Die niederländischen Behörden haben etwa 800 Server beschlagnahmt und zwei Verdächtige festgenommen, die beschuldigt werden, Hosting-Infrastruktur betrieben zu haben, die zur Unterstützung von Cyberangriffen, Desinformationskampagnen und Einflussoperationen im Zusammenhang mit sanktionierten russischen Einrichtungen diente.
Die Operation wurde vom niederländischen Finanzinformations- und Untersuchungsdienst (FIOD) durchgeführt, der bestätigte, dass Razzien in Rechenzentren in Dronten und Schiphol-Rijk sowie weitere Durchsuchungen in Enschede und Almere durchgeführt wurden. Die Ermittler beschlagnahmten während der Operation außerdem Laptops, Mobiltelefone und Geschäftsverwaltungsunterlagen.
Die Behörden nahmen einen 57-jährigen Mann fest, der als Direktor des Hosting-Unternehmens identifiziert wurde, sowie einen 39-jährigen Mann, der beschuldigt wird, einen separaten Internetanbieter zu betreiben, der mit der Infrastruktur verbunden ist. Laut niederländischen Ermittlern leisteten beide Verdächtigen indirekt technische und wirtschaftliche Unterstützung für russische und belarussische Einrichtungen, die derzeit unter EU-Sanktionen stehen.
Die Untersuchung konzentriert sich auf Stark Industries, ein Hosting-Unternehmen, das im Februar 2022 gegründet wurde, kurz vor Russlands Einmarsch in die Ukraine. Die Europäische Union sanktionierte das Unternehmen 2025 wegen Vorwürfen, dass seine Infrastruktur Cyberangriffe und Destabilisierungskampagnen gegen europäische Organisationen und Institutionen unterstützte.
Niederländische Ermittler gehen davon aus, dass die Ausrichtungsaktion versuchte, die Sanktionen nach der Verhängung der EU-Beschränkungen zu umgehen. Behörden behaupten, die mit Stark Industries verbundene Infrastruktur sei an ein neu gegründetes niederländisches Unternehmen übertragen worden, das angeblich als Tarnorganisation fungierte, sodass der Betrieb unter einem anderen Namen fortgeführt werden konnte.
Berichte aus niederländischen Medien identifizierten eines der untersuchten Firmen als WorkTitans B.V., das Hosting-Dienste unter der Marke THE anbot. Gastgeber. Dänische Behörden und Internetinfrastrukturanbieter sollen das Netzwerk mit Cyberoperationen der pro-russischen Hacktivistengruppe NoName057(16) in Verbindung gebracht haben, die dafür bekannt ist, verteilte Denial-of-Service-Angriffe gegen Regierungen, öffentliche Institutionen und kritische Infrastrukturen in ganz Europa durchzuführen.
Die Behörden ermitteln außerdem gegen Mirhosting, einen Infrastrukturanbieter, dem vorgeworfen wird, physische Server, Colocation-Dienste und hochkapazitive Internetverbindungen über große europäische Internetvermittlungsstellen bereitzustellen. Ermittler gehen davon aus, dass das Unternehmen als Transportschicht agierte und bösartigen Datenverkehr durch europäische Infrastruktur leitete.
Das niederländische Vorgehen verdeutlicht die zunehmenden Bemühungen europäischer Behörden, die Infrastruktur zu bekämpfen, die Cyberkriminalität und Einflussoperationen ermöglicht, anstatt sich ausschließlich auf einzelne Hackergruppen zu konzentrieren. Ermittler sagen, dass Hosting-Anbieter, die wissentlich bösartige Aktivitäten unterstützen, eine entscheidende Rolle bei der Aufrechterhaltung von Cyberangriffen, Ransomware-Kampagnen, Botnetzen und Desinformationsoperationen spielen können.
Cybersicherheitsforscher warnen seit langem, dass bestimmte Hosting-Anbieter sogenannte “kugelsichere Hosting”-Dienste anbieten, die darauf ausgelegt sind, Missbrauchsbeschwerden zu ignorieren und cyberkriminelle Infrastruktur vor Entfernungen zu schützen. Diese Dienste werden häufig von Ransomware-Banden, Phishing-Betreibern, Malware-Distributoren und staatlich ausgerichteten Bedrohungsakteuren genutzt.
Die niederländischen Behörden erklärten, die Ermittlungen seien weiterhin angegangen und weitere Festnahmen oder Beschlagnahmungen der Infrastruktur könnten folgen, da die forensische Analyse der beschlagnahmten Server fortgesetzt wird.