Нидерланды изъяли 800 серверов Stark Industries и задержали двух человек

Нидерландские следователи нанесли один из самых серьезных ударов по российской DDoS-инфраструктуре внутри Европейского союза: изъяли 800 серверов и задержали двух граждан Нидерландов, связанных с хостинговой компанией, которая помогала России подрывать европейскую демократию. Операция Службы фискальной разведки и расследований (FIOD), проведённая 22 мая 2026 года, была направлена против WorkTitans B.V. и её бренда THE.Hosting - подставной компании, созданной специально для обхода санкций ЕС против печально известной хостинговой структуры Stark Industries Solutions. Нидерланды давно отслеживали эту связку серверов России и DDoS-атак.

Stark Industries: под санкции - и сразу переименовалась в THE.Hosting

Stark Industries Solutions была основана 10 февраля 2022 года - буквально накануне полномасштабного вторжения России в Украину - и быстро стала одним из наиболее документально подтверждённых пособников российских кибератак в Европе. Её серверы использовались для организации DDoS-атак, дезинформационных кампаний и операций вмешательства против государственных структур НАТО, украинских институтов и правительственных порталов стран ЕС.

20 мая 2025 года Европейский союз официально внёс Stark Industries в санкционный список, запретив европейскому бизнесу предоставлять ей экономические ресурсы. В течение нескольких недель инфраструктура была тайно перенесена на новое юридическое лицо, зарегистрированное в Нидерландах, - WorkTitans B.V., работавшую под коммерческим брендом THE.Hosting. По версии следствия, WorkTitans была создана именно для обхода санкций - чтобы те же серверы и возможности для атак продолжали работать под чистым юридическим именем.

FIOD задержала двух граждан Нидерландов: 57-летнего директора WorkTitans B.V. и 39-летнего руководителя отдельной компании, обеспечивавшей интернет-подключение для хостинговой инфраструктуры. Рейды прошли в двух дата-центрах - в Дронтене и Схипхол-Рейке, а также в ходе обысков в Энсхеде и Алмере. Всего изъяты 800 серверов, ноутбуки, мобильные телефоны и административные документы.

NoName057(16): группа DDoS, которую обслуживала WorkTitans

Датские власти и провайдеры инфраструктуры одними из первых связали WorkTitans напрямую с NoName057(16) - русскоязычным хакер-активистским коллективом, проводящим сотни политически мотивированных DDoS-атак по всей Европе с 2022 года. Группа открыто координируется через Telegram, публично хвастается успешными атаками на государственные сайты и целенаправленно бьёт по странам - членам НАТО, выполняя заявленную идеологическую миссию в поддержку Кремля.

• Цели: Правительственные порталы, банки, системы железных дорог и СМИ в Польше, Германии, Франции, Италии, Прибалтике, Украине и десятках других стран.
• Метод: Массированные DDoS-атаки для временного вывода целей из строя с целью политического давления.
• Потребность в инфраструктуре: Пуленепробиваемый хостинг, который не реагирует на жалобы и судебные запросы, - именно то, что предоставляли Stark Industries и THE.Hosting.
• Координация: Telegram-каналы, где результаты атак публикуются и распространяются как пропаганда.

Изъятая в ходе рейдов инфраструктура использовалась не только для DDoS-атак. Следствие также связывает её с российскими информационными операциями - кампаниями по распространению дезинформации, призванными подорвать доверие общества к демократическим институтам стран ЕС. По словам прокуроров, деятельность обвиняемых напрямую помогала России вмешиваться в европейскую демократию.

Нарушение санкций как уголовное обвинение

Правовое измерение этого дела выходит за рамки традиционного уголовного преследования за киберпреступления. Оба подозреваемых обвиняются в нарушении санкций ЕС путём косвенного предоставления экономических ресурсов российским и белорусским структурам, включённым в ограничительный список. Этот аргумент - что нидерландская хостинговая компания несёт уголовную ответственность за то, что позволила санкционным структурам продолжать работу под новой корпоративной оболочкой, - создаёт прямой прецедент для будущих преследований по всему ЕС.

Цепочка Stark Industries - WorkTitans B.V. наглядно демонстрирует схему, которую правоохранители ЕС теперь активно преследуют: санкционные кибер-акторы создают новые юридические структуры в государствах - членах ЕС, чтобы продолжать работу. Расследование FIOD показало: такой обход не даёт правовой защиты - он лишь добавляет к уже имеющейся уголовной ответственности ещё и нарушение санкционного режима.

Масштаб изъятия: четыре локации, 800 серверов

Одновременные рейды в четырёх точках были спланированы намеренно. Операторы пуленепробиваемого хостинга, как правило, держат резервную инфраструктуру в нескольких дата-центрах, чтобы при отключении одного узла успеть перенести трафик. Ударив по Дронтену, Схипхол-Рейку, Энсхеде и Алмере одновременно, FIOD исключила возможность миграции трафика или уничтожения данных до приезда следователей.

800 изъятых серверов - это оборудование, которое в момент рейда активно маршрутизировало DDoS-трафик и размещало панели управления атаками. В совокупности с административными документами и данными переписки с изъятых телефонов и ноутбуков следователи получили детальную карту инфраструктуры: её клиентов, конфигурации и связи с другими санкционными акторами.

Что это значит для конфиденциальности в сети

Ликвидация THE.Hosting наглядно показывает, что происходит, когда анонимизирующая и пуленепробиваемая хостинговая инфраструктура захватывается акторами, аффилированными с государством. Легитимные инструменты защиты приватности - включая VPN-сервисы, анонимный хостинг и зашифрованные коммуникации - играют критически важную роль для журналистов, активистов и бизнеса в зонах повышенного риска. Однако когда та же инфраструктура перепрофилируется для санкционных атак и государственных дезинформационных кампаний, вмешательство правоохранителей становится неизбежным. Единственный устойчивый путь для легитимных сервисов приватности - полная правовая прозрачность, чёткая юрисдикция и подтверждённое соблюдение применимого законодательства ЕС.