De pro-Russische hacktivisten NoName057(16) voeren sinds de Russische inval in Oekraïne in 2022 DDoS-aanvallen uit op Europese websites. Bij zulke aanvallen worden sites overspoeld met nepverkeer, waardoor ze onbereikbaar of traag worden. Onder meer Nederlandse havens, vervoersbedrijven en sites van gemeenten werden op die manier voor uren platgelegd.

Het Nationaal Cyber Security Centrum waarschuwde ook voor aanvallen tijdens de NAVO-top in juni, toen het NAVO-kantoor in Nederland en digitale portals van de gemeente Den Haag werden getroffen. Volgens inlichtingendienst AIVD zijn er vermoedens dat pro-Russische hacktivistische groeperingen verweven zijn met de Russische overheid.

Inval

Politieorganisatie Europol maakte halverwege juli bekend dat het samen met opsporingsinstanties in twaalf landen, waaronder Nederland, het cybercrime netwerk van NoName057(16) had ontmanteld en uit de lucht had gehaald. In één grote actie werden meer dan honderd servers platgelegd, 24 huiszoekingen gedaan en twee arrestaties verricht. Maar de operatie lijkt weinig effect te hebben gehad. Binnen een week was het hackerscollectief weer actief.

Uit een analyse van alle berichten van NoName057(16) die Pointer (KRO-NCRV) samen met het Belgische VRT NWS uitvoerde, blijkt dat de aanvallen nu heviger zijn dan eerder. Na de Europol-interventie, waardoor de hackers 7 dagen offline werden gehaald, steeg het gemiddeld aantal aangevallen websites van 39 per dag (het 2025-gemiddelde tot dan toe) naar 63 per dag in de daaropvolgende 15 dagen.

In totaal heeft de groep 448 verschillende websites aangevallen in de periode van 23 juli tot en met 6 augustus 2025, waaronder websites van politieke partijen, plaatselijke overheden, vervoersbedrijven en politie in Duitsland, Denemarken, België, Litouwen, Frankrijk en Italië. In de tussentijd is NoName nieuwe allianties aangegaan met andere pro-Russische hacktivistische teams, waardoor de hackersgroep blijft groeien.

“Europols operatie heeft geen effect op ons gehad. Onze aanvallen gaan door! De vijand wordt verslagen!”, schrijft de groep strijdvaardig op X.

Signaal

Volgens Europol had de politieactie nooit het doel om de pro-Russische hackersgroep compleet te ontmantelen, laat een woordvoerder weten. “In plaats daarvan richtte de actie zich op het verstoren van de aanvalsstructuur die bestond uit meer dan honderd computersystemen wereldwijd. Zo’n verstoring maakt het moeilijker voor cybercriminelen om te opereren, maar neemt de dreiging niet volledig weg.”

Hacktivistische groepen vertrouwen op een grote groep ideologisch gemotiveerde individuen. Daardoor is NoName057(16) moeilijk te ontmantelen, aldus Europol. “Een van de doelen van de operatie was dan ook om een duidelijk signaal af te geven aan de kleinere spelers binnen de groep: ze zijn niet anoniem, hun daden hebben gevolgen, en ze staan onder het waakzame oog van opsporingsdiensten.”

Poetins censuurorganisatie

Europol plaatste vijf personen die betrokken zouden zijn bij NoName057(16) op Europa’s ‘most wanted’-lijst. Twee van hen werken voor een censuurorganisatie, opgericht namens de Russische president, blijkt uit ons onderzoek.

De 36-jarige Maxim Lupin wordt er volgens Europol van verdacht deel te hebben genomen aan de DDoS-aanvallen van NoName057(16). Hij zou in een leidinggevende functie binnen de hackersgroep verantwoordelijk zijn voor de ontwikkeling van de software waarmee de aanvallen worden uitgevoerd. In onze dataset van duizenden berichten van NoName zien we zijn pseudoniem, s3rmax, maar één keer terug. In een bericht van 2022.

Opvallend is dat Lupin directeur is van het, namens Poetin opgerichte, Centrum voor Jeugdonderzoek en Netwerkmonitoring (CISM). Officieel opgezet om Russische tieners te waarschuwen voor de gevaren van het internet. Volgens verschillende media, zoals Reuters, Wired en Meduza, is het centrum in werkelijkheid echter een censuurorganisatie. Met behulp van AI houdt het de activiteiten van miljoenen Russen op sociale media in de gaten, om anti-Poetin berichten tegen te gaan.

De adjunct-directeur van het CISM, Mikhail Burlakov, staat ook op Europols lijst van meest gezochte personen. Hij zou onder het pseudoniem Ddosator3000 een sleutelfiguur zijn binnen NoName057(16). Burlakov zou eveneens verantwoordelijk zijn voor de ontwikkeling van de DDoS-software en betaalde de servers waarmee de aanvallen werden uitgevoerd.

In onze data zien we dat hij in 2022 steevast wordt genoemd in de top 10 van hackers die het meest actief zijn binnen NoName. Zo zou Ddosator3000 volgens een bericht van de groep in september 2022 bijna 8,7 miljoen aanvallen op zijn naam hebben staan. In latere berichten zien we zijn pseudoniem niet meer terug.

Niet ver genoeg

De opsporingsdiensten gaan niet ver genoeg in het tegenhouden van NoName, denkt Bert Hubert, cybersecurityexpert en voormalig toezichthouder op de Nederlandse veiligheidsdiensten. “NoName is al jaren actief en is eigenlijk geen strobreed in de weg gelegd. De aanvallen zijn verder ook vrij primitief, en het is schandalig hoe succesvol ze desondanks zijn”, zegt hij.

Hubert vergelijkt de aanvallen met een golf aan fietsdiefstallen, waarbij de dieven met een paperclip de sloten kunnen openen. “Dan kun je ook boos worden op het slot”, zegt hij. Met andere woorden: het ligt niet alleen aan de aanvallen, maar ook aan de gebrekkige beveiliging van de doelwitten.

“Het was al jaren eerder mogelijk geweest om deze club te dwarsbomen of om mensen zich beter te laten beschermen tegen de relatief simpele aanvallen. Beide zijn niet gedaan. In Nederland hebben we misschien wel de beste expertise op dit vlak van heel Europa. Het kan dus allemaal wel, maar misschien is het gebrek aan capaciteit en zouden we gewoon meer moeten doen.”

‘Het mag agressiever’

VVD-Europarlementariër Bart Groothuis pleit voor een proactievere aanpak door de opsporingsinstanties. Niet alleen door in te grijpen in de systemen van aanvallers om zo aanvallen te voorkomen, maar ook door beter zicht te houden op de eigen netwerken.

“Met andere woorden: het moet een stuk agressiever richting het hoofd van de slang”, zegt Groothuis. “Natuurlijk werken dit soort gasten samen met de Russische staat en diensten, en natuurlijk is het een onderdeel van het Russisch buitenlands beleid en zal het Kremlin elke vorm van uitlevering weigeren. Maar met een internationaal opsporingsbevel laat je wel zien: Je kunt Rusland niet uit want wanneer je reist, pakken we je op en word je berecht.”

Psychologische oorlogsvoering

NoName’s doel lijkt meer psychologisch dan technisch, zegt cybersecurity platform Recorded Future, dat een rapport schreef over de infrastructuur en handelswijze van de pro-Russische groep. “Hun operaties lijken er eerder op gericht om het publieke vertrouwen te ondermijnen, dan om langdurige uitval van diensten te veroorzaken”, zegt een woordvoerder.

De actie van Europol heeft technisch gezien misschien weinig effect, strategisch was het waardevol, aldus de woordvoerder. “Door hoofdverdachten op de EU-lijst van meest gezochte personen te zetten neem je de anonimiteit van de groep weg. Zo laten de autoriteiten zien dat het om individuen gaat en niet om een dreiging zonder gezicht."

Dit artikel kwam tot stand in samenwerking met VRT NWS.