Investigadores neerlandeses desfereriram um dos golpes mais significativos contra a infraestrutura russa de ciberataques dentro da União Europeia: 800 servidores foram apreendidos e dois cidadãos neerlandeses foram detidos em conexão com uma empresa de hospedagem que ajudava a Rússia a minar a democracia europeia. A operação do Serviço de Inteligência Fiscal e Investigação (FIOD), realizada a 22 de maio de 2026, visou a WorkTitans B.V. e a sua marca THE.Hosting - uma empresa de fachada criada especificamente para contornar as sanções da UE contra a famosa Stark Industries Solutions. A ligação entre os servidores DDoS dos Países Baixos e a Rússia estava no radar dos investigadores há meses.
Stark Industries: sancionada e renascida como THE.Hosting
A Stark Industries Solutions foi fundada a 10 de fevereiro de 2022, dias antes da invasão russa em larga escala da Ucrânia, e rapidamente se tornou um dos facilitadores mais documentados de ciberataques russos na Europa. Os seus servidores alojavam infraestrutura para ataques DDoS, campanhas de desinformação e operações de interferência contra estados membros da NATO, instituições ucranianas e portais governamentais da UE.
A União Europeia sancionou oficialmente a Stark Industries a 20 de maio de 2025, proibindo as empresas europeias de lhe fornecerem recursos econômicos. Em poucas semanas, a infraestrutura foi discretamente transferida para uma nova entidade neerlandesa: a WorkTitans B.V., que opera sob a marca comercial THE.Hosting. Os investigadores sustentam que a WorkTitans foi criada precisamente para contornar as sanções, permitindo que os mesmos servidores e capacidades de ataque continuassem a funcionar sob uma identidade jurídica limpa.
A FIOD deteve dois cidadãos neerlandeses: um diretor de 57 anos da WorkTitans B.V. e um homem de 39 anos que chefiava uma empresa separada que fornecia conectividade à internet à infraestrutura de hospedagem. Foram realizadas buscas em dois centros de dados em Dronten e Schiphol-Rijk, bem como em instalações em Enschede e Almere. No total, foram apreendidos 800 servidores, portáteis, telefónes móveis e registos administrativos.
NoName057(16): o grupo DDoS servido pela WorkTitans
As autoridades dinamarquesas e os fornecedores de infraestrutura estiveram entre os primeiros a ligar diretamente a WorkTitans ao NoName057(16), um coletivo hacktivista russofone que tem conduzido centenas de ataques DDoS politicamente motivados por toda a Europa desde 2022. O grupo coordena abertamente as suas ações através do Telegram, celebra publicamente as interrupções de sítios governamentais e ataca estados membros da NATO no âmbito da sua declarada missão ideológica de apoio ao Kremlin.
- Alvos: Portais governamentais, bancos, sistemas ferroviários e meios de comunicação na Polónia, Alemanha, França, Itália, nos países bálticos, na Ucrânia e em dezenas de outros países.
- Método: Inundações DDoS de alto volume concebidas para colocar temporariamente os alvos offline por razões políticas.
- Necessidade de infraestrutura: Hospedagem à prova de balas que resiste a pedidos de remoção e pressão legal - exatamente o que a Stark Industries e, posteriormente, a THE.Hosting forneciam.
- Coordenação: Canais do Telegram onde os resultados dos ataques são publicados e partilhados como propaganda.
A infraestrutura apreendida nas buscas não era utilizada apenas para ataques DDoS. Os investigadores também a ligam a operações de informação russas: campanhas concebidas para difundir desinformação e minar a confiança pública nas instituições democráticas dos estados membros da UE. Os procuradores qualificaram as atividades dos suspeitos como uma interferência direta na democracia europeia em favor da Rússia.
A violação de sanções como acusação criminal
O enquadramento jurídico deste caso vai além do processamento criminal convencional por cibercrime. Ambos os suspeitos enfrentam acusações de violação das sanções da UE por terem fornecido indiretamente recursos econômicos a entidades russas e bielorrussas constantes da lista de sanções. Este argumento - de que uma empresa de hospedagem neerlandesa pode ter responsabilidade criminal por permitir que entidades sancionadas continuem a operar sob uma nova estrutura empresarial - estabelece um precedente direto para futuras prosecuções em toda a UE.
A progressão da Stark Industries para a WorkTitans B.V. ilustra um padrão que as autoridades policiais da UE estão agora a perseguir ativamente: atores cibernéticos sancionados que criam novas estruturas legais em estados membros da UE para continuar as suas operações. A investigação da FIOD demonstra que esta estratégia de elução não proporciona cobertura legal - acrescenta violações de sanções à exposição criminal já existente.
Dimensão da apreensão: quatro localizações, 800 servidores
A coordenação simultânea em quatro localizações foi deliberada. Os operadores de hospedagem à prova de balas mantêm habitualmente infraestrutura redundante em vários centros de dados, permitindo desviar o tráfego se um nó for desativado. Ao intervir simultaneamente em Dronten, Schiphol-Rijk, Enschede e Almere, a FIOD impediu qualquer migração de tráfego ou destruição de dados antes da chegada dos investigadores.
Os 800 servidores apreendidos representam hardware que estava a encaminhar ativamente tráfego DDoS e a alojar painéis de controlo de ataques no momento da operação. Combinados com os registos administrativos e os dados de comunicação dos telefónes e portáteis apreendidos, os investigadores dispõem agora de um mapa detalhado da infraestrutura: clientes, configurações e ligações a outros atores sancionados.
O que isto significa para a privacidade online
O desmantelamento da THE.Hosting ilustra o que está em jogo quando a infraestrutura de anonimização e de hospedagem à prova de balas é capturada por atores ligados a estados. As ferramentas de privacidade legítimas, incluindo serviços VPN, hospedagem anónima e comunicações encriptadas, desempenham um papel fundamental para jornalistas, ativistas e empresas que operam em ambientes de alto risco. Mas quando essa mesma infraestrutura é redirecionada para campanhas de ataque sancionadas e operações de desinformação estatais, a intervenção das autoridades torna-se inevitável. O único caminho sustentável para os serviços de privacidade legítimos é a plena transparência legal, uma jurisdição clara e o cumprimento verificado do direito aplicável da UE.
