Die spanischen Behörden haben einen Mann festgenommen, der verdächtigt wird, mehrere pro-russische Hacktivistengruppen zu unterstützen, die mit Cyberangriffen auf kritische Infrastrukturen in Europa und den Vereinigten Staaten in Verbindung stehen. Die Festnahme folgt auf eine monatelange Untersuchung, die mit Unterstützung des US-amerikanischen Federal Bureau of Investigation (FBI) eingeleitet wurde.
Laut der spanischen Nationalpolizei wird angenommen, dass der Verdächtige ein aktives Mitglied der CyberArmee von Russland Reborn (CARR) und Z-Pentest war. Ermittler behaupten außerdem, dass er an Aktivitäten im Zusammenhang mit dem prorussischen Hacktivistenkollektiv NoName057(16) beteiligt war, das seit Russlands Invasion in der Ukraine die Verantwortung für zahlreiche politisch motivierte Cyberangriffe übernommen hat.
Die Polizei teilte mit, der Verdächtige lebte in der Stadt Palencia und leistete logistische sowie operative Unterstützung für einen ukrainischen Hacker, der mit CARR in Verbindung stand. Ermittler behaupten, er habe bei der geplanten Flucht des Hackers nach Russland über Polen und Belarus geholfen, während er über verschlüsselte Messaging-Plattformen Kontakt zu anderen Gruppenmitgliedern aufrechterhielt.
Behörden behaupten, der Verdächtige habe auch Aktivitäten im Zusammenhang mit Cyberoperationen koordiniert, die später auf Webseiten zu geopolitischen Konflikten beworben wurden. Laut Ermittlern sollten diese Angriffe pro-russische Botschaften verstärken und gleichzeitig Organisationen treffen, die als Unterstützer der Ukraine oder westlicher Regierungen angesehen werden.
Die Ermittlungen begannen im August 2025, nachdem die spanischen Behörden Informationen vom FBI erhalten hatten. Im März 2026 durchsuchten die Beamten das Haus des Verdächtigen und beschlagnahmten Computer, digitale Speichergeräte und Kryptowährungs-Wallets, von denen die Ermittler glauben, dass sie mit Cyberkriminalitätserlösen, einschließlich dem Verkauf gestohlener Daten, in Verbindung stehen. Die Kryptowährungsvermögen wurden inzwischen eingefroren, während die Untersuchung andauert.
Der Verdächtige wurde nicht offiziell angeklagt. Die spanische Polizei erklärte jedoch, dass er wegen mutmaßlicher Mitgliedschaft und Zusammenarbeit mit einer Terrororganisation, Verherrlichung des Terrorismus und computerbedingter Schadensdelikte untersucht werde. Die Behörden haben seine Identität nicht bekannt gegeben oder angegeben, wann ein Gericht entscheidet, ob formelle Anklagen erhoben werden.
CyberArmy of Russia Reborn wurde zuvor mit Angriffen auf Wasserversorgungsunternehmen, Lebensmittelverarbeitungsanlagen und Energieinfrastruktur in den Vereinigten Staaten in Verbindung gebracht. US-Behörden haben andere mutmaßliche Mitglieder der Gruppe beschuldigt, versucht zu haben, die industrielle Kontrolle und SCADA-Systeme, die zum Betrieb kritischer Dienste verwendet werden, zu kompromittieren.
Sicherheitsforscher haben außerdem Verbindungen zwischen CARR und der russischen staatlich unterstützten Bedrohungsgruppe APT44, auch bekannt als Sandworm, gemeldet. Öffentliche Berichte beschreiben diese Verbindungen jedoch als indirekt, und es gibt keine offizielle Zuschreibung, dass CARR unter direkter Kontrolle der russischen Regierung steht.
