Flashback, som har sina servrar hos Bahnhof, låg nere under stora delar av helgen den 15–16 februari. Sedan dess har den bara sporadiskt fungerat. Bahnhofs VD Jon Karlung bekräftar för Ekot att logganalyserna pekar mot den proryska hackergruppen No Names – det informella namnet på en grupp som i cybersäkerhetskretsar betecknas NoName057(16).
”Det går inte att säga hundra procent ännu, men med ganska stor sannolikhet så kommer det från en rysk grupp som heter No Names”, sade Karlung till TV4, och beskrev attacken som ovanligt kraftfull för att vara riktad mot en enskild sajt. Karlung kallade händelsen ”ett slag mot demokratin” och framhöll Flashbacks roll som yttrandefrihetsforum.
Rysk cyberkrigsgrupp med tusentals frivilliga
NoName057(16) är en prorysk ”hacktivist”-grupp som bildades i mars 2022, strax efter Rysslands invasion av Ukraina. Gruppen bedriver DDoS-attacker – överbelastningsattacker – mot ukrainska, amerikanska och europeiska mål. Säkerhetsföretaget Recorded Future hävdar att gruppen fungerar som en inofficiell rysk cyberkrigstillgång, möjligen med koppling till den ryska militära underrättelsetjänsten GRU, uppger det svenska cybersäkerhetsföretaget Truesec.
Gruppen rekryterar frivilliga via Telegram och har vid sina toppar haft omkring 4 000 aktiva deltagare som laddar ned och använder gruppens egenutvecklade attackverktyg DDoSia. Enligt Recorded Future genomförde gruppen i genomsnitt 50 attacker per dag under perioden juni 2024 till juli 2025, med Sverige som ett av de mest drabbade länderna – 5,29 procent av alla attacker riktades mot svenska mål.
Sverige har varit en prioriterad måltavla sedan Nato-anslutningen. Under februari 2024 registrerade nätverksföretaget Netscout 1 524 simultana DDoS-attacker mot svenska organisationer samma dag som Sveriges Nato-medlemskap godkändes. Tidigare mål har inkluderat Finansdepartementets webbplatser, tågbolaget SJ, svenska myndigheter och banker.
Europol-insats slog till – men gruppen återhämtade sig
I juli 2025 genomförde Europol och Eurojust ”Operation Eastwood”, en internationell insats mot gruppen i tolv länder, inklusive Sverige. Över hundra servrar beslagtogs och arresteringsorder utfärdades mot sex ryska medborgare, varav två bedöms vara huvudansvariga. Två personer greps i Frankrike och Spanien.
Insatsen slog tillfälligt ut gruppens infrastruktur, men som säkerhetsexperter förutspådde återuppbyggde NoName057(16) sin kapacitet inom månader. Redan i november 2025 genomförde gruppen koordinerade attacker mot svenska och danska kommuner och myndigheter, enligt Truesec som en ”hämndkampanj” för Operation Eastwood. Attacken mot Flashback framstår som en fortsättning på detta mönster.
Att en prorysk grupp väljer att slå mot just Flashback väckte dock viss förvåning. ”Det är lite konstigt, för den största delen av Flashbacks användare är i stort sett bara svenskar, det är en väldigt avgränsad grupp”, sade Karlung till TV4. Man hade kunnat tillägga att Flashbacks yttrandefrihet gör det till ett av få forum där proryska åsikter släpps fram utan censur, vilket gör att det framstår som en märklig måltavla. Flashback-användare har dock, under de korta perioder sajten varit uppe, pekat på att forumet dagarna före attacken översvämmades av proryska propagandatrådar som möttes av överväldigande negativa reaktioner – ett mönster som tidigare observerats innan DDoS-attacker.
Det är inte första gången hackare ger sig på Flashback. 2015 anlitade Aftonbladet den vänsterextrema och våldsbejakande Researchgruppen för att komma över en stor mängd privata uppgifter som hackats fram – oklart om av Researchgruppen själva eller av oberoende hackare. Detta ledde till viss kritik då Aftonbladets aktivister/journalister plöjde igenom hundratusentals användares privata uppgifter i jakt på ”rasister” att hänga ut.
Forumet har även drabbats av DDoS-attacker tidigare, bland annat i september 2022, men den nuvarande är den mest omfattande och uthålliga någonsin.
