivé le 4 mars. Le commit unique est signé UwUDev.

Commit du 1er mars par UwUDev. Dépôt archivé le 4 mars.

40b405ee6025.png (89.98 Kio) Vu 11129 fois

Ce dossier aurait pu s'étendre sur des mois pour établir formellement la responsabilité de l'attaquant. Mais ce dépôt suffit à lui seul. Le code qu'il contient présente une API conçue pour exploiter un bypass de signature, la clé privée HMAC exfiltrée, et comme montré ci-dessus, le schéma complet de la base de données des torrents. Autant d'éléments publiés avant le leak, prouvant un accès direct à l'infrastructure. Tout indique que l'objectif initial était de faire fonctionner son outil de contournement, mais cette démarche a fini par se transformer en une intrusion complète. À lui seul, ce dépôt constitue la preuve irréfutable de sa responsabilité.

9. Un habitué des leaks
Des outils OSINT appliqués à Telegram révèlent que cette personne n'en est pas à son coup d'essai. Plusieurs messages sur des groupes montrent une habitude assumée de leaker des données. Le cas YGG n'est qu'un épisode dans un parcours cybercriminel déjà établi.

Interventions de @uwudev dans des groupes publics sur Telegram

d6d429d0ea77.png (121.81 Kio) Vu 11129 fois

Informations collectées par UwUDev sur des personnes infectées par ses malwares

b2cd0ec9c0dc.png (541.9 Kio) Vu 11129 fois

10. Derrière le masque
Maintenant que l'identité de l'attaquant est établie, un dernier élément mérite d'être soulevé. UwUDev opère sous un multicompte GitHub nommé Femboy Code (femboycode), localisé en France, dont la bio référence directement « UwU », une expression très répandue dans la communauté LGBT+. L'individu se présente sous une identité féminine, bien qu'il s'agisse très probablement d'un homme. Le choix de ces pseudonymes n'est pas anodin.

Compte GitHub secondaire « Femboy Code », multicompte de UwUDev

65e4d409d8a3.png (115.84 Kio) Vu 11129 fois

Le règlement du tracker concurrent, mis en place par ces mêmes individus, affiche clairement la couleur : quiconque ne souscrit pas à leur vision idéologique wokiste n'y est pas le bienvenu. Les « phobies LGBTQI+ » y sont placées au même niveau que le fascisme ou le racisme, et tout « débat » sur le sujet est purement et simplement interdit. Autrement dit, si vous n'êtes pas à l'aise avec l'idée que papa enfile la perruque de maman, vous n'êtes pas les bienvenus sur leur plateforme. Une vision du partage pour le moins sélective, portée par ceux qui prétendent défendre la liberté.

Extrait du règlement du tracker concurrent : un code de conduite à orientation idéologique assumée

39y405ee6025.png (131.87 Kio) Vu 11129 fois

11. Conclusion
Les éléments présentés dans ce dossier ne laissent aucun doute : Gr0lum est @uwudev. Il n'agit pas seul. D'autres individus, étroitement liés au milieu de la cybercriminalité, l'ont assisté dans ses activités.

Les méthodes employées et les éléments soulevés révèlent un profil rompu à la manipulation, à la cyber-rançon et à la diffusion de malwares, qui n'hésitera pas à exploiter les données collectées pour tirer profit de la naïveté des utilisateurs. Les données exfiltrées ont été republiées pour alimenter un site sans aucune paire, pouvant menacer la sécurité de ses utilisateurs et servir de vecteur à la diffusion de malwares à grande échelle. Il ne s'agit pas d'un Robin des Bois du partage, mais d'un cybercriminel ayant agi dans son propre intérêt, au détriment de tous.

Quand on n'aime pas quelqu'un, on ne lui parle pas. Quand on n'aime pas une plateforme, on n'y retourne pas. On ne la détruit pas, on n'expose pas ses utilisateurs, et on ne rançonne pas ses opérateurs. Personne n'a jamais été obligé de payer quoi que ce soit.

Quand une solution est gratuite, c'est que vous êtes le produit.

Nous nous arrêterons à la révélation du pseudo. Le reste est entre les mains de ceux que ça concerne. Ce dossier ne représente qu'une fraction de ce que nous détenons.

Enfin, n'oubliez pas : vos adresses email sont désormais dans la nature. Soyez particulièrement vigilants face aux tentatives de phishing et aux emails frauduleux. Pour apprendre à vous protéger contre les cybermenaces : chaîne Youtube de Christophe Boutry.

gr0leak@proton.me

À ceux qui ont profité d'Ygg pendant des années avant de retourner leur veste : continuez de glousser, ça nous amuse. Retournez sur vos trackers vibe codés, on verra combien de temps ils tiennent.
L'histoire retiendra qui était là quand ça comptait.
À ceux qui nous soutiennent depuis le début : merci. Vous resterez toujours dans nos cœurs.