Aperçu de l'enquête
Ce rapport documente deux enquêtes simultanées de l'OSINT sur des opérations numériques néo-nazies distinctes mais thématiquement adjacentes : un réseau de streaming néo-nazi qui a succédé à GoyimTV, et une organisation militante nationale-socialiste britannique contournant les réglementations financières par la vente de marchandises.
Toutes les cibles ont été identifiées grâce à une énumération passive des API accessibles au public, des points de terminaison WordPress REST exposés, des journaux de transparence des certificats, des métadonnées d'image (EXIF/XMP), des enregistrements d'enregistrement de domaine et de l'historique des transactions blockchain. Aucun accès non autorisé n’était requis.
Contexte : successeur de GoyimTV
Fin octobre et début novembre 2025, GoyimTV (goyimtv.com) et son site de distribution de dépliants (gtvflyers.com) ont été mis hors ligne à la suite d'une enquête de NewsChannel 5 menée par le journaliste Phil Williams qui a révélé leur ciblage des enfants. Dans les trois jours suivant le retrait, quatre domaines ont été enregistrés via same registrar — NiceNIC International Group (Zhuhai, Chine) — établissant une relation de succession directe.
Le réseau exploite 88streams.com (plateforme de streaming), 88merch.com (boutique WooCommerce « White Power Gear »), 88flyers.com (plateforme de référencement « Propaganda Center ») et 88beats.com (plateforme musicale, pas encore active). L'infrastructure de streaming est fournie par StreamForge (streamforge.cloud, Afrique du Sud), un SaaS en marque blanche qui se présente comme « résistant à la censure ». Le contenu est diffusé via BasedFlare CDN, spécialement conçu pour éviter la déplateforme.
Infrastructure
| Domaine | Inscrit | Plate-forme | CDN / Hébergement |
|---|---|---|---|
| 88streams.com | Oct 31, 2025 | ASP.NET Core / SignalR (StreamForge) | BasedFlare (fe-us-3.bfcdn.host) |
| 88merch.com | Nov 3, 2025 | WordPress + WooCommerce | BasedFlare / Fastmail (SPF) |
| 88flyers.com | Nov 1, 2025 | WordPress + HivePress 1.7.22 | BasedFlare / ProtonMail (SPF) |
| 88beats.com | Nov 1, 2025 | Not yet deployed | NiceNIC default DNS |
| streamforge.cloud | — | SaaS provider (South Africa) | Cloudflare |
Les quatre domaines 88* enregistrés du 31 octobre au 3 novembre 2025 via NiceNIC ([email protected]) – même registraire que goyimtv.com.
Les quatre domaines sont résolus via les adresses IP BasedFlare : 104.219.235.22, 172.93.215.129, 38.135.54.232, 104.219.234.42. Le nom de code interne de la plateforme de streaming, révélé via la configuration OpenID Connect, est "StreamRed."
Point de terminaison de santé – Empreinte digitale du système en direct
GET https://88streams.com/health
{
"status": "healthy",
"version": "1.0.3852+e3d0f9e47d838acb647b3d5aa8d5516b44b4f751",
"buildNumber": "3852",
"startedAt": "2026-02-17T17:58:14Z"
}Le point de terminaison d’intégrité expose le hachage complet du commit git et le numéro de build du déploiement de production. Le point de terminaison JWKS expose l'ID de clé d'authentification et révèle que la plate-forme utilise HS256 (symétrique, faible) pour la signature JWT.
Attribution d'identité : FLOOD = shop2admin = Flood-tribe
La découverte la plus significative de cette enquête est l'identification positive de l'opérateur principal de 88Streams/88merch avec "FLOOD", membre de Blood Tribe (Blutstamm), l'organisation néonazie fondée par l'ancien marine américain Christopher Pohlhaus (« Hammer »).
Deux comptes d'utilisateur WordPress 88merch — shop2admin (WP ID 1, administrateur du site) et flood-tribe (WP ID 98, fournisseur) — ont été confirmés comme étant la même personne via les métadonnées d'image Adobe XMP intégrées dans leurs images d'avatar téléchargées.
shop2admin et flood-tribe partagent le même XMP OriginalDocumentID : xmp.did:cd68f6ef-7911-4908-8a84-7c9626a1003a, ce qui prouve qu'elles ont été créées à partir du même fichier source GIMP sur le même ordinateur, à 8 minutes d'intervalle. Tous deux traités avec GIMP 2.10.28 → Adobe Photoshop 26.0 (Windows), confirmant qu'un seul opérateur contrôle les deux comptes.Le compte flood-tribe est la boutique 88merch de FLOOD, un membre de la Tribu des Blood avec 398 abonnés sur FTJ Media qui diffuse des émissions quotidiennes (« Napalm in the Morning », « The Doom Depot ») et est actif sur 18 plateformes. Un abonnement continu à Adobe Creative Cloud est confirmé à partir des progressions de versions de Photoshop : PS 25.5 (mai 2024) → 25.9 (septembre-octobre 2024) → 26.0 (avril-mai 2025) → 26.9 (décembre 2025 – février 2026).
FLOOD — Empreinte numérique multiplateforme
| Plate-forme | Identifiant/URL |
|---|---|
| FTJ Media | ftjmedia.com/channel/FLOOD (398 subscribers) |
| 88streams | 88streams.com/@Flood |
| 88merch | 88merch.com/store/flood-tribe/ |
| Twitter/X | @OMGitsFlood • @derblutmeister4 ("The Blood Master") |
| Gab | @OMGitsFLOOD |
| @omgitsflood | |
| Telegram | @OMGitsFlood • t.me/FLOODnSHEEEIIT (1,469 subs) • t.me/FloodsLibrary (286) |
| Substack | @flood3 — "The Doom Dispatch" (192 subs) |
| Rumble / DLive / Entropy | rumble.com/user/Flood • dlive.tv/OMGitsFlood |
| Sticker Mule | stickermule.com/flood |
| Blood Tribe website | blutstamm.com |
| Merch store | volkmarket.shop (Summerville, SC) |
FLOOD n’a été publiquement identifié par aucun groupe de recherche antifasciste en février 2026.
Emplacement physique : Summerville, Caroline du Sud
2603:6081:5200:12b8:266e:96ff:fe79:0164) dérive une adresse MAC de 24:6E:96:79:01:64, identifiée par le fournisseur comme Dell Inc.. La boutique est hébergée sur un ordinateur Dell connecté directement à un FAI résidentiel – pas de VPN, pas de CDN.Un deuxième indicateur géographique provient de KangChirp (chaîne 88streams Oj8K1aZC6b), qui a mis en ligne des vidéos montrant la distribution de dépliants dans le monde réel sur Old Town entertainment complex in Kissimmee, Florida, correspondant à l'emplacement du titulaire d'enregistrement WHOIS de Floride des quatre domaines 88*.
Tribu des Blood — Profil de l'organisation
Blood Tribe (Blutstamm) est une organisation néonazie américaine fondée en 2020 par Christopher Pohlhaus (« Hammer »), un ancien marine américain (libéré honorablement en 2009). Pohlhaus a été photographié en train de tatouer le fondateur de GDL, Jon Minadeo II, avec des symboles nazis en juillet 2022, établissant un lien direct entre la Tribu des Blood et la Ligue de défense Goyim – qui exploitait goyimtv.com. Le réseau 88Streams est donc le successeur opérationnel direct de l'infrastructure numérique de GDL.
Membres de la tribu des Blood – Little Rock Rally, 6 décembre 2025 (22 sur 23 identifiés)
| Nom | Âge | Emplacement |
|---|---|---|
| Christopher Pohlhaus | 38 | Louisville, KY (founder) |
| Zachary Platter | 36 | Bloomington, IN |
| Jonathan Wallace | 25 | Wayne City, IL |
| Bruce Sharp | 56 | Ocean City, NJ |
| Paul Gallo | 21 | St. Louis, MO (felony hate crime, IL 2024) |
| Matthew Dwyer | 37 | Oldenburg, IN |
| Bryan Hale | 45 | Springfield, OH |
| Robert Virtue | 36 | Shelby, NC |
| Eric Adam | 29 | Sanford, NC |
| Nicholas Fisher | 34 | Wendell, NC |
| Damon McKee | 26 | Plattsmouth, NE |
| John Miller | 28 | Gallipolis, OH |
| Keith Elflein | 51 | Cincinnati, OH |
| Jonathan Schlosser | 35 | Eau Galle, WI |
| Spencer McChesney | 29 | Odenville, AL |
| Daniel Aspin | 41 | Mount Olivet, KY |
| Parker Burek | 26 | Petoskey, MI |
| Tristan Hudak | 37 | Peyton, CO (relocated AR) |
| Matthew Morgan | 40 | Hickory, NC |
| Charles Miller | 31 | Miamisburg, OH |
| John Burt | 42 | New Buffalo, MI |
| Matthew Etan | 54 | Lakeview, AR |
Source : Arkansas Times, décembre 2025. Noms publiés à la suite de leur rassemblement public sur un site de défense des droits civiques à Little Rock.
88Merch — Catalogue de produits exposés
L'API WooCommerce Store sur /wp-json/wc/store/v1/products ne nécessite aucune authentification et renvoie des listes complètes de produits. L'auto-description du site via l'API REST de WordPress est "White Power Gear.". Les correctifs à croix gammée ont été photographiés huit jours avant même l'enregistrement du domaine 88streams.com.
| Produit | Prix | Symbole |
|---|---|---|
| Red Swastika Flag PVC Patch | $8.88 | Swastika + 888 price coding |
| Red Betsy Ross Swastika PVC Patch | $8.88 | American flag with swastika |
| Sonnenrad Beanie | $25.00 | Black Sun / SS Sonnenrad |
| Celtic Cross Beanie | $25.00 | White supremacist symbol |
| Liftwaffe Beanie | $25.00 | Play on Nazi "Luftwaffe" |
| "Bad Goys" Beanie | $25.00 | Antisemitic term |
| "88" Red / White Beanie | $25.00 | HH = Heil Hitler |
| "Caucasians" Beanie | $25.00 | White identity |
| "Germania" Blanket | $30.00 | Nazi-era Greater Germany name |
Portefeuilles de crypto-monnaie
| Cryptomonnaie | Adresse | Activité |
|---|---|---|
| Bitcoin (SegWit) | bc1q9tegx94q7xfldpmkdrdae4f4a32adzrc09cexk | 3 txns, ~22K sats (Jul 2025 – Feb 2026) |
| Ethereum | 0x05dEE030ebd5f1DBC0a984Db6c619627f1908a19 | 7 txns; funded by Ethermine mining wallet (Sep 2021 – Aug 2022) |
| Monero | 44FLpvACZrERghCEbHJrXRAGJu8vsKtSwRFwQcykSH7qEkkY6pkMatebCtKEyNwTkE1pD... | Privacy coin |
| Litecoin | 1qyk5v9keqaa74rj9trtfya4qpmdplp73u7usk45 | — |
FLOOD exploitait Ethereum via Ethermine de septembre 2021 à août 2022 (pré-fusion). Le portefeuille de paiement minier a directement financé l'adresse ETH de FLOOD (0x644e3de9c62de67fcd099ee0e8dc68fb85fc5588 → portefeuille de FLOOD, 11 juin 2023).
Carte de connexion réseau
Échecs OPSEC (16 identifiés)
- L'API REST WordPress expose tous les comptes d'utilisateurs sur 88merch et 88flyers sans authentification
- Gravatar SHA-256 hash reveals admin email —
[email protected]craqué via une inversion de hachage - Le point de terminaison de santé expose le hachage complet du commit git et le numéro de build en production
- L'API de recherche renvoie toutes les chaînes et vidéos sans authentification
- L'API WooCommerce Store expose le catalogue complet de produits sans authentification
- XMLRPC open sur 88merch.com et 88flyers.com (force brute / vecteur SSRF)
- Les analyses plausibles ont
CORS: *– interrogeables par n'importe quelle origine - Les horodatages de l'appareil photo Android dans les noms de fichiers d'images de produits révèlent la chronologie de la photographie
- XMP OriginalDocumentID links shop2admin = flood-tribe — même fichier source sur le même ordinateur
- OIDC JWKS utilise une clé symétrique HS256 – s'ils sont extraits, tous les jetons JWT sont falsifiables
- Médiathèque 88flyers entièrement accessible – PDF de propagande avec métadonnées complètes
- Les journaux de transparence des certificats révèlent la commande et le calendrier exacts d'achat de domaines
- 88beats and 88flyers registered in the same second — achat par lots confirmé
- L'adresse IP résidentielle de volkmarket.shop expose l'emplacement physique (Summerville, Caroline du Sud, ordinateur Dell)
- Les enregistrements SPF révèlent les fournisseurs de messagerie (ProtonMail pour 88streams, Fastmail pour 88merch)
- Le code source de StreamForge fait référence au chemin de migration de ViewShark avec « aucune perte de données, aucun temps d'arrêt »
Aperçu
Aryan Front, opérant en externe sous le nom de « White Vanguard » et de « Anglo-Celtic Brotherhood », est une organisation militante national-socialiste britannique autoproclamée comme « les principaux militants nationaux-socialistes de Grande-Bretagne ». Le groupe exploite aryanfront.com (dons WordPress + WooCommerce + GiveWP) et whitevanguard.com (commerce électronique Wix), gère une chaîne Telegram avec 2 861 abonnés et a mené une manifestation de rue documentée à Warwick, au Royaume-Uni, le 7 février 2026.
Des échecs critiques de l'OPSEC ont révélé l'identité de l'opérateur, deux comptes Stripe en direct, tous les enregistrements des donateurs et un aveu explicite dans les descriptions de produits que le groupe utilise la vente de marchandises pour contourner la réglementation financière britannique interdisant le financement direct d'organisations d'extrême droite.
Infrastructure
| Champ | Valeur |
|---|---|
| Domain (primary) | aryanfront.com |
| Registered | December 8, 2025 |
| Registrar | IONOS SE (Fasthosts) |
| Registrant State | Newport, GB (Wales, UK) |
| IP Address | 109.228.34.124 (shared IONOS/Apache) |
| CMS | WordPress, PHP 8.2.30 |
| Theme | "Act Now" (CMSMasters, activism theme) |
| livemail.co.uk (UK provider) | |
| GMT Offset | 0 (UK timezone) |
| Currency | GBP throughout |
| Domain (secondary) | whitevanguard.com (Wix, Site ID: fd9939ce-b1ac-49fb-9f93-72566017924f) |
Attribution de l'opérateur : "Jour M"
Les deux opérateurs WordPress (ID admin : 1 et ID admin-2 : 4) utilisent Apple iPhones, confirmé par les conventions de dénomination des photos iOS (Photo-DD-MM-YYYY-HH-MM-SS, IMG_XXXX.mp4, UUID.jpg) et les marqueurs Photoshop 3.0 JFIF dans toutes les images téléchargées.
Exposition financière – Deux comptes Live Stripe
Dossiers des donateurs GiveWP – entièrement exposés
Le point de terminaison de l'API REST GiveWP /wp-json/givewp/v3/donations et le point de terminaison par donateur /wp-json/givewp/v3/donors/{id} renvoient tous les enregistrements de dons sans authentification. 18 donors ont été répertoriés avec leurs noms et montants. Deux campagnes de collecte de fonds étaient actives :
| Campagne | But | Soulevé | Commencé |
|---|---|---|---|
| Donation Form | £7,000 | £129.06 (1.84%) | Oct 21, 2025 |
| Group Donations | £1,000,000 | £10.00 | Nov 7, 2025 |
La divulgation des dossiers des donateurs constitue une violation potentielle du RGPD : les données personnelles des individus britanniques sont accessibles sans consentement ni autorisation.
Admission de contournement financier
From the "Mug & Group Support" product description (aryanfront.com):
"En raison des réglementations concernant les dons et les financements liés aux organisations d'extrême droite, nous ne sommes pas en mesure de recevoir des contributions financières directes. Nous avons donc introduit des marchandises comme moyen alternatif de soutenir le groupe."
"50 % seront crédités sur les fonds du groupe."
Il s’agit d’un aveu direct que les ventes de marchandises sont utilisées pour acheminer des fonds vers une organisation d’extrême droite en contournant la réglementation financière britannique. Une clause de non-responsabilité légale sur tous les produits tente de protéger les distributeurs de toute responsabilité en cas d'affichage public, reconnaissant qu'un tel affichage "peut constituer des infractions pénales, y compris (mais sans s'y limiter) l'incitation..."
whitevanguard.com — Wix Merchandise
Une deuxième boutique de commerce électronique sur Wix vend des vêtements de marque au prix « 88 » (28,88 £, 36,88 £). Le haut de gym « Embrace Struggle » comporte un dragon gallois aux côtés de l'expression « Embrace Struggle » – une référence à Mein Kampf (« My Struggle ») – combinée à l'enregistrement WHOIS de Newport, au Pays de Galles, établissant l'opérateur comme gallois.
Connexions réseau
La chaîne Telegram d'Aryan Front (@WhiteVanguard1, 2 861 abonnés) est connectée à :
- @PatrioticAlternativeOfficial — Patriotic Alternative de Mark Collett (extrême droite britannique)
- @JackEltis — « National-socialiste australien, Sydney NSW » (international)
- @Nationalist13 — NS13, sud-ouest de l'Ontario Canada ([email protected])
- @WhiteCanada1 — Chaîne nationaliste blanche canadienne
Activisme dans le monde réel – Manifestation à Warwick, 7 février 2026
Cinq fichiers vidéo (IMG_4014.mp4 à IMG_4018.mp4) ont été téléchargés sur aryanfront.com documentant une manifestation masquée dans le centre-ville de Warwick. Des policiers britanniques portant des vestes haute visibilité sont visibles dans les images. Une capture d'écran prise le soir suivant (8 février 2026, 21:10:15 UTC) montre les documents de protestation. L'église St Mary de Warwick est identifiable à l'arrière-plan, avec une enseigne de magasin « Warwick News & Wine ». Les participants portent une grande bannière « ARYAN FRONT » portant le symbole Kolovrat/Sonnenrad.
Le site comporte deux pages de profil de chapitre régional confirmées : Leicester (dernière modification le 7 février 2026) et Warwick (dernière modification le 9 février 2026).
Raw Data & File Drop
All collected data — API responses, HTML snapshots, image files with metadata, JSON exports, and compiled intelligence reports — is archived on ODINT's data server and available for journalists, researchers, law enforcement, and civil society organizations.
Target 1 — 88Streams Network
Target 2 — Aryan Front / White Vanguard
Méthodologie et éthique OSINT
Toutes les informations contenues dans ce rapport ont été obtenues grâce à des techniques d'intelligence open source passive (OSINT) : énumération d'API accessibles au public, analyse de pages Web mises en cache publiquement, journaux de transparence des certificats, enregistrements d'enregistrement de domaine, explorateurs de blockchain, extraction de métadonnées d'images à partir de fichiers distribués publiquement et références croisées de comptes de médias sociaux et d'archives judiciaires indexés publiquement.
ODINT fonctionne sous son Ethics Policy publié. Les enquêtes sont menées dans l’intérêt public et en faveur de la transparence, de la recherche contre l’extrémisme et de la protection des communautés vulnérables. Les informations identifiant les individus sont publiées conformément aux normes éditoriales d'ODINT et aux exemptions d'intérêt public applicables.
Rapport finalisé : mai 2026. Données d'enquête collectées : février-mars 2026. Deux cibles documentées. Données brutes disponibles sur ODINT Data Server.