Holanda Apreende 800 Servidores e Prende 2 por Auxílio a Ciberataques
Autoridades holandesas prenderam os co-proprietários de duas empresas de hospedagem na Internet por operar infraestrutura de TI usada pela Rússia para realizar ciberataques e campanhas de desinformação. A investigação se concentrou na Stark Industries, que se tornou fonte de ataques DDoS e fornecedora de serviços de anonimato em ataques ligados a grupos de hackers russos.
MundiX News·26 de maio de 2026·7 min de leitura·👁 3 views
As autoridades na Holanda prenderam os co-proprietários de duas empresas relacionadas de hospedagem na Internet por operar infraestrutura de TI usada pela Rússia para realizar ciberataques, operações de influência e campanhas de desinformação dentro da União Europeia. Os dois homens foram o foco de uma reportagem de 2025 do KrebsOnSecurity sobre como suas empresas de hospedagem assumiram o controle da infraestrutura técnica da Stark Industries Solutions, um provedor de serviços de Internet sancionado no ano passado pela UE como um palco frequente para trapaças cibernéticas das agências de inteligência da Rússia.
A agência de crimes financeiros holandesa, FIOD, prendeu um homem de 57 anos de Amsterdã e outro de 39 anos de Haia em 18 de maio, acusando-os de violar a lei de sanções ao disponibilizar recursos econômicos, direta ou indiretamente, a entidades sancionadas pela UE. A investigação holandesa se concentra na Stark Industries, um provedor de hospedagem em expansão que surgiu apenas duas semanas antes da invasão da Ucrânia pela Rússia. Como detalhado em uma análise aprofundada de maio de 2024, a Stark rapidamente se tornou a fonte de ataques distribuídos de negação de serviço (DDoS) em massa contra alvos europeus e emergiu como um dos principais fornecedores de serviços de proxy e anonimato que apareceram repetidamente em ciberataques ligados a grupos de hackers apoiados pela Rússia.
Esse relatório identificou dois irmãos moldavos — Ivan e Yuri Neculiti e sua empresa PQHosting — que estavam fornecendo um dos dois principais canais da Stark para a Internet maior. Em maio de 2025, a UE sancionou a PQHosting e os irmãos Neculiti por auxiliar nos esforços de guerra híbrida da Rússia. Mas, como KrebsOnSecurity observou em setembro de 2025, essas sanções não conseguiram atingir a conexão restante da Stark com a Internet — um provedor de serviços de Internet com sede na Holanda chamado MIRhosting. A MIRhosting é operada por Andrey Nesterenko, um russo de 39 anos que administra o negócio na Holanda. A notícia de que a PQHosting e os irmãos Neculiti estavam prestes a ser sancionados pela UE vazou na mídia quase duas semanas antes do anúncio das sanções no ano passado. Durante esse tempo, os ativos da rede Stark foram transferidos da PQHosting para uma nova entidade chamada the[.]hosting, sob o controle da entidade holandesa WorkTitans BV. E, como nosso relatório de setembro de 2025 mostrou, a WorkTitans era controlada por Nesterenko e um homem de 57 anos de Amsterdã chamado Youssef Zinad. Além disso, a WorkTitans estava obtendo conectividade com a Internet maior apenas por meio da MIRhosting, onde Zinad havia trabalhado anteriormente.
Em 18 de maio, investigadores de crimes financeiros holandeses prenderam Nesterenko e Zinad e revistaram três empresas em Enschede e Almere e dois data centers em Dronten e Schiphol-Rijk. Uma declaração das autoridades holandesas disse que eles também apreenderam laptops, telefones e mais de 800 servidores. De Volkskrant disse que revisou dados mostrando que WorkTitans e MIRhosting foram as redes mais usadas em ataques pró-russos a órgãos do governo dinamarquês entre 13 e 19 de novembro de 2025, a semana das eleições municipais da Dinamarca. A publicação escreveu que, antes da prisão de Nesterenko, o fundador da MIRhosting negou que soubesse que seus servidores haviam sido mal utilizados por criminosos cibernéticos pró-russos. "Ele disse que havia encerrado todos os serviços com os irmãos Neculiti quando as sanções da UE entraram em vigor em maio de 2025", e que ele "reservou todos os direitos de tomar medidas contra 'publicações prejudiciais e incorretas'", escreveu de Volkskrant.
A MIRhosting divulgou um comunicado dizendo que iniciou uma investigação interna sobre os fatos alegados relativos às eleições na Dinamarca e que suspendeu temporariamente os serviços para a WorkTitans como medida de precaução enquanto o assunto está sendo analisado. "Com base em nossas descobertas preliminares, não há indícios de que os serviços sobre os quais exercemos controle tenham sido realmente usados para influenciar as eleições dinamarquesas", diz o comunicado. "Nenhuma anomalia ou pico foi observado em nosso tráfego de rede durante o período mencionado na publicação; se ataques DDoS em larga escala tivessem ocorrido, tal atividade teria sido evidente. Além disso, antes da publicação na mídia, não recebemos nenhuma reclamação, relatórios de abuso ou solicitações oficiais sobre atividades suspeitas ou uso indevido de nossa rede. Enquanto isso, nossas atividades operacionais regulares continuam, e nosso serviço para nossos outros clientes permanece totalmente intacto."
Nascido em Nizhny Novgorod, Rússia, Nesterenko cresceu como um prodígio do piano que se apresentava publicamente em tenra idade. Em 2004, Nesterenko fundou a Innovation IT Solutions Corp., controladora da MIRhosting, que tem a notável distinção de ser a empresa responsável por hospedar stopgeorgia[.]ru, um site hacktivista para organizar ciberataques contra a Geórgia que apareceu ao mesmo tempo em que as forças russas invadiram a antiga nação soviética em 2008. Acredita-se que esse conflito tenha sido a primeira guerra em que um ciberataque notável e um confronto militar real aconteceram simultaneamente. Respondendo a perguntas compartilhadas por e-mail, Nesterenko disse que a MIRhosting não apoia crimes cibernéticos, evasão de sanções ou atividades ilegais, e que as alegações e a prisão pelas autoridades holandesas foram extremamente prejudiciais para ele e sua empresa. "A transição para the.hosting não teve a intenção de evadir as sanções", escreveu Nesterenko. "O hardware e o portfólio de clientes já haviam sido transferidos para a WorkTitans antes que as sanções aparecessem. Fechar ou danificar uma empresa legítima de infraestrutura holandesa não impedirá o crime cibernético, mas prejudicará muitas pessoas que não fizeram nada de errado."
Muito menos é público sobre Zinad, de 57 anos, que, segundo relatos, tem mantido um perfil discreto desde nossa reportagem no ano passado. De Volkskrant informou que Zinad bloqueou o acesso à sua conta no LinkedIn, ficou meses sem responder a e-mails, mensagens do WhatsApp e chamadas telefônicas e disse a um colega que a doença o estava forçando a levar uma vida um tanto mais reclusa. Nesterenko afirma que Zinad nunca foi funcionário da MIRhosting. "Ele me ajudou e à MIRhosting com certas tarefas de negócios sob um acordo normal de empresa para empresa", explicou Nesterenko. No entanto, em e-mails anteriores para KrebsOnSecurity, Nesterenko copiou Zinad (que tinha um e-mail @mirhosting.com), explicando que ele fazia parte da equipe jurídica da empresa. Além disso, o site holandês stagemarkt[.]nl lista Youssef Zinad como um contato oficial para os escritórios da MIRhosting em Almere. O Sr. Zinad nunca respondeu aos pedidos de comentários. Nem de Volkskrant teve sorte em rastreá-lo. A publicação disse que perguntou repetidamente ao Sr. Zinad (referido aqui simplesmente como “Z”), mas ele teria evitado todas as formas de contato. “‘Estou indisponível, mas responderei à sua mensagem o mais breve possível’, diz uma resposta automática no WhatsApp em 2 de outubro de 2025”, informou de Volkskrant. “É a única resposta que de Volkskrant receberia em meses. Ele não atendeu o telefone e não retornou a ligação. Quando um conhecido pediu a ele via LinkedIn para entrar em contato com o repórter, ele bloqueou o acesso à sua página no LinkedIn. Em um endereço em Almere onde a empresa limitada pessoal de Z. está registrada, ninguém estava presente em abril. As persianas da casa da esquina estavam fechadas e uma pilha de sacos de lixo estava do lado de fora ao lado de um contêiner, como se alguém tivesse saído recentemente. Um vizinho disse que conhecia o homem, mas não sabia onde ele estava hospedado. Z. foi posteriormente preso em uma residência em Amsterdã."
As autoridades na Holanda prenderam os co-proprietários de duas empresas relacionadas de hospedagem na Internet por operar infraestrutura de TI usada pela Rússia para realizar ciberataques, operações de influência e campanhas de desinformação dentro da União Europeia. Os dois homens foram o foco de uma reportagem de 2025 do KrebsOnSecurity sobre como suas empresas de hospedagem assumiram o controle da infraestrutura técnica da Stark Industries Solutions, um provedor de serviços de Internet sancionado no ano passado pela UE como um palco frequente para trapaças cibernéticas das agências de inteligência da Rússia.
A agência de crimes financeiros holandesa, FIOD, prendeu um homem de 57 anos de Amsterdã e outro de 39 anos de Haia em 18 de maio, acusando-os de violar a lei de sanções ao disponibilizar recursos econômicos, direta ou indiretamente, a entidades sancionadas pela UE. A investigação holandesa se concentra na Stark Industries, um provedor de hospedagem em expansão que surgiu apenas duas semanas antes da invasão da Ucrânia pela Rússia. Como detalhado em uma análise aprofundada de maio de 2024, a Stark rapidamente se tornou a fonte de ataques distribuídos de negação de serviço (DDoS) em massa contra alvos europeus e emergiu como um dos principais fornecedores de serviços de proxy e anonimato que apareceram repetidamente em ciberataques ligados a grupos de hackers apoiados pela Rússia.
Esse relatório identificou dois irmãos moldavos — Ivan e Yuri Neculiti e sua empresa PQHosting — que estavam fornecendo um dos dois principais canais da Stark para a Internet maior. Em maio de 2025, a UE sancionou a PQHosting e os irmãos Neculiti por auxiliar nos esforços de guerra híbrida da Rússia. Mas, como KrebsOnSecurity observou em setembro de 2025, essas sanções não conseguiram atingir a conexão restante da Stark com a Internet — um provedor de serviços de Internet com sede na Holanda chamado MIRhosting. A MIRhosting é operada por Andrey Nesterenko, um russo de 39 anos que administra o negócio na Holanda. A notícia de que a PQHosting e os irmãos Neculiti estavam prestes a ser sancionados pela UE vazou na mídia quase duas semanas antes do anúncio das sanções no ano passado. Durante esse tempo, os ativos da rede Stark foram transferidos da PQHosting para uma nova entidade chamada the[.]hosting, sob o controle da entidade holandesa WorkTitans BV. E, como nosso relatório de setembro de 2025 mostrou, a WorkTitans era controlada por Nesterenko e um homem de 57 anos de Amsterdã chamado Youssef Zinad. Além disso, a WorkTitans estava obtendo conectividade com a Internet maior apenas por meio da MIRhosting, onde Zinad havia trabalhado anteriormente.
Em 18 de maio, investigadores de crimes financeiros holandeses prenderam Nesterenko e Zinad e revistaram três empresas em Enschede e Almere e dois data centers em Dronten e Schiphol-Rijk. Uma declaração das autoridades holandesas disse que eles também apreenderam laptops, telefones e mais de 800 servidores. De Volkskrant disse que revisou dados mostrando que WorkTitans e MIRhosting foram as redes mais usadas em ataques pró-russos a órgãos do governo dinamarquês entre 13 e 19 de novembro de 2025, a semana das eleições municipais da Dinamarca. A publicação escreveu que, antes da prisão de Nesterenko, o fundador da MIRhosting negou que soubesse que seus servidores haviam sido mal utilizados por criminosos cibernéticos pró-russos. "Ele disse que havia encerrado todos os serviços com os irmãos Neculiti quando as sanções da UE entraram em vigor em maio de 2025", e que ele "reservou todos os direitos de tomar medidas contra 'publicações prejudiciais e incorretas'", escreveu de Volkskrant.
A MIRhosting divulgou um comunicado dizendo que iniciou uma investigação interna sobre os fatos alegados relativos às eleições na Dinamarca e que suspendeu temporariamente os serviços para a WorkTitans como medida de precaução enquanto o assunto está sendo analisado. "Com base em nossas descobertas preliminares, não há indícios de que os serviços sobre os quais exercemos controle tenham sido realmente usados para influenciar as eleições dinamarquesas", diz o comunicado. "Nenhuma anomalia ou pico foi observado em nosso tráfego de rede durante o período mencionado na publicação; se ataques DDoS em larga escala tivessem ocorrido, tal atividade teria sido evidente. Além disso, antes da publicação na mídia, não recebemos nenhuma reclamação, relatórios de abuso ou solicitações oficiais sobre atividades suspeitas ou uso indevido de nossa rede. Enquanto isso, nossas atividades operacionais regulares continuam, e nosso serviço para nossos outros clientes permanece totalmente intacto."
Nascido em Nizhny Novgorod, Rússia, Nesterenko cresceu como um prodígio do piano que se apresentava publicamente em tenra idade. Em 2004, Nesterenko fundou a Innovation IT Solutions Corp., controladora da MIRhosting, que tem a notável distinção de ser a empresa responsável por hospedar stopgeorgia[.]ru, um site hacktivista para organizar ciberataques contra a Geórgia que apareceu ao mesmo tempo em que as forças russas invadiram a antiga nação soviética em 2008. Acredita-se que esse conflito tenha sido a primeira guerra em que um ciberataque notável e um confronto militar real aconteceram simultaneamente. Respondendo a perguntas compartilhadas por e-mail, Nesterenko disse que a MIRhosting não apoia crimes cibernéticos, evasão de sanções ou atividades ilegais, e que as alegações e a prisão pelas autoridades holandesas foram extremamente prejudiciais para ele e sua empresa. "A transição para the.hosting não teve a intenção de evadir as sanções", escreveu Nesterenko. "O hardware e o portfólio de clientes já haviam sido transferidos para a WorkTitans antes que as sanções aparecessem. Fechar ou danificar uma empresa legítima de infraestrutura holandesa não impedirá o crime cibernético, mas prejudicará muitas pessoas que não fizeram nada de errado."
Muito menos é público sobre Zinad, de 57 anos, que, segundo relatos, tem mantido um perfil discreto desde nossa reportagem no ano passado. De Volkskrant informou que Zinad bloqueou o acesso à sua conta no LinkedIn, ficou meses sem responder a e-mails, mensagens do WhatsApp e chamadas telefônicas e disse a um colega que a doença o estava forçando a levar uma vida um tanto mais reclusa. Nesterenko afirma que Zinad nunca foi funcionário da MIRhosting. "Ele me ajudou e à MIRhosting com certas tarefas de negócios sob um acordo normal de empresa para empresa", explicou Nesterenko. No entanto, em e-mails anteriores para KrebsOnSecurity, Nesterenko copiou Zinad (que tinha um e-mail @mirhosting.com), explicando que ele fazia parte da equipe jurídica da empresa. Além disso, o site holandês stagemarkt[.]nl lista Youssef Zinad como um contato oficial para os escritórios da MIRhosting em Almere. O Sr. Zinad nunca respondeu aos pedidos de comentários. Nem de Volkskrant teve sorte em rastreá-lo. A publicação disse que perguntou repetidamente ao Sr. Zinad (referido aqui simplesmente como “Z”), mas ele teria evitado todas as formas de contato. “‘Estou indisponível, mas responderei à sua mensagem o mais breve possível’, diz uma resposta automática no WhatsApp em 2 de outubro de 2025”, informou de Volkskrant. “É a única resposta que de Volkskrant receberia em meses. Ele não atendeu o telefone e não retornou a ligação. Quando um conhecido pediu a ele via LinkedIn para entrar em contato com o repórter, ele bloqueou o acesso à sua página no LinkedIn. Em um endereço em Almere onde a empresa limitada pessoal de Z. está registrada, ninguém estava presente em abril. As persianas da casa da esquina estavam fechadas e uma pilha de sacos de lixo estava do lado de fora ao lado de um contêiner, como se alguém tivesse saído recentemente. Um vizinho disse que conhecia o homem, mas não sabia onde ele estava hospedado. Z. foi posteriormente preso em uma residência em Amsterdã."
