Les autorités espagnoles ont arrêté un homme soupçonné de soutenir plusieurs groupes hacktivistes pro-russes liés à des cyberattaques contre des infrastructures critiques en Europe et aux États-Unis. Cette arrestation fait suite à une enquête de plusieurs mois lancée avec l’aide du Federal Bureau of Investigation (FBI) des États-Unis.
Selon la Police nationale espagnole, le suspect serait un membre actif de la CyberArmée de Russie Reborn (CARR) et de Z-Pentest. Les enquêteurs allèguent également qu’il a participé à des activités associées au collectif hacktiviste pro-russe NoName057(16), qui revendique la responsabilité de nombreuses cyberattaques à motivation politique depuis l’invasion de l’Ukraine par la Russie.
La police a indiqué que le suspect vivait dans la ville de Palencia et avait fourni un soutien logistique et opérationnel à un hacker ukrainien lié à CARR. Les enquêteurs affirment qu’il a aidé à faciliter la fuite prévue du hacker vers la Russie via la Pologne et la Biélorussie, tout en maintenant le contact avec d’autres membres du groupe via des plateformes de messagerie chiffrée.
Les autorités affirment que le suspect a également coordonné des activités liées à des opérations cybernétiques ensuite promues sur des sites web axés sur des conflits géopolitiques. Selon les enquêteurs, ces attaques visaient à amplifier les messages pro-russes tout en ciblant des organisations perçues comme soutenant l’Ukraine ou les gouvernements occidentaux.
L’enquête a débuté en août 2025 après que les autorités espagnoles ont reçu des renseignements du FBI. Les agents ont perquisitionné le domicile du suspect en mars 2026, saisissant des ordinateurs, des dispositifs de stockage numérique et des portefeuilles de cryptomonnaies que les enquêteurs estiment liés aux produits de la cybercriminalité, y compris la vente de données volées. Les actifs en cryptomonnaies ont depuis été gelés alors que l’enquête se poursuit.
Le suspect n’a pas été formellement inculpé. Cependant, la police espagnole a indiqué qu’il faisait l’objet d’une enquête pour suspicion d’appartenance et de collaboration avec une organisation terroriste, glorification du terrorisme et infractions liées aux dommages liés à l’informatique. Les autorités n’ont pas divulgué son identité ni indiqué quand un tribunal statuera si des charges formelles seront déposées.
CyberArmy of Russia Reborn a déjà été lié à des attaques visant les services d’eau, les installations de transformation alimentaire et les infrastructures énergétiques aux États-Unis. Les autorités américaines ont accusé d’autres membres présumés du groupe de tenter de compromettre les systèmes de contrôle industriel et SCADA utilisés pour faire fonctionner des services critiques.
Des chercheurs en sécurité ont également signalé des liens entre CARR et le groupe de menace soutenu par l’État russe APT44, également connu sous le nom de Ver des sables. Cependant, les rapports publics décrivent ces liens comme indirects, et aucune attribution officielle n’a établi que CARR opère sous le contrôle direct du gouvernement russe.