Gli investigatori olandesi hanno inflitto uno dei colpi più significativi all'infrastruttura russa di cyberattacchi all'interno dell'Unione europea: sono stati sequestrati 800 server e arrestate due persone di nazionalità olandese legate a una società di hosting che aiutava la Russia a minare la democrazia europea. L'operazione del Servizio di intelligence e investigazione fiscale (FIOD), condotta il 22 maggio 2026, ha preso di mira WorkTitans B.V. e il suo marchio THE.Hosting - una società di facciata creata appositamente per aggirare le sanzioni dell'UE contro la famigerata infrastruttura Stark Industries Solutions. La connessione tra i server DDoS dei Paesi Bassi e la Russia era nel mirino degli investigatori da mesi.
Stark Industries: sanzionata e poi rinata come THE.Hosting
Stark Industries Solutions è stata fondata il 10 febbraio 2022, pochi giorni prima dell'invasione su larga scala dell'Ucraina da parte della Russia, e si è rapidamente affermata come uno dei più documentati facilitatori di cyberattacchi russi in Europa. I suoi server ospitavano infrastrutture per attacchi DDoS, campagne di disinformazione e operazioni di ingerenza contro gli stati membri della NATO, istituzioni ucraine e portali governativi dell'UE.
L'Unione europea ha sanzionato ufficialmente Stark Industries il 20 maggio 2025, vietando alle imprese europee di fornirle risorse economiche. Nel giro di settimane, l'infrastruttura è stata trasferita silenziosamente a una nuova entità olandese: WorkTitans B.V., operante sotto il marchio commerciale THE.Hosting. Gli investigatori ritengono che WorkTitans sia stata creata proprio per aggirare le sanzioni, consentendo agli stessi server e capacità di attacco di continuare a operare sotto un'identità giuridica pulita.
La FIOD ha arrestato due cittadini olandesi: un direttore di 57 anni di WorkTitans B.V. e un uomo di 39 anni che guidava una società separata che forniva connettività internet all'infrastruttura di hosting. Sono state effettuate perquisizioni in due data center a Dronten e Schiphol-Rijk, oltre che in locali a Enschede e Almere. In totale sono stati sequestrati 800 server, laptop, telefoni cellulari e documenti amministrativi.
NoName057(16): il gruppo DDoS servito da WorkTitans
Le autorità danesi e i provider di infrastrutture sono stati tra i primi a collegare direttamente WorkTitans a NoName057(16), un collettivo hacktivista di lingua russa che dal 2022 ha condotto centinaia di attacchi DDoS politicamente motivati in tutta Europa. Il gruppo coordina apertamente le proprie azioni tramite Telegram, celebra pubblicamente le interruzioni di siti governativi e prende di mira gli stati membri della NATO nell'ambito della sua dichiarata missione ideologica a sostegno del Cremlino.
- Obiettivi: Portali governativi, banche, sistemi ferroviari e media in Polonia, Germania, Francia, Italia, negli Stati baltici, in Ucraina e in decine di altri paesi.
- Metodo: Massicce inondazioni DDoS progettate per mettere temporaneamente offline i bersagli a fini politici.
- Necessità infrastrutturali: Hosting a prova di proiettile che resiste alle richieste di rimozione e alle pressioni legali - esattamente ciò che offrivano Stark Industries e successivamente THE.Hosting.
- Coordinamento: Canali Telegram dove i risultati degli attacchi vengono pubblicati e diffusi come propaganda.
L'infrastruttura sequestrata durante le perquisizioni non veniva utilizzata solo per gli attacchi DDoS. Gli investigatori la collegano anche a operazioni di informazione russe: campagne progettate per diffondere disinformazione e minare la fiducia pubblica nelle istituzioni democratiche degli stati membri dell'UE. I procuratori hanno definito le attività degli indagati come una diretta ingerenza nella democrazia europea a favore della Russia.
La violazione delle sanzioni come capo d'accusa penale
L'inquadramento giuridico di questo caso va oltre il tradizionale procedimento penale per criminalità informatica. Entrambi gli indagati affrontano accuse di violazione delle sanzioni dell'UE per aver fornito indirettamente risorse economiche a entità russe e bielorusse incluse nell'elenco delle sanzioni. Questo argomento - che una società di hosting olandese possa essere penalmente responsabile per aver consentito a entità sanzionate di continuare a operare sotto una nuova struttura aziendale - stabilisce un precedente diretto per future azioni penali in tutta l'UE.
La progressione da Stark Industries a WorkTitans B.V. illustra uno schema che le forze dell'ordine dell'UE ora perseguono attivamente: attori cyber sanzionati che creano nuove strutture legali negli stati membri dell'UE per continuare le loro operazioni. L'indagine FIOD dimostra che questa strategia di elusione non fornisce copertura legale, ma aggiunge violazioni di sanzioni all'esposizione penale già esistente.
Portata del sequestro: quattro sedi, 800 server
Il coordinamento simultaneo su quattro sedi era deliberato. Gli operatori di hosting a prova di proiettile mantengono generalmente un'infrastruttura ridondante in più data center, consentendo di spostare il traffico se un nodo viene disattivato. Colpendo contemporaneamente Dronten, Schiphol-Rijk, Enschede e Almere, la FIOD ha impedito qualsiasi migrazione del traffico o distruzione di dati prima dell'arrivo degli investigatori.
Gli 800 server sequestrati rappresentano hardware che al momento del raid stava instradando attivamente traffico DDoS e ospitando pannelli di controllo degli attacchi. Combinati con i documenti amministrativi e i dati di comunicazione dei telefoni e laptop sequestrati, gli investigatori dispongono ora di una mappa dettagliata dell'infrastruttura: clienti, configurazioni e connessioni con altri attori sanzionati.
Cosa significa per la privacy online
Lo smantellamento di THE.Hosting illustra le poste in gioco quando l'infrastruttura di anonimizzazione e hosting a prova di proiettile viene catturata da attori legati agli stati. Gli strumenti di privacy legittimi, inclusi i servizi VPN, l'hosting anonimo e le comunicazioni crittografate, svolgono un ruolo cruciale per giornalisti, attivisti e aziende che operano in ambienti ad alto rischio. Ma quando la stessa infrastruttura viene riconvertita per campagne di attacco sanzionate e operazioni di disinformazione statale, l'intervento delle forze dell'ordine diventa inevitabile. L'unica strada sostenibile per i servizi di privacy legittimi resta la piena trasparenza legale, una giurisdizione chiara e il rispetto verificato del diritto applicabile dell'UE.
