Les autorités néerlandaises ont saisi environ 800 serveurs et arrêté deux suspects accusés d’avoir exploité une infrastructure d’hébergement destinée à soutenir des cyberattaques, des campagnes de désinformation et des opérations d’influence liées à des entités russes sanctionnées.
L’opération a été menée par le Service d’information et d’enquête fiscale des Pays-Bas (FIOD), qui a confirmé que des perquisitions avaient été menées dans des centres de données à Dronten et Schiphol-Rijk, ainsi que des recherches supplémentaires à Enschede et Almere. Les enquêteurs ont également confisqué des ordinateurs portables, des téléphones portables et des dossiers administratifs pendant l’opération.
Les autorités ont arrêté un homme de 57 ans identifié comme le directeur de la société d’hébergement et un homme de 39 ans accusé d’exploiter un autre fournisseur de connectivité internet connecté à l’infrastructure. Selon les enquêteurs néerlandais, les deux suspects ont indirectement fourni un soutien technique et économique à des entités russes et biélorusses actuellement sous sanctions de l’Union européenne.
L’enquête porte sur Stark Industries, une société d’hébergement créée en février 2022, peu avant l’invasion russe de l’Ukraine. L’Union européenne a sanctionné l’entreprise en 2025 suite à des allégations selon lesquelles son infrastructure aurait soutenu des cyberattaques et des campagnes de déstabilisation visant des organisations et institutions européennes.
Les enquêteurs néerlandais estiment que l’opération hôte a tenté de contourner les sanctions après l’imposition des restrictions de l’UE. Les autorités affirment que les infrastructures liées à Stark Industries ont été transférées à une société néerlandaise nouvellement créée qui aurait fonctionné comme une organisation écran, permettant ainsi de poursuivre ses opérations sous un autre nom.
Des rapports des médias néerlandais ont identifié l’une des entreprises enquêtées comme étant WorkTitans B.V., qui exploitait des services d’hébergement sous la marque THE. Accueillir. Les autorités danoises et les fournisseurs d’infrastructures internet auraient lié le réseau à des opérations cybernétiques menées par le groupe hacktiviste pro-russe NoName057(16), connu pour lancer des attaques de déni de service distribué contre des gouvernements, des institutions publiques et des infrastructures critiques à travers l’Europe.
Les autorités enquêtent également sur Mirhosting, un fournisseur d’infrastructures accusé de fournir des serveurs physiques, des services de colocation et une connectivité internet à haute capacité via les principaux échanges internet européens. Les enquêteurs estiment que l’entreprise agissait comme une couche de transport, acheminant le trafic malveillant via les infrastructures européennes.
La répression néerlandaise met en lumière les efforts croissants des autorités européennes pour cibler les infrastructures permettant des opérations de cybercriminalité et d’influence, plutôt que de se concentrer uniquement sur des groupes de hackers individuels. Les enquêteurs affirment que les fournisseurs d’hébergement qui soutiennent sciemment des activités malveillantes peuvent jouer un rôle crucial dans la gestion des cyberattaques, des campagnes de ransomware, des botnets et des opérations de désinformation.
Les chercheurs en cybersécurité avertissent depuis longtemps que certains fournisseurs d’hébergement proposent des services dits « bulletproof hosting » conçus pour ignorer les plaintes d’abus et protéger l’infrastructure cybercriminelle contre les suppressions. Ces services sont fréquemment utilisés par des groupes de ransomware, des opérateurs de phishing, des distributeurs de malwares et des acteurs malveillants alignés sur un État.
Les autorités néerlandaises ont déclaré que l’enquête était toujours en cours et que d’autres arrestations ou saisies d’infrastructures pourraient s’ensuivre, à mesure que l’analyse médico-légale des serveurs saisis se poursuit.