In de internationale informatieoorlog worden weinig middelen geschuwd. Pro-Russische cybercriminelen voeren aanvallen uit om angst te zaaien en westerse samenlevingen te ontwrichten. De Volkskrant onderzocht hoe Nederlandse bedrijven hielpen om deze sabotage te faciliteren.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Wellicht zag Youssef Z. de problemen al aankomen. De 57-jarige ondernemer en organisatieadviseur uit Amsterdam, die op de vroege ochtend van maandag 18 mei door agenten van de fiscale opsporingsdienst FIOD in zijn woning werd aangehouden, had de toegang tot zijn LinkedIn-account geblokkeerd, reageerde al maanden niet op mails, WhatsApp-berichten en telefoontjes, en zei tegen een collega dat hij vanwege ziekte tijdelijk een wat meer teruggetrokken bestaan leidde.
Voor iemand die naast organisatieadvies een internetdienst verkoopt, was hij online steeds minder goed te vinden. Op een enkele website over bedrijfsstrategie poseert hij met collega’s bij een trap in een blauw colbert, met spijkerbroek en sneakers. Daarboven kort, zwart krullend haar.
Voor de 39-jarige Andrey N., die op hetzelfde moment in Den Haag werd aangehouden door agenten van de FIOD, was de verrassing wellicht groter. N. had niets ondernomen om zijn sporen digitaal te wissen. Hij heeft een publiek profiel als eigenaar van een hostingprovider in Almere. Maar bekender is hij als concertpianist. Op jonge leeftijd ontving hij daarvoor al prijzen in Rusland, waarna hij ook in Nederland diverse onderscheidingen kreeg en cum laude afstudeerde aan het conservatorium in Enschede. Met regelmaat trad hij, samen met zijn eveneens in Rusland geboren vrouw, op bij podia in Oost-Nederland. In 2021 speelden ze stukken van de Russische componist Tsjaikovski op de Oude Markt in Enschede.
De FIOD verdenkt hem en Z. van het overtreden van de sanctiewet. Ze bieden digitale infrastructuur aan die door Rusland wordt gebruikt voor inmenging, cyberaanvallen en het verspreiden van desinformatie in de Europese Unie.
In februari schreef N. aan de Volkskrant – die sinds acht maanden onderzoek doet naar de internetactiviteiten van beide mannen – dat hij niet wilde afspreken. ‘Er staat voor ons veel op het spel.’ Niet dat hij zich zorgen maakte, benadrukte hij. ‘We zijn een honderd procent legale onderneming met legale intenties. Open en transparant, zonder iets te verbergen.’
Hoe raakten deze twee mannen, een organisatieadviseur en een concertpianist uit Nederland, betrokken bij de hybride oorlog van Rusland tegen het Westen?
De avond voor de Deense gemeenteraadsverkiezingen van 18 november 2025 gaan de websites van diverse politieke partijen, en die van het Deense parlement, offline. Kiezers die informatie willen opzoeken of partijprogramma’s willen bekijken, kunnen dat niet langer.
Dit is niet het enige incident waar Denemarken mee te maken krijgt. Autoriteiten in het land zien in het najaar van 2025 een ‘toename’ van het aantal digitale verstoringen bij private- en publieke organisaties. The Copenhagen Post, een Engelstalige nieuwssite, wordt getroffen, net als de website en het online betaalsysteem van de beroemde Grote Beltbrug. Nog ernstiger zijn de terugkerende aanvallen op MitID, vergelijkbaar met het Nederlandse DigiD, dat elke Deen gebruikt voor de toegang tot online platforms. Als MitID verstoord is, kunnen Denen geen betalingen goedkeuren en valt het digitale dossiersysteem van rechtbanken stil.
De verstoringen worden geclaimd door de pro-Russische hackgroep NoName057(16). Met simpele ddos-aanvallen – zo veel informatieverzoeken op een bedrijf afsturen dat de servers de belasting niet aankunnen – proberen ze het leven in Europa te ontwrichten. Websites raken offline, ook van organisaties in Nederland. Dat geeft overlast, maar dient voor Rusland vooral een psychologisch doel: het idee doen postvatten dat het land altijd en overal in Europa kan toeslaan en dat jonge IT’ers, uit liefde voor Rusland, westerse organisaties bestoken die Oekraïne steunen.
NoName057(16) is een groep van pro-Russische cybercriminelen die via Telegram vrijwilligers van over de hele wereld rekruteert en hen kleine bedragen betaalt als ze hun computers beschikbaar stellen voor hun aanvallen. ‘NoName’ suggereert anonimiteit, de rest van de naam lijkt bewust cryptisch gekozen. Het Amerikaanse agentschap CISA, verantwoordelijk voor cybersecurity, bestempelde het collectief in december 2025 als een heimelijk project binnen CISM, een Russische overheidsorganisatie opgericht en betaald door het Kremlin.
Voor het succes van de aanvallen heeft NoName057(16) verhullende digitale infrastructuur nodig. Het wil dataverkeer uit Rusland via derde partijen naar doelwitten in Europa laten gaan, op zo’n manier dat de herkomst onduidelijk is. Zoals criminele netwerken die drugs uit Zuid-Amerika halen afhankelijk zijn van koeriers, snelwegen en distributieknooppunten om hun lading ongemerkt in hun Europa te krijgen, zo zijn hackers aangewezen op digitale equivalenten: legitieme hosting- en transitbedrijven die het aanvalsverkeer laten opgaan in grotere datastromen en de afkomst verhullen.
Een vertrouwelijk technisch overzicht, ingezien door de Volkskrant en de Deense publieke omroep DR, toont de meest gebruikte netwerken van pro-Russische aanvallen op Deense overheidsorganisaties. Tussen 13 en 19 november 2025 gaat het om de infrastructuur van twee bedrijven: het in Enschede gevestigde WorkTitans van organisatieadviseur Youssef Z. en MIRhosting uit Almere van concertpianist Andrey N.
Om de exacte rol van de Nederlandse bedrijven bij de pro-Russische aanvallen te begrijpen, moeten we terug naar het voorjaar van 2023.
Dan wordt bij Rasmus, eigenaar van een klein datacenter in Denemarken die niet met zijn eigen naam in de krant wil, een pakket bezorgd met servers van MIRhosting. Van het bedrijf uit Almere heeft de Deen – een van de weinigen die aan de Volkskrant wil vertellen over de dubieuze rol van hostingbedrijven – tot dan toe nog nooit gehoord.
De servers die onaangekondigd bij hem op de stoep staan, blijken besteld door een nieuwe klant van Rasmus: Stark Industries, opgericht door twee Moldavische broers. Het bedrijf biedt verschillende internetdiensten aan, zoals tientallen VPN-verbindingen en andere proxydiensten die ervoor zorgen dat gebruikers anoniem zijn.
Stark is geen normale klant, zal Rasmus snel ondervinden. Het heeft kennelijk sterke connecties met Rusland. Want kort nadat Stark fysieke ruimte bij Rasmus begint te huren voor de servers van MirHosting, ontvangt de Deen per mail anonieme bedreigingen die te maken hebben met zijn nieuwe klant. Ook hebben pro-Oekraïense hackers het ineens op hem gemunt.
Daarover later meer. Eerst is het nodig om de driehoeksrelatie tussen Rasmus, Stark en MIRhosting te begrijpen.
Om zijn proxydiensten te kunnen leveren, huurde Stark servers in meer dan dertig landen, soms onder de naam PQ Hosting, waardoor het internetverkeer van klanten ergens anders vandaan leek te komen dan de plek waar ze zich daadwerkelijk bevonden.
Zo kwam Stark ook bij MIRhosting in Almere uit, in 2004 opgericht door Andrey N., met een vestiging in Nederland en in Oekraïne. MIRhosting verhuurt servers, stroom en robuuste verbindingen met grote internetknooppunten in Amsterdam en Frankfurt. Colocatie in techjargon.
MIRhosting heeft geen eigen datacenter en laat daarom de fysieke servers die het verhuurt aan Stark bij het bedrijf van Rasmus bezorgen. Dergelijke getrapte constructies zijn gebruikelijk in de internetsector. Het internetverkeer van Stark gaat zo via de gehuurde servers van MIRhosting in het datacenter van Rasmus het wereldwijde internet op.
Kort na het ingaan van de huur door Stark, krijgt Rasmus opeens te maken met ddos-aanvallen: gecoördineerde golven met informatieverzoeken, gegenereerd door software die onder vele vrijwilligers is verspreid, overspoelen de verbindingen in zijn datacenter. Dat kan daardoor minder goed opereren en andere klanten krijgen er last van.
Hij wil daarom de internetverbinding van de nieuwe klant wijzigen. Dat leidt tot woede bij de eigenaar uit Moldavië, die hem volgens Rasmus via berichtenplatform Discord bedreigt en laat doorschemeren dat iemand de boel wellicht kapot zal maken.
De Deen zit klem: hij kan het contract van Stark op basis van deze ene uitspraak niet zomaar opzeggen. Het bedrijf betaalt op tijd voor de afgenomen diensten en heeft de overeenkomst niet geschonden.
De leveringen met nieuwe servers uit Almere blijven in dozen arriveren. Stark Industries heeft meer capaciteit nodig.
Na bijna twee jaar zegt de klant in het voorjaar van 2025 plotseling op. Tot opluchting van Rasmus verzoekt Stark of hij de servers van MIRhosting naar een grote Deense internetprovider, GlobalConnect, kan brengen. Rasmus rijdt ze er zelf met zijn auto naartoe, zegt hij. Achteraf voelt hij zich daar lullig over. ‘Misschien had ik die partij moeten waarschuwen voor wat ze in huis haalden.’
Maar wat gaat er schuil achter Stark?
Het bedrijf werd vlak voor de grootschalige Russische invasie van Oekraïne in februari 2022 opgericht, door de Moldaviër Ivan Neculiti, afkomstig uit de door Rusland gesteunde afgescheiden regio Transnistrië. Zijn broer Iurie werd directeur. Volgens het Duitse onderzoekscollectief Correctiv was Ivan eerder actief op Russischtalige cybercrimefora en heeft Iurie een Russisch paspoort.
Een westers inlichtingenrapport uit 2024, ingezien door de Volkskrant, stelt dat de broers en hun bedrijven fungeren als ‘hulpmiddelen van het Russische inlichtingenapparaat’. Met name Iurie wordt gezien als een ‘cruciale schakel’ naar de Russische veiligheidsdiensten.
Ivan Neculiti noemt deze beschuldigingen in WhatsAppverkeer met de Volkskrant ‘ernstig en ongefundeerd’ en een ‘smaadcampagne’. Hij ontkent dat hij of een van zijn familieleden ooit voor een nationale veiligheidsdienst heeft gewerkt en weerspreekt dat hij beheerders van datacenters heeft geïntimideerd. Dat zijn broer Iurie een Russisch paspoort heeft, ontkent hij niet.
Hoewel de broers publiekelijk claimen een neutrale internetaanbieder te zijn, lopen opmerkelijk veel pro-Russische aanvallen via hun netwerk. En daarmee ook via de servers van het Nederlandse MIRhosting. Een rapport van beveiligingsbedrijf Team Cymru, dat kwaadaardig internetverkeer onderzoekt, uit 2023 laat zien dat 84 procent van een aanvalsserver van NoName057(16) op zeker moment afkomstig is van de ip-adressen van slechts twee, met elkaar verbonden, partijen: Stark Industries en MIRhosting.
Volgens Brian Krebs, een Amerikaanse expert op het gebied van informatiebeveiliging, is de connectie tussen de pro-Russische cybercriminelen en Stark geen toeval. In een blog uit 2024 concludeert hij: ‘Stark Industries wordt gebruikt als een wereldwijd proxynetwerk dat de werkelijke bron van cyberaanvallen en desinformatiecampagnes tegen vijanden van Rusland verhult.’
De infrastructuur van Stark werd onder meer gebruikt bij een cyberaanval in 2023 op het Oekraïense persbureau Ukrinform, ontdekte Correctiv. Dat was volgens Oekraïense autoriteiten het werk van hackgroep Sandworm, gelieerd aan Ruslands militaire inlichtingendienst. Ook de Russische propagandawebsite RRN, onderdeel van een bredere desinformatiecampagne van Rusland, draaide op een server van Stark.
Stark hanteert een slimme werkwijze waarbij de rol van partijen als MIRhosting cruciaal is. Door fysieke servers bij een bedrijf in Almere te huren, bevindt de apparatuur van Stark zich binnen de Europese Unie. Als hackerscollectief NoName057(16) een aanval uitvoert op Europese instellingen, fungeert MIRhosting als een Trojaans paard: voor de buitenwereld lijkt het schadelijke verkeer niet uit Rusland afkomstig, maar van IP-adressen van een erkend Nederlands bedrijf. Internetproviders aarzelen daarom om het kwaadaardige verkeer direct te blokkeren. Dat geeft de aanvallers meer speelruimte.
En dat roept vragen op over de betrokkenheid van MIRhosting: kende het bedrijf de reputatie van Stark en de broers Neculiti?
Enkele weken voor zijn aanhouding gaf N. antwoorden op vragen van de Volkskrant. Hij bevestigde Ivan te kennen en zei dat hij ‘op zeker moment’ het kantoor van MIRhosting had bezocht, maar beweert dat hij niet wist ‘wat de exacte formele juridische rol’ van de man was.
Volgens hem sprak hij Neculiti aan op een incident in 2023. NoName057(16) gebruikte toen de infrastructuur van PQ Hosting, een van de diensten van Stark, voor zijn aanvallen. Die gingen via de servers van MIRhosting. N.: ‘Wij hadden een normale zakelijke relatie. Toen er signalen kwamen van misbruik van hun infrastructuur, hebben wij meteen ingegrepen en concrete verbeteringen geëist.’ Daarna heeft hij naar eigen zeggen nooit meer problemen ervaren.
Brian Krebs, die de relatie tussen Stark Industries en MIRhosting onderzocht, legt uit dat de aanvalsinfrastructuur zo was georganiseerd dat het kwaadaardige verkeer werd ‘verdund’ door het langs verschillende vertrouwde hostingpartijen te sturen. De meeste providers willen of kunnen dat verkeer niet zomaar blokkeren, omdat er ook legitieme datastromen tussen zitten. Krebs: ‘Stark bereikte dit door samen te werken met hostingbedrijven die gevestigd zijn bij enkele van de werelds grootste internetknooppunten – in dit geval in Nederland.’
Op 20 mei 2025 kondigde de Europese Unie sancties aan tegen Stark Industries en de broers Neculiti. De EU achtte bewezen dat Stark Russische cyberoperaties tegen Europese landen faciliteerde. De sancties zijn een poging om Europa te beschermen tegen de hybride dreiging uit Rusland, schreef de EU.
Vanaf dat moment werd het verboden voor EU-burgers en bedrijven om middelen of diensten beschikbaar te stellen aan Stark of de broers Neculiti. Maar dat betekende niet dat de activiteiten van de Moldaviërs stopten.
Kort na het ingaan van de Europese sancties, in de zomer van 2025, begon GlobalConnect – de Deense internetprovider waar Rasmus de door Stark gehuurde servers van MIRhosting een paar maanden daarvoor naartoe had gebracht – ‘misbruikrapporten’ te ontvangen. Beveiligingspartijen wezen het bedrijf erop dat kwaadaardig verkeer, dat eerder afkomstig was van het netwerk van Stark, nu via de internetruimte van GlobalConnect ging. Specifieker: het was afkomstig van de servers die door Rasmus waren geleverd. Maar als het goed was, hadden die vanwege sancties geen relatie meer met Stark.
Volgens bestuursvoorzitter Martin Lippert startte GlobalConnect een grondig onderzoek naar de specifieke klant. Rond oktober besloot GlobalConnect de relatie met de klant te beëindigen wegens vermoedelijke sanctie-ontwijking. Lippert: ‘Ik kan bevestigen dat we de samenwerking hebben stopgezet met een klant van wie wij denken dat die opereert in een grijs gebied. Wij denken dat deze partij probeert de regels te omzeilen.’
Lippert erkent dat het bijzonder is dat hij de samenwerking stopte. ‘We gaan echt tot het uiterste wanneer we het contract opzeggen van een klant die niet op de sanctielijst staat’, zegt hij. Maar, voegt hij eraan toe: ‘Ik zou het morgen opnieuw doen, zelfs als ik daardoor een rechtszaak aan mijn broek krijg. Onze nationale veiligheid staat op het spel.’
Lippert wil de naam van de klant niet noemen, maar uit openbare zogeheten Border Gateway Protocol-data (BGP-data) blijkt dat het om een Nederlands bedrijf ging: WorkTitans van Youssef Z.
Hoe kan dat? Kort voordat de sancties werden aangekondigd, begonnen de broers Neculiti hun bedrijven te herstructureren. Op zo’n manier dat de relatie tot Stark en de Moldaviërs feitelijk werd weggepoetst.
Negen dagen na de EU-sancties veranderde een van Neculiti’s drie internetbedrijven, PQ Hosting, officieel zijn naam in THE.Hosting, zoals ook de hostingactiviteiten van het Enschedese WorkTitans heten. THE.Hosting werd geregistreerd door een Russische netwerkbeheerder, in opdracht van de Neculiti-broers.
Daarnaast vond de Volkskrant dat specifieke IP-adressen die door hackersgroep NoName057(16) werden gebruikt voor aanvallen op Europese doelwitten — waaronder ten minste één Deense gemeentewebsite — werden overgezet van Stark naar WorkTitans.
Verschillende partijen kunnen dit patroon bevestigen, zoals de Zweedse internetprovider Glesys. Stark was eerst een klant. Toen de sancties van kracht werden, stopte die samenwerking. Directeur Glenn Johansson: ‘We kunnen ook bevestigen dat het bedrijf vervolgens probeerde de sancties te omzeilen door de activiteiten onder te brengen bij een Nederlandse entiteit. Dat hebben wij geweigerd.’
Neculiti ontkent in een reactie aan de Volkskrant niet dat klanten en activa overgingen naar het Enschedese bedrijf, maar zegt dat hij nu ‘geen relatie meer heeft met WorkTitans’.
Het bedrijf uit Enschede is een zogeheten reseller: het huurt serverruimte bij andere hostingbedrijven en verhuurt die door aan klanten. Resellers hebben in de markt een slechte naam omdat hun extra laag verhult wie de werkelijke klant is. Dat maakt het opsporen van misbruik ingewikkeld – precies wat criminelen aantrekkelijk vinden.
WorkTitans huurde serverruimte bij onder meer MIRhosting en dat lijkt geen toeval. Youssef Z. en Andrey N. zijn goed bekend met elkaar. Via zijn bedrijf Bewustmakers hielp Z. eerder met personeelsmanagement en de administratie bij MIRhosting. Hij fungeerde een tijd als salesagent en had een mailadres bij het bedrijf uit Almere.
Zo was de naam Stark na het ingaan van de sancties weggepoetst en liep het pro-Russische aanvalsverkeer via servers van WorkTitans en MIRhosting in de Nederlandse polder.
Het Amerikaanse cybersecuritybedrijf Recorded Future, dat de manoeuvre van Stark tot in details documenteerde, oordeelde daarom in augustus 2025 dat de Europese sancties ‘grotendeels ineffectief’ waren. Senior analist Lawrence Stowe: ‘Stark Industries zal waarschijnlijk toegang behouden tot alternatieve routes via nieuwe schijnbedrijven, zoals het eerder ook heeft gedaan. De kern van de dreiging – hardnekkige kwaadaardige infrastructuur – verdwijnt niet, maar het herstel kan kostbaar en tijdrovend zijn.’
De Volkskrant vroeg organisatieadviseur Youssef Z. van WorkTitans meermaals om een reactie, maar hij gaat iedere vorm van contact uit de weg. ‘Ik ben niet beschikbaar maar zal uw bericht zo snel mogelijk beantwoorden’, leest een automatisch antwoord op WhatsApp op 2 oktober 2025. Het is de enige reactie die de Volkskrant in maanden zal krijgen. Hij neemt zijn telefoon niet op en belt niet terug. Als een kennis hem via LinkedIn verzoekt contact met de verslaggever op te nemen, blokkeert hij de toegang tot z’n LinkedInpagina.
Op een adres in Almere waarop de persoonlijke BV van Z. staat vermeld, is in april niemand aanwezig. De rolgordijnen van de hoekwoning zijn naar beneden en buiten ligt een stapel vuilniszakken naast een container. Alsof iemand kort daarvoor is vertrokken. Een buurtgenoot zegt de man te kennen maar weet niet waar hij verblijft. Z. wordt later in een woning in Amsterdam aangehouden.
Wanneer de Volkskrant in oktober op zoek naar Andrey N. het kantoor van MIRhosting in Almere bezoekt, is daar één technicus aanwezig. In gebrekkig Engels legt hij uit dat hij uit Oekraïne komt. Hij zegt niets te weten over pro-Russische aanvallen via zijn bedrijf en wijst door naar de woordvoerder.
Ook eigenaar en concertpianist Andrey N. heeft Oekraïense wortels. In een interview in 2023 met het lokale radiostation 1Twente zegt hij dat die verbinding ‘het nog lastiger maakt te accepteren wat er nu allemaal gebeurt’, refererend aan de oorlog.
Hoe kan hij die achtergrond rijmen met het beschikbaar stellen van zijn servers aan pro-Russische cybercriminelen? Een woordvoerder gaat die vraag uit de weg en wijst er alleen op dat het bedrijf collega’s in Kyiv heeft geholpen om veilig te werken. In uitgebreide mails aan de Volkskrant ontkent eigenaar N. dat hij wist dat er na 2023 misbruik werd gemaakt van zijn servers door het pro-Russische NoName057(16). Hij zegt in zijn systemen niets te hebben gevonden wat die beschuldiging ondersteunt.
Volgens N. heeft hij de samenwerking met de broers Neculiti direct beëindigd toen de EU-sancties van kracht werden. Hij behoudt ‘zich alle rechten voor’ om zich te verweren tegen ‘schadelijke en onjuiste’ publicaties.
N. zegt dat hij juridisch beperkt is bij het ‘mogen controleren’ van klantverkeer. Dat klopt, reageert een Nederlandse hostingexpert die anoniem wil blijven, maar hij vindt het onaannemelijk dat MIRhosting niets wist van het wijdverspreide misbruik. ‘Dat hij daar niet naar handelde, kan uit financiële overwegingen zijn geweest of omdat hij onder druk is gezet.’
Als directeur N. in het najaar van 2025 lid wil worden van de Dutch Cloud Community (DCC), een branchevereniging van internet- en cloudaanbieders, volgen gesprekken en een onderzoek. De uitkomst: MIRhosting mag geen lid worden. ‘Bij dit besluit zijn meerdere factoren meegewogen, waaronder signalen die naar het oordeel van de organisatie onvoldoende aansloten bij de normen en uitgangspunten die wij van onze leden verwachten’, schrijft DCC aan de Volkskrant.
Wanneer agenten van de FIOD op maandagmiddag bij het datacentra in Dronten en bij Schiphol honderden servers van WorkTitans offline halen, reageren klanten van over de hele wereld vol verbazing. Zij begrijpen niet wat er aan de hand is. Een van hen op X: ‘Ik vind het bizar. Als er onderhoud werd gepleegd, hadden we van tevoren een mail moeten krijgen.’ ‘Hier ook servers down’, ‘bij ons ook’, vallen anderen hem bij.
Op de website van THE.Hosting staat niets over een inval of aanhouding van eigenaar Youssef Z. De online ‘client manager’ meldt dat er sprake is van een ‘kritische systeemfout’. Hoe lang het zal duren om het probleem te repareren, kan het bedrijf dan nog niet zeggen. Dat de telefoon van eigenaar Youssef Z. bij de FIOD ligt, blijft onvermeld.
Verantwoording
De Volkskrant werkte voor dit onderzoek vanaf oktober 2025 samen met de Deense onderzoeksjournalist Henrik Moltke. Hij is gespecialiseerd in de werking van het internet en cybersecurity.
Luister hieronder ook naar de podcast Schaduwoorlog. Al onze podcasts vind je op volkskrant.nl/podcasts.
Wilt u belangrijke informatie delen?
Mail naar tips@volkskrant.nl of kijk op onze tippagina.
Geselecteerd door de redactie
Source: Volkskrant