(cache)gr0leak.fun | Dossier Gr0lum

1. Introduction

Le 4 mars 2026, la plateforme YGG a fait l'objet d'une attaque revendiquée par un individu opérant sous le pseudonyme Gr0lum. Rançon, exfiltration, ransomware, faux signalements. Ce dossier retrace le cheminement factuel qui a permis d'identifier l'auteur de ces actes.

2. La demande de rançon

Le 2 mars, un email est envoyé depuis gr0lum@proton.me exigeant 300 XMR (plus de 100 000 $) en échange du non-leak des données de l'infrastructure.

Email de rançon envoyé par gr0lum@proton.me

3. Les conséquences

Face au refus de payer, l'attaquant met ses menaces à exécution. La base de données et le code source sont diffusés publiquement, privant des millions d'utilisateurs de l'accès à la plateforme.

Il expose des personnes n'ayant rien demandé, cible des membres du staff en divulguant leurs adresses IP et dérobe 35 000 $ en cryptomonnaie. En parallèle, il propage de nombreuses fausses informations pour décrédibiliser YGG.

4. La relance

Grâce aux sauvegardes hebdomadaires, aucune donnée n'est perdue. Le code source ayant fuité, il était certain que de nombreuses personnes allaient scanner le site à la recherche de failles, notamment à l'aide d'outils IA. Le site est placé en maintenance et entièrement réécrit avec Django, un framework bien plus robuste côté sécurité que CodeIgniter 3 dont la codebase avait plus de dix ans. La plateforme est relancée sous le nom de ygg.guru.

Countdown de relance YGG — Countdown annonçant la relance de YGG

5. Les attaques continues

Le tracker redevient opérationnel et récupère ses millions de paires. Malgré cela, les attaques se poursuivent. Les mêmes acteurs, qui avaient pourtant affirmé que les données étaient irrécupérables, multiplient les tentatives de nuisance.

Parmi les plus élaborées : un faux signalement à Cloudflare prétendant que ygg.guru sert de serveur C2 pour un ransomware. Cloudflare bloque effectivement l'accès au site.

Faux signalement Cloudflare contre ygg.guru — Faux rapport d'abus envoyé à Cloudflare

Pour crédibiliser ce signalement, l'attaquant compile un véritable ransomware intégrant un appel vers ygg.guru/api/health, puis le soumet lui-même à de nombreux éditeurs antivirus. Ceux-ci détectent naturellement le ransomware qu'il a lui-même compilé et flaggent le domaine ygg.guru. Analyse : tria.ge/260309-p8g54scw31

Analyse du ransomware compilé par l'attaquant — Configuration du malware : ransom note, wallet BTC et email noreply@ygg.guru

Cette opération a porté ses fruits : à la suite de ces faux signalements, le domaine ygg.guru a été placé en onhold par le registrar, rendant le nouveau site inaccessible. Une attaque indirecte mais efficace, exploitant les procédures d'abus légitimes pour nuire à la plateforme.

6. Profil de l'attaquant

Les éléments collectés permettent de dresser un portrait :

Comportement provocateur et immature : caricature du logo YGG, insultes récurrentes. Le niveau de provocation et l'absence totale de recul suggèrent un individu jeune, dont le comportement s'apparente davantage à celui d'un adolescent qu'à celui d'un acteur structuré
Culture japonaise : avatars de style anime sur Telegram et Twitter
Compilation de malware : capable de produire un ransomware fonctionnel
Pentesting et exploitation : maîtrise avérée des techniques offensives

Caricature provocatrice du logo YGG

Avatar Telegram

7. Remonter la piste

Ce niveau d'acharnement ne correspond pas au comportement d'un simple utilisateur mécontent. À voir la haine déployée, on pourrait croire qu'ils ont perdu un proche plutôt qu'un accès à un site de torrents. Il s'agit nécessairement d'une personne proche de l'écosystème YGG, frustrée d'avoir perdu son terrain de jeu et bien décidée à le faire payer.

En décembre 2025, les opérateurs de YGG étaient intervenus sur le serveur Discord d'un projet de contournement publié sur GitHub. L'auteur de cet outil, conçu pour automatiser le téléchargement en contournant les sécurités du site, avait également découvert via Shodan l'adresse IP du serveur web. Il s'agit du seul serveur Discord sur lequel les opérateurs de YGG sont intervenus publiquement.

Dépôt GitHub du projet de contournement (515 commits)

Après correction des failles exploitées, des messages Discord révèlent la frustration croissante de l'auteur : insultes et menaces envers les opérateurs.

Profil Twitter @UwUCode avec avatar d'animation japonaise, lié au compte GitHub UwUDev

Son logiciel étant devenu inexploitable suite au renforcement de la sécurité de YGG, cette personne annonce en février 2026 sur son Discord travailler sur une nouvelle piste sérieuse. L'IP du serveur de pré-production est possiblement récupérée à cette période, suivie des tentatives d'exploitation.

Son CV en ligne confirme le profil : exploit development, API reverse engineering, application hijacking, Discord storage abuse, data collection systems. Des compétences qui correspondent aux méthodes employées contre YGG.

CV en ligne du suspect — CV du suspect - lila.ws

À ce stade, le profil est cohérent mais insuffisant pour confondre formellement cette personne avec Gr0lum.

8. L'erreur : qui se cache derrière Gr0lum ?

C'est un excès de confiance qui trahit l'attaquant. Sur son GitHub, un dépôt nommé ciao-ygg, laissé publiquement accessible, contient du code Rust avec l'adresse IP du serveur de préprod en dur (188.253.108.198) et une clé HMAC extraite, publiés avant le leak.

Code source du dépôt ciao-ygg — Code Rust du dépôt ciao-ygg : IP du serveur préprod et clé HMAC exfiltrée

Schéma complet de la base de données des torrents — Le même dépôt contient également le schéma complet de la base de données des torrents, preuve supplémentaire d'un accès direct à l'infrastructure

Le dépôt est créé le 1er mars 2026, trois jours avant le leak, puis archivé le 4 mars. Le commit unique est signé UwUDev.

Commit du 1er mars 2026 par UwUDev — Commit du 1er mars par UwUDev. Dépôt archivé le 4 mars.

Ce dossier aurait pu s'étendre sur des mois pour établir formellement la responsabilité de l'attaquant. Mais ce dépôt suffit à lui seul. Le code qu'il contient présente une API conçue pour exploiter un bypass de signature, la clé privée HMAC exfiltrée, et comme montré ci-dessus, le schéma complet de la base de données des torrents. Autant d'éléments publiés avant le leak, prouvant un accès direct à l'infrastructure. Tout indique que l'objectif initial était de faire fonctionner son outil de contournement, mais cette démarche a fini par se transformer en une intrusion complète. À lui seul, ce dépôt constitue la preuve irréfutable de sa responsabilité.

9. Un habitué des leaks

Des outils OSINT appliqués à Telegram révèlent que cette personne n'en est pas à son coup d'essai. Plusieurs messages sur des groupes montrent une habitude assumée de leaker des données. Le cas YGG n'est qu'un épisode dans un parcours cybercriminel déjà établi.

Messages Telegram revendiquant des leaks — Interventions de @uwudev dans des groupes publics sur Telegram

Blank Grabber utilisé par l'attaquant — Informations collectées par UwUDev sur des personnes infectées par ses malwares

10. Derrière le masque

Maintenant que l'identité de l'attaquant est établie, un dernier élément mérite d'être soulevé. UwUDev opère sous un multicompte GitHub nommé Femboy Code (femboycode), localisé en France, dont la bio référence directement « UwU », une expression très répandue dans la communauté LGBT+. L'individu se présente sous une identité féminine, bien qu'il s'agisse très probablement d'un homme. Le choix de ces pseudonymes n'est pas anodin.

Multicompte GitHub femboycode lié à UwUDev — Compte GitHub secondaire « Femboy Code », multicompte de UwUDev

Le règlement du tracker concurrent, mis en place par ces mêmes individus, affiche clairement la couleur : quiconque ne souscrit pas à leur vision idéologique wokiste n'y est pas le bienvenu. Les « phobies LGBTQI+ » y sont placées au même niveau que le fascisme ou le racisme, et tout « débat » sur le sujet est purement et simplement interdit. Autrement dit, si vous n'êtes pas à l'aise avec l'idée que papa enfile la perruque de maman, vous n'êtes pas les bienvenus sur leur plateforme. Une vision du partage pour le moins sélective, portée par ceux qui prétendent défendre la liberté.

Code de conduite du tracker concurrent — Extrait du règlement du tracker concurrent : un code de conduite à orientation idéologique assumée

11. Conclusion

Les éléments présentés dans ce dossier ne laissent aucun doute : Gr0lum est @uwudev. Il n'agit pas seul. D'autres individus, étroitement liés au milieu de la cybercriminalité, l'ont assisté dans ses activités.

Les méthodes employées et les éléments soulevés révèlent un profil rompu à la manipulation, à la cyber-rançon et à la diffusion de malwares, qui n'hésitera pas à exploiter les données collectées pour tirer profit de la naïveté des utilisateurs. Les données exfiltrées ont été republiées pour alimenter un site sans aucune paire, pouvant menacer la sécurité de ses utilisateurs et servir de vecteur à la diffusion de malwares à grande échelle. Il ne s'agit pas d'un Robin des Bois du partage, mais d'un cybercriminel ayant agi dans son propre intérêt, au détriment de tous.

Quand on n'aime pas quelqu'un, on ne lui parle pas. Quand on n'aime pas une plateforme, on n'y retourne pas. On ne la détruit pas, on n'expose pas ses utilisateurs, et on ne rançonne pas ses opérateurs. Personne n'a jamais été obligé de payer quoi que ce soit.

Quand une solution est gratuite, c'est que vous êtes le produit.

Nous nous arrêterons à la révélation du pseudo. Le reste est entre les mains de ceux que ça concerne. Ce dossier ne représente qu'une fraction de ce que nous détenons.

Enfin, n'oubliez pas : vos adresses email sont désormais dans la nature. Soyez particulièrement vigilants face aux tentatives de phishing et aux emails frauduleux. Pour apprendre à vous protéger contre les cybermenaces : chaîne Youtube de Christophe Boutry.

gr0leak@proton.me