Deutsch
English
Español
Français
Nederlands
Português
Nederlandse autoriteiten nemen 800 servers in beslag bij grote sanctieactie
De FIOD heeft op 18 mei 2026 twee mannen gearresteerd op verdenking van het faciliteren van Russische cyberaanvallen tegen de Europese Unie en het overtreden van EU-sancties. Een 57-jarige verdachte uit Amsterdam en een 39-jarige uit Den Haag worden beschuldigd van het leveren van technische infrastructuur voor destabiliserende activiteiten, waaronder cyberaanvallen, politieke inmenging en desinformatiecampagnes gericht op EU-lidstaten.
Tijdens gecoördineerde invallen in Enschede, Almere, Dronten en Schiphol-Rijk namen onderzoekers meer dan 800 servers, laptops, telefoons en administratieve documenten in beslag van drie bedrijfspanden en twee datacenters. De operatie is een van de grootste handhavingsacties tegen sanctieontduiking in Nederland tot nu toe.
Webhostingbedrijf centraal in onderzoek
Het onderzoek richt zich op Stark Industries, een webhostingbedrijf opgericht op 10 februari 2022 — slechts twee weken voor de grootschalige Russische invasie van Oekraïne. De EU plaatste Stark Industries in mei 2025 op de sanctielijst voor het faciliteren van pro-Russische cyberoperaties, waaronder aanvallen op Deense gemeenteraadsverkiezingen en andere kritieke infrastructuur in Europa.
Volgens de FIOD droeg Stark Industries kort na het opleggen van de EU-sancties een aanzienlijk deel van zijn technische infrastructuur over aan een nieuw Nederlands bedrijf, WorkTitans B.V., waarvan onderzoekers denken dat het als stroman fungeerde. De 57-jarige verdachte uit Amsterdam was directeur van deze Nederlandse entiteit.
Hoe het sanctieontduikingsschema werkte
De tweede verdachte, een 39-jarige uit Den Haag, is directeur en enig aandeelhouder van MIRhosting, een in Nederland gevestigd bedrijf dat internetconnectiviteit zou hebben geleverd om de gesanctioneerde servers operationeel te houden. Deze opzet stelde Stark Industries in staat om zijn destabiliserende activiteiten voort te zetten ondanks EU-sancties.
Cybersecurityonderzoekers van GreyNoise en Recorded Future hebben gedocumenteerd hoe Stark Industries anticipeerde op de EU-sancties. Gelekte documenten die het bedrijf 12 dagen voor de aankondiging van de sancties verkreeg, stelden de gebroeders Neculitu — Moldavische eigenaren van Stark Industries — in staat hun activiteiten methodisch te herstructureren. Ze verplaatsten hun autonome systeem (AS44477) naar een nieuwe RIPE-organisatie, migreerden Russische infrastructuur naar het in Moskou gevestigde UFO Hosting LLC en hernoemden naar 'THE.Hosting' onder WorkTitans B.V.
De ontduiking van EU-cybersancties verliep naadloos: de netwerkinfrastructuur bleef vrijwel ongewijzigd ondanks de bedrijfsreorganisatie, met identieke bedreigingstags, gedeelde VPN-diensten en overlappende technische vingerafdrukken die operationele continuïteit aantonen.
Links naar pro-Russische hacktivistengroepen
Deense autoriteiten hebben WorkTitans in verband gebracht met DDoS-aanvallen uitgevoerd door de pro-Russische hacktivistengroep NoName057(16). Tijdens de Deense lokale en regionale verkiezingen richtte de groep zich op de websites van meerdere Deense politieke partijen, waaronder de Conservatieven en de Rood-Groene Alliantie, en de publieke omroep DR. De Deense Defensie-Inlichtingendienst (FE) schreef deze aanvallen formeel toe aan aan de Russische staat gelieerde actoren.
De toename van pro-Russische hacktivistische aanvallen is een groeiende zorg voor Europese veiligheidsdiensten, met groepen als NoName057(16) en Z-Pentest die steeds geavanceerdere operaties uitvoeren tegen kritieke infrastructuur, waterbedrijven en democratische processen.
Bredere implicaties voor EU-cyberveiligheid
De arrestaties benadrukken de uitdagingen waarmee Europese autoriteiten worden geconfronteerd bij het handhaven van sancties tegen cybercriminele infrastructuur. Ondanks het cyber-sanctieregime van de EU — opgericht in 2019 om cyberaanvallen die lidstaten bedreigen af te schrikken en te beantwoorden — blijven bulletproof hostingproviders manieren vinden om binnen Europese rechtsgebieden te opereren.
Experts benadrukken dat organisaties externe dienstverleners moeten controleren en zero-trust beveiligingskaders moeten implementeren om het risico te beperken dat hun infrastructuur wordt misbruikt. De Nederlandse aanpak van cyber-sanctiehandhaving kan als model dienen voor andere EU-lidstaten die sanctieontduiking willen aanpakken.
Beide verdachten zijn vrijgelaten maar blijven onderdeel van het onderzoek. De FIOD heeft verklaard dat de zaak nog loopt en verdere arrestaties mogelijk zijn.
FAQ
Wat hebben de twee Nederlandse verdachten gedaan?
Ze worden beschuldigd van het leveren van webhostinginfrastructuur en internetconnectiviteit aan een aan Rusland gelieerd bedrijf dat cyberaanvallen, desinformatiecampagnes en politieke inmenging uitvoerde tegen EU-doelen.
Hoeveel servers zijn in beslag genomen?
Meer dan 800 servers werden in beslag genomen in datacenters in Dronten en Schiphol-Rijk, samen met laptops, telefoons en administratieve documenten.
Wat is Stark Industries?
Stark Industries is een bulletproof webhostingbedrijf opgericht in februari 2022, vlak voor de Russische invasie van Oekraïne. Het werd door de EU gesanctioneerd in mei 2025 voor het faciliteren van pro-Russische cyberoperaties.
Waren de verdachten betrokken bij de Deense verkiezingsaanvallen?
Deense autoriteiten hebben de stroman WorkTitans in verband gebracht met DDoS-aanvallen door de pro-Russische groep NoName057(16) die zich richtten op Deense politieke partijwebsites tijdens lokale verkiezingen.
Wat zijn de straffen voor het overtreden van EU-sancties?
Het overtreden van EU-sancties kan leiden tot bevriezing van tegoeden, reisverboden en strafrechtelijke vervolging, met gevangenisstraffen tot zes jaar onder Nederlands recht.
Follow Discussion