800 Servidores, Quatro Nomes, Dois Irmãos: Como a Stark Industries Burlou as Sanções da UE
Uma investigação detalhada revela como a Stark Industries, sob sanções da UE, tentou manter suas operações de hospedagem, utilizando diversas empresas e migrando infraestrutura para evitar a detecção. A FIOD apreendeu mais de 800 servidores e prendeu indivíduos ligados ao esquema.
MundiX News·30 de maio de 2026·10 min de leitura·👁 18 views
Em 18 de maio de 2026, o Serviço de Impostos e Alfândega da Holanda (FIOD) apreendeu mais de 800 servidores em dois data centers próximos a Amsterdã e deteve duas pessoas. A investigação, segundo as autoridades, está relacionada a uma empresa de hospedagem registrada em Londres em 10 de fevereiro de 2022, duas semanas antes da invasão russa à Ucrânia. A empresa se chamava Stark Industries.
Entre essas duas datas, houve quatro anos, quatro nomes de hospedagem, duas jurisdições legais, a migração de dezenas de prefixos de IP entre sistemas autônomos e uma família moldava que foi sancionada pela UE. Este artigo detalha a cronologia, baseada em relatórios abertos da Recorded Future, Censys, GreyNoise, KrebsOnSecurity e da mídia holandesa, para entender o que aconteceu, quem tentou esconder o quê e como tudo foi descoberto.
Ato 1. O que foi construído
A Stark Industries Solutions Ltd. foi registrada no Reino Unido em 10 de fevereiro de 2022, com endereço em 71–75 Shelton Street, Covent Garden, Londres. No documento de sanções da UE, esse endereço é descrito como um “maildrop”, ou seja, uma caixa postal sem atividade de escritório real. Segundo a UE, a empresa era controlada por Iurie e Ivan Neculiti, conhecidos na indústria pela PQ.Hosting, uma empresa moldava. O Conselho da UE alegou que a Stark fornecia hospedagem de servidores com localizações em todo o mundo e ajudava atores estatais e afiliados russos a conduzir operações de informação e ataques cibernéticos contra a UE e países terceiros. Em 20 de maio de 2025, a Stark Industries, Iurie e Ivan Neculiti foram incluídos na lista de sanções da UE, descritos como “intermediários de infraestrutura” para atores russos. Isso significava a proibição de trabalhar com a empresa dentro da UE e o congelamento de ativos, efetivamente encerrando seus negócios na Europa. Mas não foi bem assim.
Ato 2. Como a infraestrutura foi preservada
Nove dias após as sanções, em 29 de maio de 2025, a PQ.Hosting anunciou publicamente sua mudança de marca para THE.Hosting. A declaração afirmava que a estrutura anterior estava sendo descontinuada e que os ativos, infraestrutura e serviços seriam transferidos para uma nova empresa. No site da THE.Hosting, a WorkTitans B.V., uma empresa holandesa que se apresentava publicamente como uma empresa de recrutamento, foi listada como a entidade legal. Mais tarde, a menção à WorkTitans foi discretamente removida do site.
A Recorded Future, em um relatório do Insikt Group, descreveu o que aconteceu tecnicamente. Segundo eles, a infraestrutura da Stark começou a se mover antes mesmo do anúncio das sanções. Parte dos prefixos de IP de sua rede foi transferida para a UFO Hosting LLC, uma empresa registrada no RIPE em 13 de março de 2025, com um proprietário russo e o site ufo.hosting. Em 16 de maio de 2025, quatro dias antes das sanções, 21 prefixos de IP foram anunciados no sistema autônomo da UFO Hosting, todos transferidos da Stark Industries, com a maioria das transferências ocorrendo em 13 de abril de 2025. Domínios historicamente pertencentes à Stark e PQ.Hosting, como bill-migration-db.stark-industries.solutions, russia.stark-industries.solutions, registry.pq.hosting e pq.company, passaram a apontar para o espaço da UFO. A conclusão do Insikt Group foi que a UFO Hosting foi criada ou reutilizada como uma plataforma para a infraestrutura russa da Stark, a fim de manter as operações sob as sanções.
A conexão entre as três entidades também foi encontrada por meio de registros técnicos do RIPE. Os objetos de manutenção PQHS-MNT, UFO42-MNT e THE-HOSTING-MNT – para PQ.Hosting, UFO Hosting e THE.Hosting, respectivamente – foram vinculados ao mesmo endereço de e-mail do Gmail. Um novo objeto organizacional na WorkTitans B.V. com contatos no domínio the.hosting apareceu no RIPE um dia antes da mudança de marca pública, em 28 de maio de 2025.
Pesquisadores de rede, como Censys e GreyNoise, observaram o mesmo padrão. O antigo sistema autônomo da Stark (AS44477) hospedava mais de 200.000 hosts em maio-junho de 2025, mas começou a diminuir. A nova AS209847, associada à WorkTitans e THE.Hosting, por outro lado, cresceu. No final de novembro, a AS44477 foi completamente abandonada. A Censys notou que os mesmos padrões de nomes de hosts Windows/RDP estavam saindo do antigo sistema autônomo e aparecendo no novo, indicando a migração de máquinas virtuais específicas. A GreyNoise registrou um pico de atividade da AS44477 de 18 de agosto a 15 de setembro de 2025, uma queda acentuada na semana de 20 de outubro e um desaparecimento quase completo em 10 de novembro. A AS209847 teve um padrão espelhado: começou a funcionar em 25 de agosto e continuou após o desaparecimento da AS44477. A GreyNoise resumiu isso como uma “operação de rebranding da Stark Industries”.
Ato 3. Como foram pegos
Em novembro de 2025, houve eleições municipais na Dinamarca. De 13 a 19 de novembro, a semana da votação, recursos governamentais dinamarqueses foram alvo de ataques pró-russos. De acordo com o De Volkskrant, citado pelo NL Times, a WorkTitans e a MIRhosting estavam entre as redes mais utilizadas nesses ataques. Em 22 de maio de 2026, a FIOD anunciou que, em 18 de maio, havia detido duas pessoas por violar as sanções. As pessoas, de Amsterdã e Haia, tinham 57 e 39 anos. Buscas foram realizadas em três escritórios em Enschede e Almere e em dois data centers – Dronten e Schiphol-Rijk. Documentos, laptops, telefones e mais de 800 servidores foram apreendidos.
O nome Stark não foi mencionado no comunicado de imprensa da FIOD. No entanto, a descrição coincidiu: uma empresa de hospedagem registrada em 10 de fevereiro de 2022, sancionada pela UE em 20 de maio de 2025, que transferiu sua infraestrutura para uma empresa holandesa. De Volkskrant, NL Times e KrebsOnSecurity nomearam os suspeitos: Youssef Zinad, que, segundo KrebsOnSecurity, controlava a WorkTitans, e Andrey Nesterenko, fundador da MIRhosting. Ambos são suspeitos, mas sua culpa não foi comprovada em tribunal.
A MIRhosting foi descrita como a empresa que fornecia servidores físicos, colocation e conexão a grandes pontos de troca de internet em Amsterdã e Frankfurt. A empresa nega qualquer envolvimento em atividades ilegais. Nesterenko afirmou que a MIRhosting não apoia o cibercrime, a evasão de sanções ou atividades ilegais, e que as acusações e a detenção causaram sérios danos a ele e à empresa. Ele disse que a transição para the.hosting não foi projetada para contornar as sanções: o equipamento e a carteira de clientes foram transferidos para a WorkTitans antes de sua criação, e os serviços com os irmãos Neculiti foram interrompidos quando as sanções entraram em vigor em maio de 2025. A MIRhosting também afirmou que, de acordo com os resultados preliminares de uma inspeção interna, não há sinais de que os serviços sob seu controle tenham sido usados para influenciar as eleições na Dinamarca, e que nenhuma anomalia no tráfego de rede foi observada durante o período especificado. Nesterenko também disse que se reserva o direito de tomar medidas contra, segundo ele, publicações falsas. Paralelamente, a MIRhosting anunciou uma inspeção interna e suspendeu temporariamente os serviços da WorkTitans.
Um detalhe importante é que, de acordo com KrebsOnSecurity, Zinad, até recentemente, aparecia na correspondência de Nesterenko como parte da equipe jurídica da MIRhosting e usava um e-mail no domínio mirhosting.com. Nesterenko mais tarde afirmou que Zinad não era um funcionário, mas estava ajudando em uma base B2B. Quando o De Volkskrant tentou entrar em contato com Zinad, ele não respondeu a chamadas, e-mails ou WhatsApp, e após uma tentativa de contato via LinkedIn, ele fechou o acesso à sua página.
Cronologia
10 de fevereiro de 2022: Registro da Stark Industries Solutions Ltd. em Londres (14 dias antes da invasão).
Março–abril de 2025: Prefixos de IP da Stark começam a ser transferidos para a recém-criada UFO Hosting LLC.
20 de maio de 2025: Stark e os irmãos Neculiti são sancionados pela UE.
28–29 de maio de 2025: Criação do objeto RIPE da WorkTitans B.V. e rebranding público de PQ.Hosting para THE.Hosting.
Agosto–novembro de 2025: Censys e GreyNoise registram a migração de atividade da AS44477 para AS209847.
13–19 de novembro de 2025: Ataques pró-russos durante a semana das eleições municipais na Dinamarca; WorkTitans e MIRhosting estão entre as redes mais ativas.
18 de maio de 2026: Operação FIOD: buscas, duas detenções, mais de 800 servidores apreendidos.
Como não cair em armadilhas: 5 verificações simples
Acesse o site do provedor e responda a estas cinco perguntas:
Existem documentos legais adequados? Abra os Termos de Serviço, Política de Privacidade, Sobre. Devem ser textos completos, não três parágrafos sobre “nós nos preocupamos com seus dados”. Se não houver documentos, essa é a resposta.
Como entrar em contato com você? O padrão é um sistema de tickets, helpdesk, e-mail corporativo, de preferência telefone. Suspeito é apenas um chat do Telegram.
Como você aceita pagamentos? Cartão, conta bancária, faturas – negócios normais. Apenas criptomoeda sem alternativas e sem documentos – ruim.
Existe uma página de status e um histórico de incidentes? Uma página pública com uma lista de falhas anteriores é um sinal de uma abordagem madura. A ausência dela, ou “tudo sempre verde”, é motivo para pensar.
O mais importante: não mantenha seu projeto em um só lugar. Faça backup, de preferência, com outro provedor.
Exemplos de provedores transparentes (em 2026)
Hetzner: Empresa alemã, em operação desde 1997, data centers na Alemanha, Finlândia, EUA e Cingapura.
OVHcloud: Grande provedor francês, empresa pública na Euronext.
DigitalOcean: Cloud americano para desenvolvedores, listado na NYSE (ticker DOCN).
Vultr: Entidade legal The Constant Company, LLC, explicitamente indicada nos Termos de Serviço.
Akamai Cloud (antigo Linode): Parte da Akamai após o acordo de 2022.
Scaleway: Provedor francês, parte do grupo Iliad (o mesmo da Free).
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Em 18 de maio de 2026, o Serviço de Impostos e Alfândega da Holanda (FIOD) apreendeu mais de 800 servidores em dois data centers próximos a Amsterdã e deteve duas pessoas. A investigação, segundo as autoridades, está relacionada a uma empresa de hospedagem registrada em Londres em 10 de fevereiro de 2022, duas semanas antes da invasão russa à Ucrânia. A empresa se chamava Stark Industries.
Entre essas duas datas, houve quatro anos, quatro nomes de hospedagem, duas jurisdições legais, a migração de dezenas de prefixos de IP entre sistemas autônomos e uma família moldava que foi sancionada pela UE. Este artigo detalha a cronologia, baseada em relatórios abertos da Recorded Future, Censys, GreyNoise, KrebsOnSecurity e da mídia holandesa, para entender o que aconteceu, quem tentou esconder o quê e como tudo foi descoberto.
Ato 1. O que foi construído
A Stark Industries Solutions Ltd. foi registrada no Reino Unido em 10 de fevereiro de 2022, com endereço em 71–75 Shelton Street, Covent Garden, Londres. No documento de sanções da UE, esse endereço é descrito como um “maildrop”, ou seja, uma caixa postal sem atividade de escritório real. Segundo a UE, a empresa era controlada por Iurie e Ivan Neculiti, conhecidos na indústria pela PQ.Hosting, uma empresa moldava. O Conselho da UE alegou que a Stark fornecia hospedagem de servidores com localizações em todo o mundo e ajudava atores estatais e afiliados russos a conduzir operações de informação e ataques cibernéticos contra a UE e países terceiros. Em 20 de maio de 2025, a Stark Industries, Iurie e Ivan Neculiti foram incluídos na lista de sanções da UE, descritos como “intermediários de infraestrutura” para atores russos. Isso significava a proibição de trabalhar com a empresa dentro da UE e o congelamento de ativos, efetivamente encerrando seus negócios na Europa. Mas não foi bem assim.
Ato 2. Como a infraestrutura foi preservada
Nove dias após as sanções, em 29 de maio de 2025, a PQ.Hosting anunciou publicamente sua mudança de marca para THE.Hosting. A declaração afirmava que a estrutura anterior estava sendo descontinuada e que os ativos, infraestrutura e serviços seriam transferidos para uma nova empresa. No site da THE.Hosting, a WorkTitans B.V., uma empresa holandesa que se apresentava publicamente como uma empresa de recrutamento, foi listada como a entidade legal. Mais tarde, a menção à WorkTitans foi discretamente removida do site.
A Recorded Future, em um relatório do Insikt Group, descreveu o que aconteceu tecnicamente. Segundo eles, a infraestrutura da Stark começou a se mover antes mesmo do anúncio das sanções. Parte dos prefixos de IP de sua rede foi transferida para a UFO Hosting LLC, uma empresa registrada no RIPE em 13 de março de 2025, com um proprietário russo e o site ufo.hosting. Em 16 de maio de 2025, quatro dias antes das sanções, 21 prefixos de IP foram anunciados no sistema autônomo da UFO Hosting, todos transferidos da Stark Industries, com a maioria das transferências ocorrendo em 13 de abril de 2025. Domínios historicamente pertencentes à Stark e PQ.Hosting, como bill-migration-db.stark-industries.solutions, russia.stark-industries.solutions, registry.pq.hosting e pq.company, passaram a apontar para o espaço da UFO. A conclusão do Insikt Group foi que a UFO Hosting foi criada ou reutilizada como uma plataforma para a infraestrutura russa da Stark, a fim de manter as operações sob as sanções.
A conexão entre as três entidades também foi encontrada por meio de registros técnicos do RIPE. Os objetos de manutenção PQHS-MNT, UFO42-MNT e THE-HOSTING-MNT – para PQ.Hosting, UFO Hosting e THE.Hosting, respectivamente – foram vinculados ao mesmo endereço de e-mail do Gmail. Um novo objeto organizacional na WorkTitans B.V. com contatos no domínio the.hosting apareceu no RIPE um dia antes da mudança de marca pública, em 28 de maio de 2025.
Pesquisadores de rede, como Censys e GreyNoise, observaram o mesmo padrão. O antigo sistema autônomo da Stark (AS44477) hospedava mais de 200.000 hosts em maio-junho de 2025, mas começou a diminuir. A nova AS209847, associada à WorkTitans e THE.Hosting, por outro lado, cresceu. No final de novembro, a AS44477 foi completamente abandonada. A Censys notou que os mesmos padrões de nomes de hosts Windows/RDP estavam saindo do antigo sistema autônomo e aparecendo no novo, indicando a migração de máquinas virtuais específicas. A GreyNoise registrou um pico de atividade da AS44477 de 18 de agosto a 15 de setembro de 2025, uma queda acentuada na semana de 20 de outubro e um desaparecimento quase completo em 10 de novembro. A AS209847 teve um padrão espelhado: começou a funcionar em 25 de agosto e continuou após o desaparecimento da AS44477. A GreyNoise resumiu isso como uma “operação de rebranding da Stark Industries”.
Ato 3. Como foram pegos
Em novembro de 2025, houve eleições municipais na Dinamarca. De 13 a 19 de novembro, a semana da votação, recursos governamentais dinamarqueses foram alvo de ataques pró-russos. De acordo com o De Volkskrant, citado pelo NL Times, a WorkTitans e a MIRhosting estavam entre as redes mais utilizadas nesses ataques. Em 22 de maio de 2026, a FIOD anunciou que, em 18 de maio, havia detido duas pessoas por violar as sanções. As pessoas, de Amsterdã e Haia, tinham 57 e 39 anos. Buscas foram realizadas em três escritórios em Enschede e Almere e em dois data centers – Dronten e Schiphol-Rijk. Documentos, laptops, telefones e mais de 800 servidores foram apreendidos.
O nome Stark não foi mencionado no comunicado de imprensa da FIOD. No entanto, a descrição coincidiu: uma empresa de hospedagem registrada em 10 de fevereiro de 2022, sancionada pela UE em 20 de maio de 2025, que transferiu sua infraestrutura para uma empresa holandesa. De Volkskrant, NL Times e KrebsOnSecurity nomearam os suspeitos: Youssef Zinad, que, segundo KrebsOnSecurity, controlava a WorkTitans, e Andrey Nesterenko, fundador da MIRhosting. Ambos são suspeitos, mas sua culpa não foi comprovada em tribunal.
A MIRhosting foi descrita como a empresa que fornecia servidores físicos, colocation e conexão a grandes pontos de troca de internet em Amsterdã e Frankfurt. A empresa nega qualquer envolvimento em atividades ilegais. Nesterenko afirmou que a MIRhosting não apoia o cibercrime, a evasão de sanções ou atividades ilegais, e que as acusações e a detenção causaram sérios danos a ele e à empresa. Ele disse que a transição para the.hosting não foi projetada para contornar as sanções: o equipamento e a carteira de clientes foram transferidos para a WorkTitans antes de sua criação, e os serviços com os irmãos Neculiti foram interrompidos quando as sanções entraram em vigor em maio de 2025. A MIRhosting também afirmou que, de acordo com os resultados preliminares de uma inspeção interna, não há sinais de que os serviços sob seu controle tenham sido usados para influenciar as eleições na Dinamarca, e que nenhuma anomalia no tráfego de rede foi observada durante o período especificado. Nesterenko também disse que se reserva o direito de tomar medidas contra, segundo ele, publicações falsas. Paralelamente, a MIRhosting anunciou uma inspeção interna e suspendeu temporariamente os serviços da WorkTitans.
Um detalhe importante é que, de acordo com KrebsOnSecurity, Zinad, até recentemente, aparecia na correspondência de Nesterenko como parte da equipe jurídica da MIRhosting e usava um e-mail no domínio mirhosting.com. Nesterenko mais tarde afirmou que Zinad não era um funcionário, mas estava ajudando em uma base B2B. Quando o De Volkskrant tentou entrar em contato com Zinad, ele não respondeu a chamadas, e-mails ou WhatsApp, e após uma tentativa de contato via LinkedIn, ele fechou o acesso à sua página.
Cronologia
10 de fevereiro de 2022: Registro da Stark Industries Solutions Ltd. em Londres (14 dias antes da invasão).
Março–abril de 2025: Prefixos de IP da Stark começam a ser transferidos para a recém-criada UFO Hosting LLC.
20 de maio de 2025: Stark e os irmãos Neculiti são sancionados pela UE.
28–29 de maio de 2025: Criação do objeto RIPE da WorkTitans B.V. e rebranding público de PQ.Hosting para THE.Hosting.
Agosto–novembro de 2025: Censys e GreyNoise registram a migração de atividade da AS44477 para AS209847.
13–19 de novembro de 2025: Ataques pró-russos durante a semana das eleições municipais na Dinamarca; WorkTitans e MIRhosting estão entre as redes mais ativas.
18 de maio de 2026: Operação FIOD: buscas, duas detenções, mais de 800 servidores apreendidos.
Como não cair em armadilhas: 5 verificações simples
Acesse o site do provedor e responda a estas cinco perguntas:
Existem documentos legais adequados? Abra os Termos de Serviço, Política de Privacidade, Sobre. Devem ser textos completos, não três parágrafos sobre “nós nos preocupamos com seus dados”. Se não houver documentos, essa é a resposta.
Como entrar em contato com você? O padrão é um sistema de tickets, helpdesk, e-mail corporativo, de preferência telefone. Suspeito é apenas um chat do Telegram.
Como você aceita pagamentos? Cartão, conta bancária, faturas – negócios normais. Apenas criptomoeda sem alternativas e sem documentos – ruim.
Existe uma página de status e um histórico de incidentes? Uma página pública com uma lista de falhas anteriores é um sinal de uma abordagem madura. A ausência dela, ou “tudo sempre verde”, é motivo para pensar.
O mais importante: não mantenha seu projeto em um só lugar. Faça backup, de preferência, com outro provedor.
Exemplos de provedores transparentes (em 2026)
Hetzner: Empresa alemã, em operação desde 1997, data centers na Alemanha, Finlândia, EUA e Cingapura.
OVHcloud: Grande provedor francês, empresa pública na Euronext.
DigitalOcean: Cloud americano para desenvolvedores, listado na NYSE (ticker DOCN).
Vultr: Entidade legal The Constant Company, LLC, explicitamente indicada nos Termos de Serviço.
Akamai Cloud (antigo Linode): Parte da Akamai após o acordo de 2022.
Scaleway: Provedor francês, parte do grupo Iliad (o mesmo da Free).
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
