Nederland brengt klap toe aan Russische cyberaanvallers met inbeslagname 800 servers
De Nederlandse Fiscale Inlichtingen- en Opsporingsdienst FIOD heeft op 18 mei een grote slag geslagen tegen een internationaal netwerk dat cyberaanvallen en desinformatiecampagnes uitvoerde. Bij gecoördineerde invallen in onder meer Dronten, Schiphol‑Rijk, Enschede en Almere nam het meer dan 800 servers in beslag en heeft het twee Nederlandse verdachten aangehouden. De operatie is een van de grootste Nederlandse acties tegen sanctie‑ontduiking sinds het uitbreken van de oorlog in Oekraïne. De FIOD nam naast de servers ook laptops, telefoons en administratieve documenten in beslag om de financiële en technische structuren verder in kaart te brengen.
Volgens de FIOD zijn de twee opgepakte mannen verdacht van het overtreden van de Europese sanctiewetgeving. Ze deden dat door economische middelen en technische infrastructuur beschikbaar te stellen aan een webhostingbedrijf dat sinds mei 2025 op de EU‑sanctielijst staat. Dat bedrijf is kort voor de Russische invasie in Oekraïne opgericht en speelde volgens onderzoekers een rol in cyberaanvallen, beïnvloedingsoperaties en desinformatie binnen de Europese Unie.
Ook aanvallen in België
Uit onderzoek blijkt dat de hostinginfrastructuur opereerde via een reeks frontbedrijven die heel snel van naam en structuur wijzigden om sancties te omzeilen. Het ELLIO Threat Research Lab beschrijft hoe het netwerk evolueerde. Dat startte als Stark Industries Solutions, een Moldavisch bedrijf dat in 2025 door de EU al sancties kreeg. Dan werd het PQ Hosting Plus en uiteindelijk het Nederlandse WorkTitans B.V., dat onder de naam THE.Hosting opereerde.
Een tweede Nederlands bedrijf, Mirhosting, leverde de internetconnectiviteit en zorgde ervoor dat de servers operationeel bleven, zelfs nadat sancties van kracht waren geworden.
De infrastructuur was volgens Deense autoriteiten gelinkt aan de pro‑Russische hacktivistengroep NoName057(16). Die voerde onder meer aanvallen uit op Deense overheidsdiensten tijdens de gemeenteraadsverkiezingen van november 2025. Ook in België was die al actief met aanvallen op Proximus, Scarlet en Telenet. Dat waren vaak DDoS-aanvallen die servers konden overbelasten en zo platleggen. De groep beloont zijn ‘medewerkers’ aan de hand van een leaderboard. Hoe meer aanvallen je doet, hoe meer beloning in cryptocurrency je krijgt.
Niet de genadeslag
De hackers gebruikten de servers niet alleen voor cyberaanvallen op Europese systemen, desinformatiecampagnes en beïnvloedingsoperaties. Ze deden dat ook om massaal te scannen naar kwetsbaarheden die ze dan konden misbruiken.
ELLIO’s honeypots registreerden een jaar lang grootschalige scanning‑activiteit afkomstig van het netwerk. Opvallend genoeg bleef zelfs na de inbeslagname van de servers op 18 mei een deel van de infrastructuur actief scannen. De Nederlandse overheid heeft dus wel tijdelijk een klap toegediend maar duidelijk nog niet de genadeslag.
