Niederländische Behörden haben zwei IT-Unternehmer festgenommen, die verdächtigt werden, europäische Sanktionen verletzt und Hosting-Infrastruktur für pro-russische Cyberangriffe und Desinformationskampagnen bereitgestellt zu haben. Die niederländische Steuerfahndungs- und Ermittlungsbehörde (**FIOD**) gab am Freitag bekannt, dass die Verdächtigen – ein 57-Jähriger aus Amsterdam und ein 39-Jähriger aus Den Haag – Unternehmen betrieben, deren Server angeblich für Cyberangriffe, Einmischungsoperationen und die Verbreitung von Desinformation genutzt wurden. Ermittler durchsuchten im Rahmen der Operation drei Geschäftsräume sowie zwei Rechenzentren und beschlagnahmten Verwaltungsunterlagen, Laptops, Telefone und mehr als 800 Server. ### Umgehung von Sanktionen Das untersuchte Unternehmen wurde am 10. Februar 2022 gegründet, zwei Wochen bevor Russland seine umfassende Invasion der Ukraine startete. Die **FIOD** nannte das Unternehmen in ihrer Mitteilung nicht, sagte aber, dass es am 20. Mai 2025 von der Europäischen Union sanktioniert worden sei. Die Behörden behaupten, dass nach Verhängung der Sanktionen ein Teil der technischen Infrastruktur des Unternehmens auf ein neu gegründetes niederländisches Unternehmen verlagert wurde, um die Beschränkungen zu umgehen. Der 57-jährige Verdächtige soll Direktor und indirekter alleiniger Gesellschafter dieses Unternehmens gewesen sein, so die Ermittler. Ein zweites niederländisches Unternehmen, das von dem 39-jährigen Verdächtigen geführt wird, soll die Internetverbindung für die Infrastruktur bereitgestellt haben. ### Verdächtige identifiziert Obwohl die niederländischen Behörden die Verdächtigen oder die beteiligten Unternehmen nicht öffentlich identifizierten, berichteten Ermittlungen der deutschen gemeinnützigen Journalismusgruppe **Correctiv** und der niederländischen Zeitung *de Volkskrant*, dass der Fall Andrey N., einen Konzertpianisten und Betreiber des Hosting-Anbieters **MIRhosting**, und den Unternehmensberater Youssef Z., Eigentümer von **WorkTitans**, betrifft. **Correctiv** berichtet, dass **MIRhosting** Dienstleistungen für die moldawischen Brüder Ivan und Juri Neculiti erbrachte, die die Hosting-Firma **Stark Industries** betrieben – die laut **Correctiv** im Mittelpunkt der **FIOD**-Untersuchung steht. Die EU sanktionierte **Stark Industries** und seine Eigentümer am 20. Mai letzten Jahres und nannte seine Rolle als Ermöglicher für „verschiedene von Russland gesponserte und mit Russland verbundene Akteure, die destabilisierende Aktivitäten durchführen, einschließlich koordinierter Informationsmanipulation und Einmischung sowie Cyberangriffe“. ### Doppelgänger-Verbindung Den Berichten zufolge bot **Stark Industries** Internet-Infrastrukturdienste an, darunter Dutzende von VPN- und Proxy-Verbindungen, die dazu dienten, Benutzern zu helfen, anonym online zu agieren. Seine Infrastruktur wurde Berichten zufolge genutzt, um Websites zu hosten, die mit Reliable Recent News verbunden sind, einem Netzwerk, das mit der russisch verbundenen Doppelgänger-Desinformationskampagne in Verbindung gebracht wird. Die Infrastruktur wurde angeblich auch bei Distributed Denial-of-Service-Angriffen eingesetzt, die der pro-russischen Hacker-Gruppe NoName057(16) zugeschrieben werden, einschließlich Angriffen auf europäische Regierungsbehörden und politische Institutionen. ### Vorwürfe und Dementis Laut **Correctiv** vermuten die Staatsanwälte, dass Andrey N. nach Inkrafttreten der EU-Sanktionen weiterhin Dienstleistungen für das Neculiti-Netzwerk erbrachte, während Youssef Z. angeblich den sanktionierten Entitäten half, Beschränkungen über eine Briefkastenfirma zu umgehen. In einer Erklärung letzte Woche bestritt **MIRhosting** die Vorwürfe und erklärte, dass das Unternehmen mit den zuständigen Behörden kooperiere und eine interne Untersuchung durchführe. Das Unternehmen fügte hinzu, dass es die Dienste für **Work Titans** vorübergehend ausgesetzt habe, und betonte, dass es dem Unternehmen lediglich physischen Serverplatz, Strom und Netzwerkkonnektivität über ein Drittanbieter-Rechenzentrum zur Verfügung gestellt habe und keinen Zugriff auf die Daten oder Anwendungen des Kunden gehabt habe. **MIRhosting** erklärte, dass seine Operationen normal weiterliefen und dass die Dienste für andere Kunden nicht beeinträchtigt worden seien. In Kommentaren, die zuvor von *de Volkskrant* zitiert wurden, bestritt Andrey N. ebenfalls, wissentlich pro-russische Cyberoperationen unterstützt zu haben, und sagte, er habe die Zusammenarbeit mit den Neculiti-Brüdern nach Verhängung der Sanktionen eingestellt. **MIRhosting** und **WorkTitans** reagierten bis zum Zeitpunkt der Veröffentlichung nicht auf Anfragen von Recorded Future News nach einem Kommentar.