As autoridades holandesas apreenderam aproximadamente 800 servidores e prenderam dois suspeitos acusados de operar infraestrutura de hospedagem usada para apoiar ataques cibernéticos, campanhas de desinformação e operações de influência ligadas a entidades russas sancionadas.
A operação foi realizada pelo Serviço de Informação e Investigação Fiscal (FIOD) dos Países Baixos, que confirmou que operações foram realizadas em centros de dados em Dronten e Schiphol-Rijk, além de buscas adicionais em Enschede e Almere. Os investigadores também confiscaram laptops, celulares e registros administrativos durante a operação.
As autoridades prenderam um homem de 57 anos identificado como diretor da empresa de hospedagem e um homem de 39 anos acusado de operar um provedor de conectividade de internet separado conectado à infraestrutura. Segundo investigadores holandeses, ambos os suspeitos forneceram indiretamente apoio técnico e econômico a entidades russas e bielorrussas atualmente sob sanções da União Europeia.
A investigação foca na Stark Industries, uma empresa de hospedagem fundada em fevereiro de 2022, pouco antes da invasão russa da Ucrânia. A União Europeia sancionou a empresa em 2025 sob alegações de que sua infraestrutura apoiava ataques cibernéticos e campanhas de desestabilização direcionadas a organizações e instituições europeias.
Investigadores holandeses acreditam que a operação anfitriã tentou contornar as sanções após a imposição das restrições da UE. As autoridades afirmam que a infraestrutura conectada à Stark Industries foi transferida para uma empresa holandesa recém-criada que supostamente funcionava como uma organização fachada, permitindo que as operações continuassem sob outro nome.
Reportagens da mídia holandesa identificaram uma das empresas investigadas como WorkTitans B.V., que operava serviços de hospedagem sob a marca THE. Anfitrião. Autoridades dinamarquesas e provedores de infraestrutura de internet teriam ligado a operações cibernéticas conduzidas pelo grupo hacktivista pró-Rússia NoName057(16), conhecido por lançar ataques distribuídos de negação de serviço contra governos, instituições públicas e infraestrutura crítica em toda a Europa.
As autoridades também estão investigando a Mirhosting, uma fornecedora de infraestrutura acusada de fornecer servidores físicos, serviços de colocation e conectividade de internet de alta capacidade por meio das principais centrais europeias. Investigadores acreditam que a empresa atuou como uma camada de transporte, roteando tráfego malicioso pela infraestrutura europeia.
A repressão holandesa destaca os esforços crescentes das autoridades europeias para atacar a infraestrutura que permite operações de cibercrime e influência, em vez de focar apenas em grupos individuais de hackers. Investigadores afirmam que provedores de hospedagem que apoiam conscientemente atividades maliciosas podem desempenhar um papel fundamental no sustento de ataques cibernéticos, campanhas de ransomware, botnets e operações de desinformação.
Pesquisadores de cibersegurança há muito tempo alertam que certos provedores de hospedagem oferecem os chamados serviços de “hospedagem à prova de balas”, projetados para ignorar reclamações de abuso e proteger a infraestrutura cibercriminosa contra remoções. Esses serviços são frequentemente usados por gangues de ransomware, operadores de phishing, distribuidores de malware e agentes ameaçadores alinhados ao Estado.
As autoridades holandesas afirmaram que a investigação continua em andamento e que prisões adicionais ou apreensões de infraestrutura poderiam ocorrer enquanto a análise forense dos servidores apreendidos continua.