ロシア・バウマン大学にある「存在しない学科」。FBIに起訴された元司令官が試験を監督、制裁リストの人物が評価採点する。教室でウイルスを作り、スパイ用具を使う。2,000点の内部文書が初めて暴くロシア「ハッカー工場」の全貌。
ロシアのサイバー戦略:完全分析シリーズ(前後編2部構成/全7章)
前編 ロシア・バウマン大学、通称「GRU大学」——教室はハッカー工場、2,000枚の内部文書が暴いたハッカー養成システムの全貌
ーロシアの学生たちが日本の法整備「空白の18か月」を狙う⁈
2026年5月24日
発行元: 一般財団法人 日本危機管理研究所
*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.
エグゼクティブ・サマリー
読了約1分
本稿は、ロシアのサイバー工作員養成システムの全工程を一次資料により体系化した、日本語での初の包括的分析である。
2026年5月7日、内部告発とみられる流出文書2,000点超をGuardian, Der Spiegel, Le Mondeを含む国際ジャーナリスト連合が一斉公開した。複数のセキュリティ機関が真正性を独立検証したこのバウマン大学内部文書は、「疑われていたが証明できなかった」事実を初めて一次資料で実証した。 GRU(ロシア軍直属の軍事情報機関)が採用・カリキュラム設計・試験・配属の全工程を直接管理するサイバー工作員養成パイプラインの存在である。単年で1,563名の予備役と429名の将校候補者を輩出し、FBIに起訴されたファンシーベア元司令官が教室で試験を監督する——この構造は「一大学の問題」ではなく、ロシアの高等教育システム全体がGRU・FSB(連邦保安局)・SVR(対外情報局)への人材供給機構として機能しているという国家設計の証拠である。
本稿はこの文書を起点に、ロシアが「サイバー戦」と呼ばない理由(情報対抗ドクトリン)、三機関の競合が逆説的に防御を困難にする構造、そしてウクライナ戦場でのAI・LLMグルーミングへの進化を、査読論文・政府文書・セキュリティ研究105件以上の一次資料に基づき体系化した。日本のアクティブ・サイバーディフェンス法が前提とする「攻撃主体の特定」という論理が、この三機関競合構造によって根本から揺らいでいる—近日公開予定の後編が示すのはその日本への直接的含意である。
本稿の価値は三点に集約される。
第一に、バウマン文書公開から二週間以内という速報性と、105件超の一次資料による実証性を両立させた点。国内における先行記述がほぼ皆無な領域で、日本語読者への最初の体系的分析を提供する
第二に、個別事案の報道にとどまらず、養成・ドクトリン・組織・実戦・認知戦という五層構造でロシアのサイバー国家戦略を一貫して論じた点。
第三に、LLMグルーミングによる日本語AI環境への汚染リスクや「空白の18ヶ月」など、日本固有の脆弱性を政策論として具体化した点である。研究者・政策立案者・安全保障実務者の三者が同一テキストから異なる深度で読み取れる構成を意図した。
※本サマリー中の数値・事実の出典は各章の脚注を参照。
シリーズ前後編 総目次
エグゼキュティブサマリー
シリーズ前後編 総目次
本稿全体構造図 ーロシアのサイバー国家戦略・全体構造図 凡例付き
▼ 前編 ロシアは「ハッカー工場」で世界をどう攻撃しているのか
第1章 GRU大学の告白——2,000枚の内部文書が暴いたバウマン大学第4学科
第2章 情報対抗ドクトリン——ロシアはなぜサイバーを「戦争」と呼ばないのか
第3章 三機関の解剖——GRU・FSB・SVRの役割分担・競合・変容
第4章 ウクライナ戦場で進化したサイバー戦術
▼ 後編 この戦力は今、日本に何をするのか(近日公開)
第5章 CRINKサイバー連携——中露北イランの協力・裏切り・恐怖の均衡
第6章 宇宙サイバー:第6の戦場——GPS妨害・衛星ハッキング・核搭載ASAT
終章 日本への脅威——三層リスクの可視化と「空白の18ヶ月」
本稿全体構造図 【ロシアのサイバー国家戦略・全体構造図】
—養成から日本への脅威まで
【凡例】
GRU(ロシア連邦軍参謀本部情報総局) ——ロシア軍直属の軍事情報機関。対外サイバー攻撃・破壊工作・スパイ活動を担う。バウマン大学第4学科を直轄管理する。
FSB(連邦保安局) ——旧KGB国内部門。国内監視・旧ソ連圏工作・民間ハッカー取り込みを担う。
SVR(対外情報局) ——旧KGB対外スパイ部門。西側政府・企業への長期潜伏型スパイを専門とする。
「ハンマー」 ——GRUの通称。破壊的サイバー攻撃など積極的・攻撃的作戦を主導することに由来する。
「メス」 ——SVRの通称。精密で発覚しにくい長期潜伏型スパイ活動の性格に由来する。
APT(Advanced Persistent Threat) ——高度持続的脅威。国家が支援する高度なハッカー集団を指す国際的分類用語。APT28=ファンシーベア(GRU)、APT29=コージーベア(SVR)等。
CRINK ——China・Russia・Iran・North Koreaの頭文字。米主導の国際秩序に対抗する四カ国の緩やかな連合体。正式な軍事同盟ではなく取引関係。
三層リスクモデル ——対日ロシアサイバー脅威の分類。第一層(ハクティビストDDoS)・第二層(APTスパイ)・第三層(インフラ破壊)で構成。
第1章 GRU大学の告白 ー2,000枚の内部文書が暴いたバウマン大学第4学科
シーン1:優秀な学生の「もうひとつの履修科目」
ダニール・ポルシンは目立たない学生だった。 [1]
シベリアのイルクーツクから上京し、ロシア最高峰の工科大学——バウマン大学——に入学した25歳。成績優秀でサッカーチームの一員。標準的なサイバーセキュリティ科目を履修した。暗号学、コンピュータネットワーク・セキュリティ。[1]
しかし彼はそれ以外に、「パスワードの解読方法」「コンピュータウイルスの作成方法」「マルウェアの開発方法」も学んでいた。 [2]
これらの科目は、バウマン大学の公式ウェブサイトには載っていない。[学科のページには番号が第3から第5に飛んでおり、「第4学科」は公式には存在しない。] [2]
シーン2:制裁リストの男の署名
2024年2月16日付の試験評価文書。そこに記された署名は「V・ネティクショ」[5][5a]
GRU第26165部隊、通称「ファンシーベア」の元司令官である。2018年、ミュラー特別検察官によって「2016年米国大統領選挙介入」で起訴され、米国の制裁対象となった。[5a] その人物の名前が、バウマン大学の学生評価記録に残されていた。[5][5a]
公式には、この試験も、この学科も、存在しない。[1][2]
文書が暴いた事実:バウマン大学第4学科は、GRUが直轄管理するサイバー工作員・ハッカー・偽情報専門家の養成機関であった。
1-1 数字が語る「工場」の規模
これは「バウマン大学一校一学科」の数字である。元ロシア国防省高官は「MIREAはさらに深く関与している」と証言している。 [3]
| 数字 | 内容 |
| 2,000点超 | 入手した内部文書数(カリキュラム・契約書・成績記録・卒業生配属リスト) |
| 1,563名 | 2024年に訓練を受けた予備役数(単年・バウマン一校一学科のみ) |
| 429名 | 2024年に訓練を受けた将来の契約将校候補者数 |
| 14分野 | 2024年に扱われた軍事専門分野数 |
| 69名 | 2024年度卒業生数 |
| 15名以上 | GRU各部隊への直接配属が確認された卒業生数 |
| 3年間 | 副主任ストゥパコフ中佐がGRU第45807部隊と締結した契約期間 |
1-2 144時間のハッキング教育
「技術偵察に対する防衛」コース(144時間・2学期)[2]
・VSquareとメドゥーザが詳報。実質的なオフェンシブ・ハッキング教育。 [2]
[1]パスワード攻撃: ブルートフォース・辞書攻撃・クレデンシャルスタッフィングの実践
[2]ソフトウェア脆弱性の悪用: CVEの発見と実際のエクスプロイト開発
[3]コンピュータウイルス・マルウェアの作成: 設計・コーディング・実地テスト
[4]サーバーへの侵入: 認証回避・権限昇格・ラテラルムーブメントの実践
[5]ネットワーク遠隔攻撃: C2インフラの構築と運用
・電子諜報・スパイ用具の実習
副主任ストゥパコフ中佐の授業では[1]煙感知器偽装の隠しカメラ、[2]キーストローク傍受デバイス、[3]モニターケーブル型スクリーンショット取得装置——実物のスパイ用具が使われた。 [4]
・偽情報・プロパガンダカリキュラム
「ソーシャルメディアを使った操作・圧力・隠れたプロパガンダ動画の制作」が課題として課されている。 [2] 心理的操作のメカニズムと「望ましい情報認識を観客に押しつける方法」も教えられる。[2]
内部通信でストゥパコフ自身はプーチンを「老人」、ゲラシモフを「酔っぱらい」と呼んでいた。教師陣の実像はプロパガンダを教えながら体制には懐疑的——これがロシアのサイバー人材養成のリアルな内側である。 [4]
1-3 教壇に立つ「制裁リスト」の人物たち
・キリル・ストゥパコフ中佐:副主任
GRU第45807部隊との契約を2022年に締結。マリウポリ包囲戦中にオンライン諜報活動に関与。 [4]
・ヴィクトル・ネティクショ少将:試験監督
GRU第26165部隊(ファンシーベア)の元司令官。2018年7月、ミュラー特別検察官によって「2016年米国大統領選挙介入」で起訴され、米国から制裁指定を受けた。しかしその後も彼はバウマン大学で学生の試験を監督し続けた。 [5]
また、大学の試験監督は、FBIの起訴状に名前がある元Fancy Bear司令官が務めている。[5][5a]——この一事実はバウマン問題の本質を最も端的に示しているといえよう。
1-4 コンベヤーベルト:学校からGRUへの直通路
「学校で才能を発掘され、バウマンに進学し、そのまま特殊機関に入る……パイプラインの一部だ。」(元ロシア国防省高官) [3]
配属先として確認されたGRU部隊は「Unit 26165」「Unit 74455」「Unit 62174」「Unit 48707」[1][5]
このうち「Unit 62174」と「Unit 48707」については、バウマン文書で初めて存在が確認された。[1][2][5]
| 段階 | 内容 |
| ①発掘 | GRU将校が高校・ハッカー大会(Positive Hack Days等)で候補者を選定 |
| ②入学 | バウマン大学「第4学科・特殊情報サービス(コード:093400)」専攻に配置 |
| ③教育 | GRUが直接カリキュラムを設計。144時間ハッキング教育・電子諜報実習・偽情報制作 |
| ④評価 | ファンシーベア元司令官ネティクショ等GRU将校が試験監督・成績評価を直接実施 |
| ⑤配属 | 卒業生をGRU各部隊に直接配属。Unit 26165(ファンシーベア)・Unit 74455(サンドワーム)等 |
1-4-補足 頭脳流出とバウマン採用強化の背景
2022年に推計60,000〜80,000人のIT専門家がロシアを離れた「頭脳流出」は、GRUにとって長期的な構造的脆弱性となっている。[13] 2022年9月の動員令を契機に流出が急加速したことはデータが示す。[13a][13b]
主な行き先はジョージア・アルメニア・UAE・EUであり、各国の入国・企業登記統計が裏付ける。[13a][13b][13c] 流出の動機については独立系メディアの複数証言が反戦感情・徴兵忌避・経済制裁による将来不安を挙げているが、個人動機の一般化には留保が必要である。IT部門では約10万人が流出し、プーチンはIT専門家の徴兵免除年齢を引き上げることで流出抑制を試みた。[13d] これがGRUがバウマン大学からの直接採用を強化する直接的な動機となっている。
1-5 ERAセンターとアナパの秘密基地
文書は、アナパ(黒海沿岸)の未公表秘密軍事基地での活動も示している。 [5] ここはERAテクノポリス軍事研究センターに隣接しており、GRUのサイバー人材養成とAI軍事研究の接合点の存在を示唆する。[5]
🔍 未解明領域 ERAとバウマン第4学科の協力の深さについては断定的証拠が得られておらず、継続調査が必要。今後の調査次第では、AIを活用したサイバー作戦の組織的連携が明らかになる可能性がある。
1-6 バウマンは「一校」に過ぎない
SBUの2024年3月の証言:GRUとFSBの予備役将校は複数の大学でサイバー攻撃を教えており、優秀な学生は卒業後に諜報機関に採用される」という国家的システムの存在が指摘された。 [6]
バウマン大学問題の本質は単なる一大学の問題ではない。むしろ、ロシアの高等教育システム全体が、体系的にGRU・FSB・SVRへの人材パイプラインとして機能しているという国家構造上の特徴にある。
第2章 情報対抗ドクトリン ーロシアはなぜサイバー戦を「戦争」と呼ばないのか
ロシアの公式文書に「サイバー戦(cyber war)」という語はほぼ登場しない。代わりに繰り返し出てくるのが「情報対抗(informatsionnoe protivoborstvo / IPb)」という概念である。 [7] この「言語的選択」こそロシアの世界観の表明である。この章は、次章で解剖する三機関の組織設計と、第4章で記録する実戦戦術の「なぜ」を解く鍵となる。
「情報対抗とは、政治・経済・軍事・文化・社会・宗教その他の情報領域における国家利益と理念の衝突であり、相手国の情報インフラを標的にすることで優位を目指すものである。」(ロシア国防省定義)[7]
2-1 IPbドクトリンの誕生と系譜
RAND研究所の2022年報告書は、IPbの系譜を帝政ロシアにまで遡り、ソ連KGBの「積極工作(active measures)」を経て現代に連なる連続性を記述している。 [8]
2013年、ゲラシモフ論文は西側メディアに「ゲラシモフ・ドクトリン」と命名されたが、これは重大な誤読を含む。ゲラシモフはハイブリッド戦を「西側が開発した手法」として批判的に論じていたのであり、新たな攻撃教義を提唱していたわけではなかった。 [9] 「誤読の流通」自体がロシアの情報戦略の巧みさを示す。
2-2 公式文書が語る戦略的論理
| 文書名 | 年 | 情報対抗関連の主要規定 |
| 軍事ドクトリン | 2014年 | 情報技術的・情報心理的脅威を最大の外部脅威と明示 |
| 情報安全保障ドクトリン | 2016年12月 | 情報心理・情報技術の二柱を「平時から継続する活動」と規定 |
| 国家安全保障戦略 | 2021年 | AIと量子コンピューティングを活用した情報安全保障手段の強化を規定 |
| 外交政策コンセプト | 2023年 | 反ロシア活動のためのICT利用停止を外交目標に明記 |
2-3 「平時の継続的闘争」という世界観
RAND研究所は「ロシアの情報対抗が平時から継続的に実行される作戦」であることを強調する。 [8] 西側の「戦争と平和は二項対立」という認識とのもっとも根本的な差異がここにある。
Taylor & Francis誌の2025年査読論文はIPbは「ロシアが軍事・経済的弱者であることを補うために設計されたグランド・ストラテジーの中核要素」と位置づけた。 [10]
2-4 中国モデルとの比較
この比較は後編第5章のCRINK分析の布石でもある。二国のサイバー戦略の差異を理解することで、ロシアと中国が「協力しながら競合している」関係の構造が見えてくる。
*中国のハッカー育成システムの詳細については、当財団既発行記事『新幹線も霞が関も狙われている」第6-(6)章(国主導の人材パイプライン構築)を参照。 https://inst-ds.org/cyber-security/905/
*民間ハッカー取り込みについては、当財団既発行記事『ロシアが「犯罪者」を「国家資産」に変える日——LeakBase管理者逮捕が示す、イラン戦争下の新たなサイバー戦略』を参照。 https://inst-ds.org/cyber-security/796/
| 比較軸 | ロシア | 中国 |
| 戦略的論理 | 弱者の非対称補完戦略(IPb) | 強者の覇権確立戦略(軍民融合) |
| 組織構造 | 三機関競合型+民間ハッカー取り込み | 習近平直下・中央集権型 |
| 平時・有事の区別 | 区別なし。平時から継続的に実施 | 平時の情報覇権・潜伏→有事の情報優位という段階論 |
| 人材養成 | 秘密学科(バウマン等)→GRU直接配属 | 軍民融合による大学・民間企業の系統的動員 |
第3章 三機関の解剖 ーGRU・FSB・SVRの役割分担・競合・ウクライナ後の変容
ロシアに統一サイバー司令部は存在しない。GRU・FSB・SVRという三つの機関が、それぞれの独自の指示系統・予算・作戦哲学を持ち、互いに競合しながら独立して動いている。[11][12]
プーチンはこの競合構造を意図的に維持している。単一機関への権力集中を防ぐ「分割統治」の設計である。
3-1 KGB解体から三機関体制へ
| 機関・通称 | 前身 | 役割・特徴 |
| GRU 「ハンマー」 | 独立軍事情報機関(1918年) | 破壊的サイバー攻撃など積極的作戦。スペツナズ・プロキシ部隊の指示権を持つ唯一の機関 |
| FSB 「橋渡し役」 | KGB国内部門(1995年) | 国内監視・旧ソ連圏論諸・民間ハッカー取り込み 2003年にFAPSI吸収 |
| SVR 「メス」 | KGB第一総局(1991年) | 長期潜伏型対外スパイ。APT29(コージーベア)を擁する。帰属証拠が最も少ない |
3-2 GRU「ハンマー」: 主要サイバーユニット
| ユニット | 通称 | 過去にあった代表的な作戦 |
| Unit 26165 | ファンシーベア APT28 | 2016年DNCハック・米大統領選介入・2024年パリ五輪攻撃。バウマン卒業生の主要配属先 |
| Unit 74455 | サンドワーム APT44 | NotPetya(2017年・世界100億ドル超)・ウクライナ停電・ワイパー乱発 |
| Unit 29155 | 欧州破壊工作部隊 | スクリパル毒殺未遂!2018年)・欧州各地サボタージュ 2025年7月に英国が初制裁指定 |
| Unit 54777 | 第72特殊サービスセンター | Africa Initiative運営。アフリカ18,000記事超をAIで配信する心理作戦部隊 |
3-3 FSB「橋渡し役」: 民間ハッカーの取り込み
FSBのサイバー能力は16局(SIGINT)とじ18局(情報セキュリティ)に集約される。主要APT:Gamaredon(ウクライナ政府機関への5,000件超の攻撃)・Turla(30年以上活動、イランインフラ乗っ取り偽旗作戦)・Callisto Group。 [11]
米財動省が2021年に制裁指定したPositive TechnologiesはFSBとGRUへの支援を名目とする民間企業であり、Positive Hack Daysハッカー大会を主催することで国家サイバー作戦への民間人材取り込みの媒介として機能している。 [11]
3-4 SVR「メス」:APT29と高度な潜伏技術
SVRはAPT29(コージーベア)を擁し、長期潜伏型スパイを専門とする。SolarWinds侵害(2021年・9ヶ月間発覚せず・米政府18,000社以上に侵入)が代表例。 [11]
3-5 三機関の競合構造
ACIG Journal(2024年)の査読論文はウクライナ戦争での三機関の「予想通りに低い協調水準」を実証した。[12] この競合が逆説的に西側の対抗を困難にする——統一指揮がないため「司令部」を無効化しても全体能力が維持される。
📌 日本への含意 三機関の競合型構造は、帰属認定(どの機関が攻撃したか)を著しく困難にする。日本のアクティブ・サイバーディフェンス法が想定する「攻撃主体の特定」という前提を崩す効果があり、法制度設計に直接的な影響を持つ問題である。
第4章 ウクライナ戦場で進化したサイバー戦術 ー破壊型からSIGINT型・AI偽情報へ
2022年2月24日の侵攻は「史上最大のサイバー戦争」と予測されたが、[大規模なサイバー優位は現れなかった]。 [14] CSISは理由として①ウクライナの事前準備、②Microsoftをはじめとする民間企業の技術支援、③ロシアの三機関間の協調欠如——の三点を挙げる。[14]「失敗」の中で、ロシアのサイバー作戦は確実に進化していた。
図:破壊型からICS攻撃、そしてSIGINT+AI認知戦への進化プロセス
4-1 侵攻前夜:Viasat・WhisperGate・HermeticWiper
侵攻と同刻、GRUはViasat社のKA-SAT衛星通信ネットワークにAcidRainワイパーを展開した。[15] ウクライナの通信を麻痺させ、ドイツの風力発電機5,800基にも波及。米・EU・英国が2022年5月10日にGRUへの帰属を公式確認した。[15a][15b][15c]
4-2 ワイパー乱用とIndustroyer2の失敗
2022年4月8日、Sandworm(GRU第74455部隊の通称。NotPetyaやウクライナ停電攻撃を実行した最も破壊的なGRUユニット)が少なくとも2週間前から計画したIndustroyer2攻撃は、2016年の電力遮断作戦の次世代版として設計された最も野心的なICS攻撃だった。[16]しかしCERT-UA(ウクライナ国家サイバーセキュリティ対応チーム)とESET(スロバキア拠点の国際サイバーセキュリティ企業)が事前に検知・除去し攻撃は阻止された。[16] これは「西側の官民連携があれば、ロシアの最高水準の攻撃であっても事前に阻止できる」という重要な証明である。
4-3 フェーズ3(2024~2025年):戦術SIGINT型への進化
「前線兵士のスマートフォンが位置情報・行動パターン・暗号化通信の宝庫となっており、GRUとFSBはこれを主要標的に再設定した。サイバー作戦は「戦略兵器」から「戦場の道具」へと変容した。」(RUSI, 2025) [17]
具体的手法:Signal・Telegramへの偽装マルウェア・鹵獲デバイスの悪用・スマートフォンから得た位置データの砲兵・ドローン攻撃への直接使用 (鹵獲:軍事用語で「敵から奪った・捕獲した」という意味。 ここでは、敵(ウクライナ軍)から奪ったスマートフォンや通信機器を悪用するという意味。)
4-4 AI・LLMグルーミング・DeepFakeによる認知戦
Pravdaネットワークは2024年に360万本のAI生成記事を配信した。[18] DFRLabの2025年3月調査は、そのコンテンツが主要LLMの訓練データソース(Common Crawl)およびWikipediaにアーカイブされ、「AIの回答そのものが汚染されている証拠」を確認した。[19] NewsGuardの調査では上位10種のAIチャットボットが偽情報を33%の確率で繰り返した。さらに同割合は2024年の18%から2025年には35%へと約2倍に増加していることが確認されている。[21]
Pravdaネットワークは182のドメインで少なくとも74カ国・12言語を標的としており、日本語版サイト「Pravda日本」も稼働している。Global Influence Operations Report(GIOR)は2025年の日本参院選においてロシアのAI操作が確認されたと報告しており、LLMグルーミングはすでに日本の選挙情報環境に波及している。[22]
Storm-1516はフランス大統領・欧州指導者のDeepFakeを生成し、ウクライナ支援停止を狙う認知攻撃を実施。2025年4月にはAIチャットボットがこの偽情報を32%の確率で再生することが確認された。[20]
なお2025年10月、マンチェスター大学・ベルン大学の研究者がHarvard Kennedy School Misinformation Reviewに査読論文を発表し、LLMグルーミングの効果の一部は意図的な操作ではなく「情報の空白(data voids)」によるものであるとの反論を示した。[23] この点については継続的な検証が必要であるが、Pravdaネットワークの日本語版サイト「Pravda日本」の稼働とLLM汚染を意図した運用は、フランス政府機関VIGINUM・DFRLab・Nippon.comの独立した調査によって確認されている。[19][22][24]
📌 日本への含意 LLMグルーミングはすでに日本語AI環境に波及している。Pravda日本語版サイトの存在と2025年参院選への干渉報告は、日本語LLMへの汚染が「次の段階」ではなく「現在進行形」であることを示唆する。
図:PravdaネットワークからCommon Crawlを経由した偉情報が主要LLMを汚染、日本語環境へ波及する構造
▶ 後編予告 「この戦力は今、日本に何をするのか」
| 後編 章 | 内容 |
| 第5章 CRINK連携の解剖 | APT31(中国政府系ハッキンググループ)によるロシアへの「同盟内スパイ」・Gamaredon×Lazarusの共有・Four Eyes化への道程を解剖 |
| 第6章 宇宙サイバー: 第6の戦場 | バルト海GPS妨害733件・EU委員長機被害・核搭載ASATなど宇宙戦の全貌 |
| 終章 日本への脅威 | 実証済みの対日攻撃記録・三層リスクモデル・「空白の18ヶ月」・7つの政策提言 |
参考文献(前編 第1~4章)
■ 第1章
[1] VSquare等国際連合。“Welcome to the GRU University.” May 7, 2026. https://vsquare.org/welcome-to-the-gru-university-where-moscow-turns-students-into-spies-and-hackers-bauman-stupakov/
[2] Meduza. “Secret GRU-linked department at top Russian university.” May 7, 2026. https://meduza.io/en/feature/2026/05/07/secret-gru-linked-department
[3] FRONTSTORY.PL / Nasha Niva. Cited in Mezha.net. May 8, 2026. https://mezha.net/eng/bukvy/ecc313fb_journalists_expose_secret/
[4] The Insider. “The GRU’s Hogwarts.” May 7, 2026. https://theins.press/en/inv/292314
[5] Bitdefender HotForSecurity. “Inside Department 4.” May 2026. https://www.bitdefender.com/en-us/blog/hotforsecurity/inside-department-4-russias-secret-school-for-hackers
[5a] U.S. Department of Justice. “Grand Jury Indicts 12 Russian Intelligence Officers for Hacking Offenses Related to the 2016 Election.” July 13, 2018. https://www.justice.gov/opa/pr/grand-jury-indicts-12-russian-intelligence-officers-hacking-offenses-related-2016-election
[6] SBU. Vitiuk, I. Interview, Forbes Ukraine. March 5, 2024.
■ 第2章
[7] NATO StratCom COE. “Russia’s Strategy in Cyberspace.” 2021. https://stratcomcoe.org/cuploads/pfiles/Nato-Cyber-Report_15-06-2021.pdf
[8] RAND Corporation. “Rivalry in the Information Sphere.” RR-A198-7, 2022. https://www.rand.org/pubs/research_reports/RRA198-7.html
[9] Jamestown Foundation. Galeotti, M. March 2019. https://jamestown.org/program/a-new-version-of-the-gerasimov-doctrine/
[10] Eggen, K-A. Small Wars & Insurgencies, September 2025. https://www.tandfonline.com/doi/full/10.1080/14702436.2025.2561639
■ 第3章
[11] CEPA. “Russian Cyberwarfare.” 2023. https://cepa.org/comprehensive-reports/russian-cyberwarfare-unpacking-the-kremlins-capabilities/
[12] Falco, G. et al. ACIG Journal, 2024. https://www.acigjournal.com/Disjointed-Cyber-Warfare,192120,0,2.html
[13] University of Washington Jackson School. June 2025. https://jsis.washington.edu/news/cybersecurity-profile-2025-russia/
[13a] Genie, L. “Digital traces of brain drain: developers during the Russian invasion of Ukraine.” PLOS ONE / PMC, 2023. https://pmc.ncbi.nlm.nih.gov/articles/PMC10184088/ → GitHubデータを用いた査読論文。ロシア人開発者の11〜30%が2022年2月〜11月の間に国外に移動したことを実証。ジョージア42%・キプロス60%・ジョージア94%の開発者増加を確認。
[13b] UK Ministry of Defence. Daily Intelligence Update. September 30, 2022. https://www.newsweek.com/russia-brain-drain-labor-shortage-men-flee-mobilization-putin-1747416 → 動員令発表直後、英国国防省が「頭脳流出の加速が経済的に重大な影響をもたらす」と公式評価。
[13c] Bush Presidential Center. “The Great Russian Brain Drain.” October 2024. https://www.bushcenter.org/catalyst/the-great-gray-wave/the-great-russian-brain-drain → 主な流出先の具体的数字を記録。アルメニア・カザフスタン・ジョージアが最多、イスラエル約8万人・米国約4.8万人・ドイツ約3.6万人・セルビア約3万人以上。
[13d] GlobalSecurity.org. “Russian Military Personnel Mobilization 2023.” https://www.globalsecurity.org/military/world/russia/personnel-draft-2023.htm → 2022年にIT部門の約10%にあたる約10万人が流出。プーチンが2023年9月にIT専門家の徴兵免除年齢を27歳から30歳に引き上げたことを記録。
■ 第4章
[14] CSIS. February 2025. https://www.csis.org/analysis/cyber-operations-during-russo-ukrainian-war
[15] MIT Technology Review. May 2022. https://www.technologyreview.com/2022/05/10/1051973/russia-hack-viasat-satellite-ukraine-invasion/
[15a] U.S. Department of State. Blinken, A.J. “Attribution of Russia’s Malicious Cyber Activity Against Ukraine.” May 10, 2022. https://www.state.gov/attribution-of-russias-malicious-cyber-activity-against-ukraine/
[15b] Council of the European Union. “Russian cyber operations against Ukraine: Declaration by the High Representative on behalf of the European Union.” May 10, 2022. https://www.consilium.europa.eu/en/press/press-releases/2022/05/10/russian-cyber-operations-against-ukraine-declaration-by-the-high-representative-on-behalf-of-the-european-union/
[15c] UK National Cyber Security Centre. “Russia behind cyber attack with Europe-wide impact an hour before Ukraine invasion.” May 10, 2022. https://www.ncsc.gov.uk/news/russia-behind-cyber-attack-europe-wide-impact-ukraine-invasion
[16] ESET / CERT-UA. April 2022. https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/
[17] RUSI. 2025. https://www.rusi.org/explore-our-research/publications/commentary/russias-cyber-campaign-shifts-ukraines-frontlines
[18] CEPA. January 2026. https://cepa.org/article/russian-propaganda-infects-ai-chatbots/
[19] Atlantic Council DFRLab. April 2026. https://dfrlab.org/2026/04/08/pravda-in-the-pipeline/
[20] European Parliament EPRS. December 2025.
[21] NewsGuard / Global Influence Operations Report. “Russia Uses LLM Grooming to Inject Disinformation Into AI Chatbots.” October 2025. https://www.global-influence-ops.com/russia-uses-llm-grooming-to-inject-disinformation-into-ai-chatbots/
[22] Nippon.com. “Japan’s Upper House Election Reveals how Russian Influence Operations Infecting AI with Flood of Propaganda.” October 27, 2025. https://www.nippon.com/en/in-depth/d01170/
[23] Alyukov, M. et al. “LLMs grooming or data voids? LLM-powered chatbot references to Kremlin disinformation reflect information gaps, not manipulation.” Harvard Kennedy School Misinformation Review, October 2025. https://misinforeview.hks.harvard.edu/article/llms-grooming-or-data-voids-llm-powered-chatbot-references-to-kremlin-disinformation-reflect-information-gaps-not-manipulation/
[24] VIGINUM. “Portal Kombat — Expansion of the pro-Russian propaganda network: new domain names.” April 2024. https://www.sgdsn.gouv.fr/files/files/Publications/20240428_NP_SGDSN_VIGINUM_PORTAL-KOMBAT-NETWORK-REPORT_NEW%20DOMAIN%20NAME_%28PART3%29_ENG_VF.pdf
用語集(前編 第1~4章)
情報対抗(IPb) informatsionnoe protivoborstvo
ロシアが「サイバー戦」の代わりに使う概念。政治・経済・軍事・文化を横断し、平時から継続的に相手国の情報インフラを標的にする国家戦略。「戦争と平和は別物」という西側の認識と根本的に異なる。
GRU(ロシア連邦軍参謀本部情報総局)
ロシア軍直属の軍事情報機関。対外サイバー攻撃・破壊工作・スパイ活動を担う。バウマン大学第4学科を直轄管理し、APT28・APT44を擁する。「ハンマー」と通称される。
FSB(連邦保安局)
旧KGBの国内部門を引き継く機関。国内監視・旧ソ連圏への工作・民間ハッカーの組織的取り込みを担う。「橋渡し役」と通称される。
SVR(対外情報局)
旧KGBの対外スパイ部門を引き継く機関。西側政府・企業への長期潜伏型スパイを専門とし、APT29(コージーベア)を擁する。「メス」と通称される。
APT(Advanced Persistent Threat) 高度持続的脅威
国家が支援する高度なハッカー集団を指す国際的分類用語。APT28=ファンシーベア(GRU)、APT29=コージーベア(SVR)、APT44=サンドワーム(GRU)等。
APT28 / ファンシーベア
GRU第26165部隊。2016年米大統領選DNCハック・2024年パリ五輪攻撃等を実行。バウマン大学卒業生の主要配属先。
APT44 / サンドワーム
GRU第74455部隊。NotPetya(2017年・世界損害100億ドル超)・ウクライナ停電攻撃・Industroyer2を実行。ロシアで最も破壊的なGRUユニット。
APT29 / コージーベア
SVR傘下。SolarWinds侵害(2021年・9ヶ月間未発覚・米政府18,000社以上に侵入)を実行。長期潜伏型スパイの代表格。
ワイパーマルウェア(Wiper Malware)
データを完全消去することを目的とした破壊型マルウェア。ランサムウェアと異なり復元を意図しない。WhisperGate・HermeticWiper・AcidRainが代表例。
Industroyer2
電力網の産業制御システム(ICS)を標的とする高度マルウェア。GRU・サンドワームが2022年4月に使用を試みたがCERT-UAとESETが事前に検知・阻止した。
戦術SIGINT(Tactical SIGINT)
前線兵士のスマートフォン・通信機器を標的とした信号諜報活動。位置情報・行動パターン・暗号化通信を収集し、砲兵・ドローン攻撃に直接使用する。
LLMグルーミング(LLM Grooming)
大規模言語モデル(AI)の訓練データに偽情報を意図的に混入させ、AIの回答そのものを汚染する手法。Pravdaネットワークが生成したAI記事がCommon Crawlを経由して主要LLMに流入していることが確認されている。
Pravdaネットワーク
ロシア国家に関連するAI生成偽情報の拡散インフラ。2024年に360万本以上の記事を配信し、主要LLMの訓練データを汚染。
反射的制御(Reflexive Control)
相手の意思決定者が自らの判断で、攻撃側が望む行動をとるよう誰導する心理・情報操作の理論。ソ連時代から続くロシア軍事思想の核心概念。
CRINK
China・Russia・Iran・North Koreaの頭文字。米主導の国際秩序に対抗する四カ国の緩やかな連合体。正式な軍事同盟ではなく、技術・情報・マルウェアを取引する「恐怖の均衡」関係。
頭脳流出(Brain Drain)
2022年のウクライナ侵攻以降、ロシアから流出した60,000~80,000人規模のIT専門家。GRUがバウマン大学からの直接採用を強化する背景要因の一つ。
アクティブ・サイバーディフェンス法
日本が2025年5月に成立させたサイバー防衛法制。攻撃者のネットワークに先回りして侵入・無力化する「積極的防衛」を可能にするが、施行は2027年11月の予定。
空白の18ヶ月
アクティブ・サイバーディフェンス法の成立(2025年5月)から施行(2027年11月)までの期間。法的権限なき防衛の空白期間として本稿が使用する概念。
―― 前編 完 ――
舩山 美保 理事・主任研究員
国際政治経済学・心理学を基盤にサイバーセキュリティインテリジェンスを専門とする。ISO/IEC JTC1 SC28副国際幹事を歴任し、国際規格の策定プロセスを主導した経験を持つ。現在はAIリスク・情報戦・危機管理政策を横断的に研究している。
Part 1: Inside Russia’s “GRU University”: 2,000 Leaked Documents Reveal the Hacker Factory Operating Inside Bauman’s Classrooms
A department that officially does not exist, hidden inside Moscow’s Bauman University. A former commander indicted by the FBI proctors the exams. A figure on the sanctions list grades the papers. Students build real viruses in class and train with actual spy equipment. For the first time, 2,000+ internal documents expose the full picture of Russia’s “hacker factory.”
Russia’s Cyber Strategy: Complete Analysis Series (2 Parts / 7 Chapters)
May 24, 2026
Japan Institute for Crisis Management
Author: Miho Funayama
Executive Summary ーUniversities as hacker factories. Battlefields as proving grounds.
This report is the first systematic analysis to empirically demonstrate, through primary sources, the complete pipeline of Russia’s cyber operative training system.
On May 7, 2026, an international journalist consortium published more than 2,000 internal documents from Bauman Moscow State Technical University — providing the first documentary proof, through primary-source internal records, of what had long been suspected but never demonstrably confirmed. The documents reveal that the GRU (Russia’s Main Military Intelligence Directorate) directly controls the entire pipeline: recruitment, curriculum design, examinations, and posting of cyber operatives. In a single year, this system produced 1,563 reservists and 429 future contract officer candidates — all from one department at one university — while a former Fancy Bear commander indicted by the FBI proctored student examinations in the classroom. This structure is not “a single university’s problem.” It is evidence of a deliberate national design in which Russia’s entire higher education system functions as a talent supply mechanism for the GRU, FSB (Federal Security Service), and SVR (Foreign Intelligence Service).
Drawing on this documentation as its foundation, and grounded in more than 105 primary sources — peer-reviewed papers, government documents, and security research — this report systematically analyses why Russia never calls cyber operations “war” (the Information Confrontation doctrine); how the paradoxical rivalry among the three agencies makes defence more, not less, difficult; and how Russian cyber operations have evolved on the Ukrainian battlefield from physical destruction through tactical SIGINT to AI-driven LLM grooming. The logic underlying Japan’s Active Cyber Defence Act — that an attacker can be identified and attributed — is fundamentally undermined by this three-agency competitive structure. Part 2 sets out the direct implications for Japan.
The value of this report lies in three points. First, it combines speed — published within two weeks of the Bauman documents’ release — with empirical rigour grounded in more than 105 primary sources, delivering the first systematic Japanese-language analysis in a field where prior domestic coverage is virtually absent. Second, it analyses Russia’s national cyber strategy not as isolated incidents but as a coherent five-layer structure: talent cultivation, doctrine, organisation, battlefield application, and cognitive warfare. Third, it translates systemic risks into concrete policy terms specific to Japan — including the contamination risk to Japanese-language AI environments through LLM grooming, and the critical exposure window of the “18-Month Gap” before Japan’s Active Cyber Defence Act takes effect. The report is structured so that researchers, policymakers, and security practitioners can each engage with it at the depth their role requires.
Full Series Table of Contents
▼ Part 1 — How Russia’s “Hacker Factory” Is Attacking the World
- Chapter 1: The GRU University Exposed — Bauman University’s Department 4, Revealed by 2,000+ Internal Documents
- Chapter 2: The Information Confrontation Doctrine — Why Russia Never Calls Cyber “War”
- Chapter 3: Anatomy of the Three Agencies — GRU, FSB, and SVR: Roles, Rivalry, and Evolution
- Chapter 4: Cyber Tactics Evolved on the Ukrainian Battlefield
▼ Part 2 — What This Arsenal Is Doing to Japan Right Now (forthcoming)
- Chapter 5: The CRINK Cyber Alliance — China-Russia-Iran-North Korea: Cooperation, Betrayal, and the Balance of Terror
- Chapter 6: Space Cyber: The Sixth Battlefield — GPS Jamming, Satellite Hacking, and Nuclear-Armed ASAT
- Conclusion: The Threat to Japan — Visualizing the Three-Tier Risk and the “18-Month Gap”
Key Terms
GRU (Main Intelligence Directorate) — Russia’s military intelligence agency. Responsible for offensive cyber operations, sabotage, and espionage abroad. Directly controls Bauman University’s Department 4.
FSB (Federal Security Service) — Successor to the KGB’s domestic division. Handles domestic surveillance, operations in the former Soviet sphere, and the systematic recruitment of civilian hackers.
SVR (Foreign Intelligence Service) — Successor to the KGB’s foreign espionage division. Specializes in long-term covert espionage against Western governments and corporations.
“The Hammer” — Nickname for the GRU, derived from its role leading destructive cyber operations and aggressive offensive missions.
“The Scalpel” — Nickname for the SVR, derived from the precise, difficult-to-detect nature of its long-term covert espionage.
APT (Advanced Persistent Threat) — International classification term for state-sponsored sophisticated hacker groups. APT28 = Fancy Bear (GRU), APT29 = Cozy Bear (SVR), APT44 = Sandworm (GRU), etc.
CRINK — Acronym for China, Russia, Iran, and North Korea. A loose coalition of four states opposing the U.S.-led international order. Not a formal military alliance but a transactional relationship.
Three-Tier Risk Model — Classification of Russian cyber threats against Japan. Tier 1 (Hacktivist DDoS), Tier 2 (APT espionage), Tier 3 (infrastructure sabotage).
Chapter 1: The GRU University Exposed
What 2,000 Internal Documents Revealed About Bauman University’s Department 4
Scene 1: A Promising Student’s “Other” Curriculum
Daniil Porshin was an unremarkable student. [1]
He had come to Moscow from Irkutsk in Siberia to enroll at Russia’s most prestigious technical university — Bauman Moscow State Technical University — at age 25. A high achiever and member of the soccer team. During his studies from 2018 to 2024, he completed standard cybersecurity courses: cryptography, computer network security.
But he also learned “how to crack passwords,” “how to create computer viruses,” and “how to develop malware.”
None of these courses appear on Bauman University’s official website. The department listing skips from 3 to 5 — “Department 4” does not officially exist. [2]
On May 7, 2026, more than 2,000 internal documents from that “non-existent department” were published by an international journalist consortium including the Guardian, Der Spiegel, Le Monde, The Insider, Delfi, VSquare, and FRONTSTORY.PL.
Scene 2: The Signature of a Sanctioned Man
A examination assessment document dated February 16, 2024. The signature recorded on it reads “V. Netyksho” [5] [5a]— the former commander of GRU Unit 26165, known as “Fancy Bear.” In 2018, Special Counsel Robert Mueller indicted him for “interference in the 2016 U.S. presidential election,” and he was subsequently placed under U.S. sanctions. [5a]That man’s name had been left in Bauman University’s student evaluation records.
Officially, this examination does not exist. This department does not exist. Neither does any of this.
What the documents revealed: Bauman University’s Department 4 was a GRU-controlled facility producing cyber operatives, hackers, and disinformation specialists — managed directly by Russia’s Main Intelligence Directorate.
1-1. The Numbers That Reveal the Factory’s Scale
| Figure | Content |
| 2,000+ | Internal documents obtained (curricula, contracts, grade records, graduate posting lists) |
| 1,563 | Reservists trained in 2024 (single year, one department at one university) |
| 429 | Future contract officer candidates trained in 2024 |
| 14 | Military specialization fields covered in 2024 |
| 69 | Graduates in the 2024 cohort |
| 15+ | Graduates confirmed directly assigned to GRU units in 2024 |
| 3 years | Contract period signed by Deputy Head Lt. Col. Stupakov with GRU Unit 45807 (from 2022) |
These are the figures for a single department at a single university. A former senior Russian Ministry of Defence official testified: “Bauman is just one of several universities — MIREA is even more deeply involved.” [3]
1-2. 144 Hours of Hacking Education: Full Curriculum Details
“Defence Against Technical Reconnaissance” Course (144 hours, 2 semesters)
The 144-hour course reported in detail by VSquare and Meduza delivers what is in practice offensive hacking education, under the stated rationale of “developing defensive capabilities by teaching attack techniques.” [2]
- Password attacks: Brute force, dictionary attacks, and credential stuffing in practice
- Software vulnerability exploitation: CVE discovery and actual exploit development
- Computer virus and malware creation: Design, coding, and live testing
- Server intrusion: Authentication bypass, privilege escalation, and lateral movement in practice
- Remote network attacks: C2 infrastructure construction and operation
Electronic Surveillance and Spy Tool Practicals
In “Intelligence Techniques” classes taught by Deputy Head Lt. Col. Stupakov, real spy equipment was used. [4]
- Hidden cameras disguised as smoke detectors: Installation, operation, and video interception training using actual devices
- Keystroke interception devices: Hardware keylogger installation and retrieval
- Monitor-cable screenshot capture devices: Physical side-channel attack practicals
Disinformation and Propaganda Curriculum
The propaganda and disinformation module assigns students tasks including “manipulation using social media, applying pressure, and producing covert propaganda videos.” [2] The mechanisms of psychological manipulation and “methods of imposing a desired information perception on an audience” are also taught.
Notably, internal communications reveal that Stupakov himself referred to Putin as “the old man” and Gerasimov as “the drunk.” A teacher who instructs in propaganda while remaining skeptical of the regime — this is the “real inside” of Russia’s cyber talent pipeline. [4]
1-3. “Sanctions List” Figures at the Lectern
Lt. Col. Kirill Stupakov: Deputy Head
Documents show Stupakov signed a three-year contract with GRU Unit 45807 in 2022. He is reported to have engaged in online intelligence activities during the Mariupol siege that same year. [4] Internal evaluations describe him as “goal-oriented, disciplined, and highly professional.”
Major General Viktor Netyksho: Exam Proctor
A document dated February 16, 2024 bears the signature “V. Netyksho.” This Major General Viktor Netyksho is the former commander of GRU Unit 26165 — Fancy Bear, the GRU’s primary offensive cyber unit. [5]
In July 2018, he was indicted by Special Counsel Robert Mueller for “interference in the 2016 U.S. presidential election” and placed under U.S. sanctions. He subsequently continued proctoring student examinations at Bauman and directly participating in grade evaluations. [5]
A former Fancy Bear commander named on an FBI indictment was proctoring university examinations — this single fact captures the essence of the Bauman problem most succinctly.
1-4. The Conveyor Belt: A Direct Pipeline from Classroom to GRU
A former senior Russian Ministry of Defence official told VSquare: [3]
“Sometimes talent is spotted at school, they go to Bauman, and enter a special service … this is part of a pipeline.”
[Figure: Conveyor Belt — The Direct Pipeline from School to GRU] (Insert English version screenshot here) Figure: Five stages from talent spotting through enrollment, training, evaluation, and deployment — GRU’s direct pipeline
| Stage | Content |
| ① Recruit | GRU officers identify outstanding candidates at high schools and hacker competitions (Positive Hack Days, etc.) |
| ② Enrol | Placed in Bauman University’s “Department 4, Special Information Services (Code: 093400)” |
| ③ Train | GRU directly designs curriculum: 144-hr hacking education, electronic surveillance practicals, disinformation production |
| ④ Evaluate | GRU officers including former Fancy Bear commander Netyksho directly proctor exams and assess grades |
| ⑤ Deploy | Graduates directly assigned to GRU units: Fancy Bear (Unit 26165), Sandworm (Unit 74455), etc. |
GRU units confirmed as assignment destinations: Unit 26165 (Fancy Bear), Unit 74455 (Sandworm), Unit 62174 (Crimea), Unit 48707 (Kursk) — the latter two were previously undisclosed units confirmed for the first time in the Bauman documents.
1-5. The ERA Centre and the Secret Base at Anapa
Documents also indicate activities at an undisclosed secret military base in Anapa (Black Sea coast). [5] This base is adjacent to the ERA Technopolis military research centre specialising in AI, suggesting the existence of a nexus between GRU cyber talent development and AI military research.
🔍 Unresolved Area: The actual depth of cooperation between ERA and Bauman’s Department 4 has not yielded conclusive evidence from the current documents; continued investigation is required. Depending on future findings, systematic integration of AI-driven cyber operations may be revealed.
1-6. Bauman Is “Just One” University
SBU (Ukrainian Security Service) testimony in March 2024 indicated the existence of a national system in which “GRU and FSB reserve officers teach cyberattacks at multiple technical and military universities, with outstanding students recruited into intelligence agencies after graduation.” [6]
The core issue of the Bauman problem is not a single university but a national-level issue: Russia’s entire higher education system has been systematically integrated as a talent pipeline for the GRU, FSB, and SVR.
Chapter 2: The Information Confrontation Doctrine
Why Russia Never Calls Cyber “War”
The term “cyber war” almost never appears in official Russian documents. What recurs instead is the concept of “information confrontation” (informatsionnoe protivoborstvo / IPb). [7] This linguistic choice is a declaration of Russia’s world-view — defining how it positions cyber. This chapter is the key to unlocking the “why” behind the organizational design of the three agencies anatomized in the next chapter, and the operational tactics recorded in Chapter 4.
“Information confrontation is the clash of national interests and ideals in the political, economic, military, cultural, social, religious, and other information domains, aimed at achieving superiority by targeting the adversary’s information infrastructure.” (Russian Ministry of Defence definition)
2-1. The Origins and Lineage of the IPb Doctrine
A 2022 RAND Corporation report traces the IPb lineage back to Imperial Russia, documenting continuity through the Soviet KGB’s “active measures” to the present day. [8]
In 2013, a paper by Chief of the General Staff Gerasimov was labelled the “Gerasimov Doctrine” by Western media — but this contains a serious misreading. Gerasimov was discussing hybrid warfare critically, as a method “developed by the West,” not proposing a new offensive doctrine. [9] The very circulation of this “misreading” itself demonstrates the sophistication of Russia’s information strategy.
2-2. The Strategic Logic of Official Documents
| Document | Year | Key IPb Provisions |
| Military Doctrine | 2014 | Explicitly identifies information-technical and information-psychological threats as the greatest external threat |
| Information Security Doctrine | December 2016 | Defines the two pillars — information-psychological and information-technical — as “activities continuing from peacetime” |
| National Security Strategy (Revised) | 2021 | Mandates strengthening information security measures using AI and quantum computing |
| Foreign Policy Concept | 2023 | Explicitly lists stopping ICT use for anti-Russia activities as a diplomatic objective |
2-3. The World-View of “Continuous Peacetime Struggle”
RAND’s comprehensive research emphasised that Russian information confrontation is “an operation conducted continuously from peacetime.” [8] This is the most fundamental difference from the Western perception that “war and peace are binary opposites.”
A 2025 peer-reviewed paper in Taylor & Francis positioned IPb as “a core element of the grand strategy designed to compensate for Russia’s military and economic weakness.” [10]
2-4. Comparison with the Chinese Model
Comparing Russia with China — equally a cyber superpower — throws the distinctiveness of Russia’s IPb doctrine into sharp relief. For a detailed analysis of China’s hacker cultivation system, see the Foundation’s previously published article “Even the Shinkansen and Kasumigaseki Are Being Targeted,” Chapter 6-(6) (State-Led Talent Pipeline Construction): https://inst-ds.org/cyber-security/905/
| Axis | Russia | China |
| Strategic Logic | Asymmetric compensation strategy for a weaker power (IPb) | Hegemony-building strategy for a rising power (civil-military fusion) |
| Organizational Structure | Three-agency competitive model + civilian hacker co-optation | Xi Jinping direct / centralized control |
| Peace vs. War Distinction | No distinction — continuously conducted from peacetime | Stage theory: information dominance in peacetime → information superiority in wartime |
| Talent Development | Secret departments (Bauman, etc.) → direct GRU assignment | Systematic mobilization of universities and private firms through civil-military fusion |
This comparison is also a foundation for the CRINK (China-Russia-Iran-North Korea) analysis in Chapter 5 of Part 2. Understanding the differences between the two nations’ cyber strategies reveals the structure of their relationship — cooperating while competing.
Chapter 3: Anatomy of the Three Agencies
GRU, FSB, and SVR — Roles, Rivalry, and Post-Ukraine Evolution
Russia has no unified cyber command. The GRU (Main Intelligence Directorate), FSB (Federal Security Service), and SVR (Foreign Intelligence Service) each operate independently within separate chains of command, budgets, and operational philosophies — competing with one another while maintaining high-level capabilities. This “distributed competition” is the defining feature of Russia’s cyber architecture.
Putin deliberately maintains this competitive structure. It is a “divide and rule” design that prevents the concentration of power in any single agency — a feature, not a bug. And because there is no unified command, even if the West identifies and neutralizes a “headquarters,” overall capability is sustained — generating a paradoxical resilience.
3-1. From KGB Dissolution to the Three-Agency Structure
| Agency | Predecessor | Role / Characteristics |
| GRU (Main Intelligence Directorate) | Independent military intelligence (est. 1918) | “The Hammer.” Destructive cyber attacks and active offensive operations. The only agency with command authority over Spetsnaz and proxy units. |
| FSB (Federal Security Service) | KGB domestic division (est. 1995) | “The Bridge.” Domestic surveillance, former-Soviet-sphere operations, civilian hacker co-optation. Absorbed FAPSI in 2003. |
| SVR (Foreign Intelligence Service) | KGB First Chief Directorate (est. 1991) | “The Scalpel.” Long-term covert foreign espionage. Commands APT29 (Cozy Bear). Fewest attribution footprints. |
3-2. GRU “The Hammer”: Key Cyber Units
| Unit | Alias | Representative Operations |
| Unit 26165 | Fancy Bear / APT28 | 2016 DNC hack, U.S. election interference; 2024 Paris Olympics attacks. Primary posting destination for Bauman graduates. |
| Unit 74455 | Sandworm / APT44 | NotPetya (2017, USD 10 bn+ global damage); Ukraine power outages; ZeroLot wiper (2024–25). |
| Unit 29155 | European sabotage unit | Skripal poisoning attempt (2018); sabotage across Europe. First UK sanctions designation in July 2025. |
| Unit 54777 | 72nd Special Service Centre | Operates Africa Initiative — psychological warfare unit distributing 18,000+ AI-generated articles across Africa. |
3-3. FSB “The Bridge”: Co-opting Civilian Hackers
FSB’s cyber capabilities are concentrated in the 16th Directorate (SIGINT) and 18th Directorate (Information Security). Key APT groups: Gamaredon (5,000+ attacks against Ukrainian government agencies), Turla (active for 30+ years; hijacked Iranian infrastructure for false-flag operations in 2019), and Callisto Group (phishing against Western NGOs and governments). [11]
Positive Technologies, sanctioned by the U.S. Treasury in 2021 as a company providing support to the FSB and GRU, hosts the Positive Hack Days hacker competition — functioning as a conduit for channelling civilian talent into state cyber operations. [11]
3-4. SVR “The Scalpel”: APT29 and Advanced Persistence
The SVR commands APT29 (Cozy Bear) and specialises in long-term covert espionage. The SolarWinds breach (2021 — undetected for 9 months, infiltrating 18,000+ U.S. government agencies and companies) is its signature operation. The 2025 AUTHENTIC ANTICS campaign confirmed the establishment of persistent access via OAuth token theft targeting Microsoft cloud accounts. [11]
3-5. The Three-Agency Competitive Structure and Brain Drain
A 2024 peer-reviewed paper in ACIG Journal demonstrated “predictably low coordination” among the three agencies in the Ukraine war. [12] This rivalry paradoxically makes Western countermeasures more difficult — because there is no unified command, neutralizing a “headquarters” does not degrade overall capability.
An estimated 60,000–80,000 IT professionals left Russia in 2022, creating long-term structural vulnerability. [13] Data shows that the exodus accelerated sharply following the mobilisation order of September 2022. The primary destinations were Georgia, Armenia, the UAE, and EU member states, as corroborated by entry statistics and corporate registration data in each country. [13a][13b][13c] As for the motivations behind the exodus, multiple testimonies from independent media cite anti-war sentiment, draft avoidance, and anxiety about the future under economic sanctions — though generalising individual motivations requires caution. Approximately 100,000 IT sector workers left Russia, representing around 10% of the sector’s workforce; Putin subsequently raised the draft-exemption age for IT professionals in an attempt to stem further losses. [13d] This is also a key driver behind the GRU’s intensified direct recruitment from Bauman University.
📌 Implications for Japan: The three agencies’ competitive structure makes attribution analysis (determining which agency conducted an attack) extremely difficult. This directly undermines the premise of “identifying the attacker” embedded in Japan’s Active Cyber Defence legislation — a challenge with direct implications for legal framework design.
Chapter 4: Cyber Tactics Evolved on the Ukrainian Battlefield
From Destruction to Tactical SIGINT and AI Disinformation
The invasion of February 24, 2022, was predicted to produce “the largest cyber war in history” — but large-scale cyber dominance never materialised. [14] CSIS attributes this to three factors: ① Ukraine’s advance preparation, ② technical support from private companies led by Microsoft, and ③ the lack of coordination among Russia’s three agencies. Yet within this “failure,” Russian cyber operations were steadily evolving.
4-1. The Eve of Invasion: Viasat, WhisperGate, and HermeticWiper
Simultaneously with the invasion, the GRU deployed the AcidRain wiper against Viasat’s KA-SAT satellite communications network (a commercial satellite broadband system serving Ukrainian military and European civilian communications infrastructure). [15] It paralysed Ukraine’s communications and cascaded to 5,800 wind turbines in Germany. The U.S., EU, and UK officially attributed the attack to the GRU in May 2022. Six weeks before the invasion, the “ransomware-disguised wiper” WhisperGate was deployed; on invasion day itself, multiple wipers including HermeticWiper were deployed simultaneously.
4-2. Wiper Proliferation and the Failure of Industroyer2
The Industroyer2 attack, planned by Sandworm (GRU Unit 74455 — the most destructive GRU cyber unit, responsible for NotPetya and the Ukraine power outage attacks) at least two weeks in advance and launched on April 8, 2022, was designed as the next-generation successor to the 2016 power outage operation — the most ambitious ICS attack to date. [16] However, CERT-UA (Ukraine’s national cybersecurity incident response team) and ESET (an international cybersecurity company headquartered in Slovakia) detected and removed it in advance, blocking the attack. This is an important proof of concept that Western public-private coordination can detect and neutralise even Russia’s highest-capability attacks before they cause damage.
4-3. Phase 3 (2024–2025): Evolution Toward Tactical SIGINT
A 2025 RUSI report documented the most important shift: [17]
“Soldiers’ smartphones have become repositories of location data, behavioural patterns, and encrypted communications, and the GRU and FSB have re-designated them as primary targets. Cyber operations have transformed from ‘strategic weapon’ to ‘battlefield tool’.” (RUSI, 2025)
Observed techniques include: fake Signal and Telegram malware, exploitation of captured devices, and direct use of location data extracted from smartphones to coordinate artillery and drone strikes.
4-4. AI, LLM Grooming, and DeepFake Cognitive Warfare
The Pravda Network distributed 3.6 million AI-generated articles in 2024. [18] A March 2025 DFRLab investigation confirmed that this content had been archived in major LLM training data sources (Common Crawl) and Wikipedia, with evidence that AI responses themselves have been contaminated. [19] A NewsGuard survey found that the top 10 AI chatbots repeated disinformation 33% of the time — and that this figure nearly doubled from 18% in 2024 to 35% in 2025. [21]
The Pravda Network operates across 182 domains targeting at least 74 countries and 12 languages, including a Japanese-language site “Pravda Nihon.” The Global Influence Operations Report (GIOR) documented Russian AI manipulation during Japan’s 2025 Upper House election, indicating that LLM grooming has already reached Japan’s electoral information environment. [22]
Storm-1516 generated DeepFakes of the French president and European leaders, conducting cognitive attacks aimed at stopping Ukraine support. In April 2025, AI chatbots were confirmed to reproduce this disinformation 32% of the time. [20]
It should be noted that in October 2025, researchers from the Universities of Manchester and Bern published a peer-reviewed paper in the Harvard Kennedy School Misinformation Review arguing that some of the observed chatbot behaviour reflects “data voids” — gaps in credible information — rather than deliberate manipulation. [23] This debate warrants continued scrutiny; however, the scale of the Pravda Network and its confirmed reach into Japanese-language environments has been independently verified by multiple investigations.
📌 Implications for Japan: LLM grooming has already reached Japanese-language AI environments. The existence of a Japanese-language Pravda site and the reported interference in Japan’s 2025 Upper House election suggest that contamination of Japanese-language LLMs is not a future risk but a present reality.
Figure: The structure by which disinformation from the Pravda Network contaminates major LLMs via Common Crawl, cascading to Japanese-language AI environments
▶ Part 2 Preview: “What Is This Arsenal Doing to Japan Right Now?”
Part 1 used the Bauman documents as a starting point to analyse “with what ideology (Chapter 2),” “who operates it (Chapter 3),” and “how it has been used in practice (Chapter 4).” In Part 2, the questions turn outward.
| Part 2 Chapter | Questions and Content |
| Chapter 5: Anatomy of CRINK Coordination | Dissecting APT31’s “ally-on-ally espionage” against Russia; the unprecedented malware-sharing between Gamaredon and Lazarus; the path toward a Four Eyes-equivalent structure |
| Chapter 6: Space Cyber — The Sixth Battlefield | The full picture of the “invisible space war”: 733 GPS jamming incidents in the Baltic; damage to the EU Commission President’s aircraft; a nuclear-armed ASAT; Inspector satellites approaching U.S. reconnaissance satellites |
| Conclusion: The Threat to Japan | Documented record of confirmed attacks against Japan; the three-tier risk model; the “18-month gap”; comparison with the China special report; seven policy recommendations |
Part 2 forthcoming. This series is written exclusively on the basis of primary sources (official documents, treaties, government assessments, peer-reviewed papers, and security research), with over 105 references across Parts 1 and 2.
References (Part 1 — Chapters 1–4)
■ Chapter 1 [1] VSquare / Guardian / Der Spiegel / Le Monde / The Insider / Delfi / FRONTSTORY.PL. “Welcome to the GRU University, Where Moscow Turns Students into Spies and Hackers.” May 7, 2026. https://vsquare.org/welcome-to-the-gru-university-where-moscow-turns-students-into-spies-and-hackers-bauman-stupakov/
[2] Meduza. “Secret GRU-linked department at top Russian university trains hackers and saboteurs, investigation finds.” May 7, 2026. https://meduza.io/en/feature/2026/05/07/secret-gru-linked-department
[3] FRONTSTORY.PL / Nasha Niva. Cited in: Mezha.net. May 8, 2026. https://mezha.net/eng/bukvy/ecc313fb_journalists_expose_secret/
[4] The Insider. “The GRU’s Hogwarts: Inside Bauman University’s Department 4.” May 7, 2026. https://theins.press/en/inv/292314
[5] Bitdefender HotForSecurity. “Inside Department 4: Russia’s Secret School for Hackers.” May 2026. https://www.bitdefender.com/en-us/blog/hotforsecurity/inside-department-4-russias-secret-school-for-hackers
[5a] U.S. Department of Justice. “Grand Jury Indicts 12 Russian Intelligence Officers for Hacking Offenses Related to the 2016 Election.” July 13, 2018. https://www.justice.gov/opa/pr/grand-jury-indicts-12-russian-intelligence-officers-hacking-offenses-related-2016-election
[6] SBU. Vitiuk, I. Interview, Forbes Ukraine. March 5, 2024.
■ Chapter 2
[7] NATO StratCom COE. “Russia’s Strategy in Cyberspace.” 2021. https://stratcomcoe.org/cuploads/pfiles/Nato-Cyber-Report_15-06-2021.pdf
[8] RAND Corporation. “Rivalry in the Information Sphere.” RR-A198-7, 2022. https://www.rand.org/pubs/research_reports/RRA198-7.html
[9] Jamestown Foundation. Galeotti, M. “A New Version of the Gerasimov Doctrine?” March 2019. https://jamestown.org/program/a-new-version-of-the-gerasimov-doctrine/
[10] Eggen, K-A. “A Strategy for the Weak.” Small Wars & Insurgencies, September 2025. https://www.tandfonline.com/doi/full/10.1080/14702436.2025.2561639
■ Chapter 3
[11] CEPA. “Russian Cyberwarfare: Unpacking the Kremlin’s Capabilities.” 2023. https://cepa.org/comprehensive-reports/russian-cyberwarfare-unpacking-the-kremlins-capabilities/
[12] Falco, G. et al. “Disjointed Cyber Warfare.” ACIG Journal, 2024. https://www.acigjournal.com/Disjointed-Cyber-Warfare,192120,0,2.html
[13] University of Washington Jackson School. “Cybersecurity Profile 2025: Russia.” June 2025. https://jsis.washington.edu/news/cybersecurity-profile-2025-russia/
[13a] Genie, L. “Digital traces of brain drain: developers during the Russian invasion of Ukraine.” PLOS ONE / PMC, 2023. https://pmc.ncbi.nlm.nih.gov/articles/PMC10184088/
[13b] UK Ministry of Defence. Daily Intelligence Update. September 30, 2022. Cited in: Newsweek, “Russia Facing ‘Brain Drain’ and Labor Shortage as Men Flee.” https://www.newsweek.com/russia-brain-drain-labor-shortage-men-flee-mobilization-putin-1747416
[13c] Bush Presidential Center. “The Great Russian Brain Drain.” October 2024. https://www.bushcenter.org/catalyst/the-great-gray-wave/the-great-russian-brain-drain
[13d] GlobalSecurity.org. “Russian Military Personnel Mobilization 2023.” https://www.globalsecurity.org/military/world/russia/personnel-draft-2023.htm
■ Chapter 4 [14] CSIS. “Cyber Operations during the Russo-Ukrainian War.” February 2025. https://www.csis.org/analysis/cyber-operations-during-russo-ukrainian-war
[15] MIT Technology Review. “Russia hacked an American satellite company one hour before the Ukraine invasion.” May 2022. https://www.technologyreview.com/2022/05/10/1051973/russia-hack-viasat-satellite-ukraine-invasion/
[16] ESET / CERT-UA. “Industroyer2: Industroyer reloaded.” April 2022. https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/
[17] RUSI. “Russia’s Cyber Campaign Shifts to Ukraine’s Frontlines.” 2025. https://www.rusi.org/explore-our-research/publications/commentary/russias-cyber-campaign-shifts-ukraines-frontlines
[18] CEPA. “Russian Propaganda Infects AI Chatbots.” January 2026. https://cepa.org/article/russian-propaganda-infects-ai-chatbots/
[19] Atlantic Council DFRLab. “Pravda in the pipeline.” April 2026. https://dfrlab.org/2026/04/08/pravda-in-the-pipeline/
[20] European Parliament EPRS. “Information manipulation in the age of generative AI.” December 2025.
[21] NewsGuard / Global Influence Operations Report. “Russia Uses LLM Grooming to Inject Disinformation Into AI Chatbots.” October 2025. https://www.global-influence-ops.com/russia-uses-llm-grooming-to-inject-disinformation-into-ai-chatbots/
[22] Nippon.com. “Japan’s Upper House Election Reveals how Russian Influence Operations Infecting AI with Flood of Propaganda.” October 27, 2025. https://www.nippon.com/en/in-depth/d01170/
[23] Alyukov, M. et al. “LLMs grooming or data voids? LLM-powered chatbot references to Kremlin disinformation reflect information gaps, not manipulation.” Harvard Kennedy School Misinformation Review, October 2025. https://misinforeview.hks.harvard.edu/article/llms-grooming-or-data-voids-llm-powered-chatbot-references-to-kremlin-disinformation-reflect-information-gaps-not-manipulation/
Glossary (Part 1 — Chapters 1–4)
Information Confrontation (IPb) informatsionnoe protivoborstvo The concept Russia uses instead of “cyber war.” A national strategy that operates continuously from peacetime across political, economic, military, and cultural dimensions, targeting the adversary’s information infrastructure to achieve superiority. It differs fundamentally from the Western perception that war and peace are binary opposites.
GRU (Main Intelligence Directorate) Russia’s military intelligence agency. Responsible for offensive cyber operations, sabotage, and espionage. Directly controls Bauman University’s Department 4 and commands APT28 and APT44. Nicknamed “The Hammer.”
FSB (Federal Security Service) Successor to the KGB’s domestic division. Handles domestic surveillance, operations in the former Soviet sphere, and the systematic co-optation of civilian hackers. Nicknamed “The Bridge.”
SVR (Foreign Intelligence Service) Successor to the KGB’s foreign espionage division. Specialises in long-term covert espionage against Western governments and corporations, commanding APT29 (Cozy Bear). Nicknamed “The Scalpel.”
APT (Advanced Persistent Threat) International classification term for state-sponsored sophisticated hacker groups. APT28 = Fancy Bear (GRU), APT29 = Cozy Bear (SVR), APT44 = Sandworm (GRU), etc.
APT28 / Fancy Bear GRU Unit 26165. Executed the 2016 DNC hack, U.S. election interference, and the 2024 Paris Olympics attacks. The primary posting destination for Bauman University graduates.
APT44 / Sandworm GRU Unit 74455. Executed NotPetya (2017, USD 10 bn+ global damage), the Ukraine power outage attacks, and Industroyer2. The most destructive GRU unit.
APT29 / Cozy Bear SVR-controlled. Executed the SolarWinds breach (2021, undetected for 9 months, infiltrating 18,000+ entities). The archetype of long-term covert espionage.
Wiper Malware Destructive malware designed to permanently erase data, with no intent to restore it — unlike ransomware. Representative examples: WhisperGate, HermeticWiper, and AcidRain.
Industroyer2 Advanced malware targeting industrial control systems (ICS) in power grids. Sandworm attempted to use it against Ukraine’s power grid in April 2022, but CERT-UA and ESET detected and neutralised it in advance.
Tactical SIGINT Signals intelligence operations targeting front-line soldiers’ smartphones and communications devices. Collects location data, behavioural patterns, and encrypted communications for direct use in directing artillery and drone strikes.
LLM Grooming A technique that deliberately injects disinformation into the training data of large language models (AI), contaminating the AI’s responses. The Pravda Network’s AI-generated articles have been confirmed to have entered major LLMs via Common Crawl.
Pravda Network A Russia state-linked disinformation distribution infrastructure using AI-generated content. Distributed over 3.6 million articles in 2024, contaminating major LLM training datasets.
Reflexive Control A theory of psychological and information manipulation designed to induce an adversary’s decision-maker to voluntarily take actions desired by the attacker. A core concept in Russian military thought dating back to the Soviet era.
CRINK Acronym for China, Russia, Iran, and North Korea. A loose coalition of four states opposing the U.S.-led international order. Not a formal military alliance but a transactional relationship described as a “balance of terror.”
Brain Drain The estimated 60,000–80,000 IT professionals who left Russia following the 2022 invasion of Ukraine — a long-term structural vulnerability and a key driver of the GRU’s intensified direct recruitment from Bauman University.
Active Cyber Defence Act Japanese cyber defence legislation enacted in May 2025. Enables “proactive defence” by intruding into and neutralising attackers’ networks in advance — but enforcement is scheduled for November 2027.
The “18-Month Gap” The period between the enactment of Japan’s Active Cyber Defence Act (May 2025) and its enforcement (November 2027). During this window, Japan has no legal authority for active cyber defence — a vulnerability described in this report as a critical exposure.
© 2026 Japan Institute for Crisis Management | All rights reserved. Unauthorized reproduction or secondary use of this material is prohibited.
Miho Funayama — Director and Senior Research Fellow
Specializes in cybersecurity intelligence grounded in international political economy and psychology. Former Vice-International Secretary of ISO/IEC JTC1 SC28. Currently engaged in cross-disciplinary research on AI risk, information warfare, and crisis management policy.
