De Spaanse autoriteiten hebben een man gearresteerd die ervan wordt verdacht verschillende pro-Russische hacktivistengroepen te steunen die gelinkt zijn aan cyberaanvallen op kritieke infrastructuur in Europa en de Verenigde Staten. De arrestatie volgt op een maandenlang onderzoek dat is gestart met hulp van de Amerikaanse Federal Bureau of Investigation (FBI).
Volgens de Spaanse nationale politie wordt aangenomen dat de verdachte een actief lid was van het CyberArmy of Russia Reborn (CARR) en Z-Pentest. Onderzoekers beweren ook dat hij deelnam aan activiteiten die verband houden met het pro-Russische hacktivistencollectief NoName057(16), dat sinds de Russische invasie van Oekraïne de verantwoordelijkheid heeft opgeëist voor talrijke politiek gemotiveerde cyberaanvallen.
De politie zei dat de verdachte in de stad Palencia woonde en logistieke en operationele ondersteuning verleende aan een Oekraïense hacker die gelinkt was aan CARR. Onderzoekers beweren dat hij hielp bij de geplande ontsnapping van de hacker naar Rusland via Polen en Wit-Rusland, terwijl hij contact hield met andere groepsleden via versleutelde berichtenplatforms.
De autoriteiten beweren dat de verdachte ook activiteiten coördineerde die verband hielden met cyberoperaties die later op websites over geopolitieke conflicten werden gepromoot. Volgens onderzoekers waren die aanvallen bedoeld om pro-Russische boodschappen te versterken, terwijl ze zich richtten op organisaties die als steun aan Oekraïne of westerse regeringen werden beschouwd.
Het onderzoek begon in augustus 2025 nadat de Spaanse autoriteiten inlichtingen van de FBI hadden ontvangen. Agenten doorzochten in maart 2026 het huis van de verdachte en namen computers, digitale opslagapparaten en cryptowallets in beslag die volgens onderzoekers verband hielden met de opbrengst van cybercriminaliteit, waaronder de verkoop van gestolen gegevens. De cryptoactiva zijn sindsdien bevroren terwijl het onderzoek voortduurt.
De verdachte is nog niet formeel aangeklaagd. De Spaanse politie meldde echter dat hij wordt onderzocht wegens vermoedelijk lidmaatschap van en samenwerking met een terroristische organisatie, verheerlijking van terrorisme en computergerelateerde schade. De autoriteiten hebben zijn identiteit niet bekendgemaakt of aangegeven wanneer een rechtbank zal bepalen of er formele aanklachten worden ingediend.
CyberArmy of Russia Reborn is eerder in verband gebracht met aanvallen gericht op waterbedrijven, voedselverwerkingsfaciliteiten en energie-infrastructuur in de Verenigde Staten. Amerikaanse autoriteiten hebben andere vermeende leden van de groep beschuldigd van het proberen te compromitteren van industriële controle en SCADA-systemen die worden gebruikt voor het exploiteren van kritieke diensten.
Beveiligingsonderzoekers hebben ook banden gemeld tussen CARR en de door de Russische staat gesteunde dreigingsgroep APT44, ook bekend als Sandworm. Publieke verslaggeving beschrijft deze connecties echter als indirect, en er is geen officiële toeschrijving dat CARR onder directe controle van de Russische regering opereert.