Die Festnahme erfolgte im März in der nordspanischen Stadt Palencia. Nach Darstellung der spanischen Polizei führte eine mit Hinweisen des FBI angestoßene Ermittlung zu dem Verdächtigen und zu seinen mutmaßlichen Verbindungen mit CyberArmy of Russia Reborn (CARR), Z-Pentest und NoName057(16).

In ihrer Mitteilung von dieser Woche erklären die Behörden, der Mann habe einem ukrainischen Hacker mit Verbindungen zu CARR logistische Unterstützung geleistet. Ziel sei gewesen, ihm die Flucht nach Russland über Polen und Belarus zu ermöglichen. Die Identität des Festgenommenen wurde nicht veröffentlicht.

Darüber hinaus werfen die Ermittler ihm vor, mit Mitgliedern russischer Hacktivistengruppen über verschlüsselte Messaging-Apps kommuniziert und Aktivitäten koordiniert zu haben. Nach Angaben der Polizei soll er auch Operationen unterstützt haben, die NoName057(16) zugeschrieben werden. Diese Gruppe ist vor allem durch störende DDoS-Angriffe gegen Regierungen und Organisationen aufgefallen, die die Ukraine unterstützen.

Bei der Durchsuchung der Wohnung des Verdächtigen stellten die Beamten Computer sowie Geräte zur Speicherung von Kryptowerten sicher. Außerdem froren sie eine Kryptowallet ein, von der die Ermittler annehmen, dass sie Erlöse aus dem Verkauf von Informationen erhalten hat, die durch kriminelle Aktivitäten beschafft wurden.

Die spanische Polizei teilte mit, gegen den Mann werde wegen mutmaßlicher Mitgliedschaft in und Zusammenarbeit mit einer terroristischen Organisation, Verherrlichung des Terrorismus sowie computerbezogener Sachbeschädigung ermittelt. Formelle Anklagen seien bislang jedoch nicht bekanntgegeben worden.

Gegenüber dem russischen Technikmedium SecPost erklärte eine Person, die nach eigenen Angaben Z-Pentest vertritt, die Gruppe wisse nicht, wer festgenommen worden sei. Zugleich äußerte der Vertreter die Vermutung, die Polizei könne sich geirrt haben. Weiter sagte er, Z-Pentest habe „seine Leute in Europa und Spanien“ gebeten, Informationen über den Verdächtigen zu sammeln.

Die Festnahme reiht sich in weitere internationale Maßnahmen von Strafverfolgungsbehörden gegen Personen ein, denen Verbindungen zu russlandnahen Hacktivistengruppen vorgeworfen werden. 2024 belegten die USA nach eigenen Angaben zwei mutmaßliche Mitglieder von CARR mit Sanktionen, darunter den angeblichen Anführer und wichtigsten Hacker der Gruppe. Die US-Regierung beschuldigte sie, kritische Infrastruktur in den Vereinigten Staaten ins Visier genommen zu haben.

Laut US-Regierung reklamierte CARR Angriffe auf industrielle Steuerungssysteme in Wasser-, Wasserkraft-, Abwasser- und Energieanlagen für sich. Zugleich bestand ein großer Teil der Operationen demnach aus vergleichsweise wenig ausgefeilten DDoS-Angriffen.

Auch europäische Behörden haben den Druck auf NoName057(16) erhöht. Im vergangenen Jahr legte eine internationale Strafverfolgungsaktion große Teile der Infrastruktur der Gruppe lahm, nahm mehr als 100 Server ins Visier und führte zur Ausstellung von sieben internationalen Haftbefehlen. Trotz dieser Aktion beansprucht die Gruppe weiterhin Cyberangriffe auf Länder, die die Ukraine unterstützen.

Sicherheitsforscher weisen seit Langem darauf hin, dass viele russische Hacktivistengruppen deutlich enger mit dem Kreml zusammenarbeiten, als sie öffentlich einräumen. Mandiant berichtete in diesem Jahr, CARR unterhalte eine enge operative Beziehung zu Sandworm, der berüchtigten Hacker-Einheit, die mit dem russischen Militärgeheimdienst in Verbindung gebracht wird.