Le autorità spagnole hanno arrestato un uomo sospettato di sostenere diversi gruppi hacktivisti filorussi legati ad attacchi informatici contro infrastrutture critiche in Europa e negli Stati Uniti. L’arresto segue un’indagine durata mesi avviata con l’assistenza del Federal Bureau of Investigation (FBI) degli Stati Uniti.
Secondo la Polizia Nazionale spagnola, si ritiene che il sospetto fosse un membro attivo della CyberArmy of Russia Reborn (CARR) e Z-Pentest. Gli investigatori sostengono inoltre che abbia partecipato ad attività associate al collettivo hacktivista filorusso NoName057(16), che si è rivendicato la responsabilità di numerosi attacchi informatici a motivazione politica dalla Russia dall’invasione dell’Ucraina.
La polizia ha dichiarato che il sospetto viveva nella città di Palencia e forniva supporto logistico e operativo a un hacker ucraino collegato a CARR. Gli investigatori sostengono che abbia contribuito a facilitare la fuga pianificata dell’hacker verso la Russia attraverso Polonia e Bielorussia, mantenendo al contempo i contatti con altri membri del gruppo tramite piattaforme di messaggistica criptata.
Le autorità affermano che il sospetto ha anche coordinato attività legate a operazioni informatiche successivamente promosse su siti web focalizzati su conflitti geopolitici. Secondo gli investigatori, quegli attacchi miravano ad amplificare messaggi filo-russi, prendendo di mira organizzazioni considerate come supporter l’Ucraina o i governi occidentali.
L’indagine è iniziata nell’agosto 2025 dopo che le autorità spagnole hanno ricevuto informazioni dall’FBI. Gli agenti hanno perquisito la casa del sospetto nel marzo 2026, sequestrando computer, dispositivi di archiviazione digitale e portafogli di criptovalute che gli investigatori ritengono siano collegati ai proventi della criminalità informatica, inclusa la vendita di dati rubati. Gli asset in criptovalute sono stati successivamente congelati mentre l’indagine prosegue.
Il sospetto non è stato formalmente incriminato. Tuttavia, la polizia spagnola ha dichiarato che è sotto indagine per sospetta appartenenza e collaborazione con un’organizzazione terroristica, glorificazione del terrorismo e reati di danni legati a computer. Le autorità non hanno rivelato la sua identità né indicato quando un tribunale deciderà se verranno presentate accuse formali.
CyberArmy of Russia Reborn è stato precedentemente collegato ad attacchi che hanno preso di mira le utility idriche, gli impianti di lavorazione alimentare e le infrastrutture energetiche negli Stati Uniti. Le autorità statunitensi hanno accusato altri presunti membri del gruppo di tentare di compromettere i sistemi di controllo industriale e SCADA utilizzati per gestire servizi critici.
I ricercatori di sicurezza hanno inoltre segnalato collegamenti tra CARR e il gruppo di minaccia sostenuto dallo stato russo APT44, noto anche come Sandworm. Tuttavia, il resoconto pubblico descrive tali collegamenti come indiretti e nessuna attribuzione ufficiale ha stabilito che CARR operi sotto il diretto controllo del governo russo.
