Nederlandse autoriteiten hebben ongeveer 800 servers in beslag genomen en twee verdachten gearresteerd die ervan worden beschuldigd hostinginfrastructuur te exploiteren die wordt gebruikt ter ondersteuning van cyberaanvallen, desinformatiecampagnes en beïnvloedingsoperaties die gelinkt zijn aan gesanctioneerde Russische entiteiten.
De operatie werd uitgevoerd door de Nederlandse Dienst voor Belastinginformatie en Onderzoek (FIOD), die bevestigde dat er invallen waren uitgevoerd in datacenters in Dronten en Schiphol-Rijk, samen met aanvullende zoekacties in Enschede en Almere. Onderzoekers namen tijdens de operatie ook laptops, mobiele telefoons en bedrijfsadministratiegegevens in beslag.
De autoriteiten arresteerden een 57-jarige man die werd geïdentificeerd als directeur van het hostingbedrijf en een 39-jarige man die ervan werd beschuldigd een aparte internetprovider te exploiteren die op de infrastructuur was aangesloten. Volgens Nederlandse onderzoekers hebben beide verdachten indirect technische en economische steun verleend aan Russische en Wit-Russische entiteiten die momenteel onder sancties van de Europese Unie staan.
Het onderzoek richt zich op Stark Industries, een hostingbedrijf dat in februari 2022 werd opgericht, kort voor de invasie van Oekraïne door Rusland. De Europese Unie heeft het bedrijf in 2025 gesanctioneerd vanwege beschuldigingen dat haar infrastructuur cyberaanvallen en destabiliseringscampagnes ondersteunde gericht op Europese organisaties en instellingen.
Nederlandse onderzoekers denken dat de gastorganisatie probeerde de sancties te omzeilen nadat de EU-beperkingen waren opgelegd. Autoriteiten beweren dat de infrastructuur die verbonden was aan Stark Industries werd overgedragen aan een nieuw opgericht Nederlands bedrijf dat naar verluidt als dekmantelorganisatie fungeerde, waardoor de activiteiten onder een andere naam konden worden voortgezet.
Berichten uit de Nederlandse media identificeerden een van de onderzochte bedrijven als WorkTitans B.V., dat hostingdiensten exploiteerde onder het merk THE. Hosten. Deense autoriteiten en internetinfrastructuuraanbieders zouden het netwerk hebben gekoppeld aan cyberoperaties uitgevoerd door de pro-Russische hacktivistengroep NoName057(16), bekend om het lanceren van verspreide denial-of-service-aanvallen op overheden, publieke instellingen en kritieke infrastructuur in heel Europa.
De autoriteiten onderzoeken ook Mirhosting, een infrastructuuraanbieder die ervan wordt beschuldigd fysieke servers, colocatiediensten en internetverbinding met hoge capaciteit te leveren via grote Europese internetuitwisselingen. Onderzoekers denken dat het bedrijf als transportlaag optrad en kwaadaardig verkeer via Europese infrastructuur leidde.
De Nederlandse aanpak benadrukt de toenemende inspanningen van Europese autoriteiten om de infrastructuur die cybercriminaliteit mogelijk maakt te richten en te beïnvloeden, in plaats van zich uitsluitend te richten op individuele hackergroepen. Onderzoekers zeggen dat hostingproviders die bewust kwaadaardige activiteiten ondersteunen, een cruciale rol kunnen spelen bij het in stand houden van cyberaanvallen, ransomwarecampagnes, botnets en desinformatieoperaties.
Cybersecurityonderzoekers waarschuwen al lang dat bepaalde hostingproviders zogenaamde “kogelvrije hostingdiensten” aanbieden die bedoeld zijn om misbruikklachten te negeren en cybercriminele infrastructuur te beschermen tegen verwijderingen. Deze diensten worden vaak gebruikt door ransomware-bendes, phishingoperators, verspreiders van malware en staatsgebonden dreigingsactoren.
Nederlandse autoriteiten verklaarden dat het onderzoek nog loopt en dat verdere arrestaties of inbeslagnames van infrastructuur kunnen volgen terwijl forensisch onderzoek van de in beslag genomen servers doorgaat.