Las autoridades holandesas han incautado aproximadamente 800 servidores y han arrestado a dos sospechosos acusados de operar infraestructuras de alojamiento utilizadas para apoyar ciberataques, campañas de desinformación y operaciones de influencia vinculadas a entidades rusas autorizadas.
La operación fue llevada a cabo por el Servicio de Información e Investigación Fiscal (FIOD) de los Países Bajos, que confirmó que se realizaron redadas en centros de datos en Dronten y Schiphol-Rijk, junto con registros adicionales en Enschede y Almere. Los investigadores también confiscaron portátiles, teléfonos móviles y registros de administración de empresas durante la operación.
Las autoridades detuvieron a un hombre de 57 años identificado como director de la empresa de alojamiento y a un hombre de 39 años acusado de operar un proveedor de conectividad a internet separado conectado a la infraestructura. Según los investigadores holandeses, ambos sospechosos proporcionaron indirectamente apoyo técnico y económico a entidades rusas y bielorrusas actualmente bajo sanciones de la Unión Europea.
La investigación se centra en Stark Industries, una empresa de alojamiento fundada en febrero de 2022, poco antes de la invasión rusa de Ucrania. La Unión Europea sancionó a la empresa en 2025 por acusaciones de que su infraestructura apoyaba ciberataques y campañas de desestabilización dirigidas a organizaciones e instituciones europeas.
Los investigadores holandeses creen que la operación anfitriona intentó eludir las sanciones tras la imposición de las restricciones de la UE. Las autoridades afirman que la infraestructura vinculada a Stark Industries fue transferida a una empresa holandesa recién creada que supuestamente funcionaba como una organización pantalla, permitiendo que las operaciones continuaran bajo otro nombre.
Informes de medios holandeses identificaron una de las empresas investigadas como WorkTitans B.V., que operaba servicios de alojamiento bajo la marca THE. Anfitrión. Las autoridades danesas y los proveedores de infraestructura de internet supuestamente vincularon la red con operaciones cibernéticas llevadas a cabo por el grupo hacktivista pro-ruso NoName057(16), conocido por lanzar ataques distribuidos de denegación de servicio contra gobiernos, instituciones públicas e infraestructuras críticas en toda Europa.
Las autoridades también están investigando a Mirhosting, un proveedor de infraestructuras acusado de suministrar servidores físicos, servicios de colocación y conectividad a internet de alta capacidad a través de los principales intercambios europeos de internet. Los investigadores creen que la empresa actuó como una capa de transporte, encaminando el tráfico malicioso a través de la infraestructura europea.
La represión holandesa pone de manifiesto los crecientes esfuerzos de las autoridades europeas para atacar la infraestructura que permite operaciones de ciberdelincuencia e influencia, en lugar de centrarse únicamente en grupos individuales de hackers. Los investigadores afirman que los proveedores de alojamiento que apoyan conscientemente actividades maliciosas pueden desempeñar un papel fundamental en el mantenimiento de ciberataques, campañas de ransomware, botnets y operaciones de desinformación.
Investigadores en ciberseguridad llevan tiempo advirtiendo que ciertos proveedores de alojamiento ofrecen los llamados servicios de “alojamiento a prueba de balas” diseñados para ignorar denuncias de abuso y proteger la infraestructura cibercriminal de las eliminaciones. Estos servicios son utilizados frecuentemente por grupos de ransomware, operadores de phishing, distribuidores de malware y actores amenazantes alineados con el Estado.
Las autoridades holandesas afirmaron que la investigación sigue en curso y que podrían producirse más detenciones o incautaciones de infraestructuras a medida que continúa el análisis forense de los servidores incautados.