Nach Angaben des FIOD soll der 57-jährige Verdächtige Direktor und indirekter Alleingesellschafter des sanktionierten Unternehmens gewesen sein. Ein zweites niederländisches Unternehmen, geführt von dem 39-Jährigen, habe die Internetanbindung für die Infrastruktur bereitgestellt. Die Behörde nannte weder die Namen der Verdächtigen noch der beteiligten Firmen.

Recherchen von Correctiv und de Volkskrant ordnen den Fall hingegen konkreten Personen zu: Demnach geht es um Andrey N., Konzertpianist und Betreiber des Hosting-Anbieters MIRhosting, sowie um den Unternehmensberater Youssef Z., Eigentümer von WorkTitans. Laut Correctiv lieferte MIRhosting Dienste an die moldauischen Brüder Ivan und Juri Neculiti, die das Hosting-Unternehmen Stark Industries betrieben — nach Darstellung von Correctiv der Kern der FIOD-Ermittlungen.

Die EU sanktionierte Stark Industries und seine Eigentümer am 20. Mai des Vorjahres und verwies auf dessen Rolle, mit der „verschiedene staatlich geförderte und staatlich verbundene russische Akteure destabilisierende Aktivitäten durchführen konnten, darunter koordinierte Informationsmanipulation und -einflussnahme sowie Cyberangriffe".

Den Berichten zufolge bot Stark Industries Internet-Infrastrukturdienste an, darunter Dutzende VPN- und Proxy-Verbindungen, die anonymes Agieren im Netz ermöglichen sollten. Über diese Infrastruktur seien Websites des Netzwerks Reliable Recent News gehostet worden, das mit der russlandnahen Desinformationskampagne Doppelgänger in Verbindung gebracht wird. Zudem sei die Infrastruktur bei DDoS-Angriffen eingesetzt worden, die der pro-russischen Hackergruppe NoName057(16) zugeschrieben werden, unter anderem gegen europäische Behörden und politische Institutionen.

Laut Correctiv vermuten die Ermittler, dass Andrey N. das Netzwerk der Neculitis auch nach Inkrafttreten der EU-Sanktionen weiter belieferte, während Youssef Z. den sanktionierten Akteuren über eine Tarnfirma bei der Umgehung der Beschränkungen geholfen haben soll.

MIRhosting wies die Vorwürfe zurück und erklärte, man kooperiere mit den zuständigen Behörden und führe eine interne Untersuchung durch. Die Dienste für WorkTitans habe man vorübergehend ausgesetzt; man habe der Firma lediglich physischen Serverplatz, Strom und Netzanbindung über ein Rechenzentrum eines Dritten bereitgestellt und keinen Zugriff auf deren Daten oder Anwendungen gehabt. Der Betrieb laufe normal weiter, andere Kunden seien nicht betroffen.

Andrey N. bestritt gegenüber de Volkskrant, wissentlich pro-russische Cyberoperationen unterstützt zu haben, und gab an, die Zusammenarbeit mit den Brüdern Neculiti nach Verhängung der Sanktionen beendet zu haben. MIRhosting und WorkTitans reagierten bis zum Redaktionsschluss nicht auf Anfragen von Recorded Future News.