Olanda sequestra 800 server per cyberattacchi russi

Le autorità olandesi hanno arrestato i co-proprietari di due società di hosting Internet per aver gestito infrastrutture IT utilizzate dalla Russia per cyberattacchi, operazioni di influenza e campagne di disinformazione dentro l’Unione Europea. I due uomini erano già finiti nel mirino di un articolo di KrebsOnSecurity del 2025 dedicato a Stark Industries Solutions, un provider sanzionato dall’UE l’anno scorso perché usato come base frequente per attacchi informatici dei servizi segreti russi.

L’agenzia olandese per i crimini finanziari FIOD ha arrestato il 18 maggio un 57enne di Amsterdam e un 39enne dell’Aia, accusandoli di aver violato le norme sulle sanzioni fornendo risorse economiche a entità sanzionate dall’UE. L’indagine si concentra su Stark Industries, un hosting provider nato due settimane prima dell’invasione russa dell’Ucraina. Come raccontato in un approfondimento del maggio 2024, Stark è diventato rapidamente la fonte di massicci attacchi DDoS contro obiettivi europei e un fornitore chiave di servizi proxy e anonimato usati da gruppi di hacker legati alla Russia.

Quell’inchiesta aveva identificato due fratelli moldavi, Ivan e Yuri Neculiti, e la loro società PQHosting come uno dei due canali principali di Stark verso Internet. Nel maggio 2025 l’UE ha sanzionato PQHosting e i fratelli Neculiti per aver aiutato gli sforzi ibridi della Russia. Ma come osservato da KrebsOnSecurity nel settembre 2025, le sanzioni non hanno colpito l’altra connessione di Stark: un provider olandese chiamato MIRhosting, gestito da Andrey Nesterenko, 39 anni, russo di nascita che opera dai Paesi Bassi.

La notizia dell’imminente sanzione a PQHosting era trapelata nei media quasi due settimane prima dell’annuncio. In quel lasso di tempo, gli asset di rete di Stark erano stati trasferiti da PQHosting a una nuova entità, the[.]hosting, sotto il controllo della società olandese WorkTitans BV. Secondo il rapporto di settembre, WorkTitans era controllata da Nesterenko e da un 57enne di Amsterdam, Youssef Zinad. Inoltre, WorkTitans si connetteva a Internet esclusivamente attraverso MIRhosting, dove Zinad aveva lavorato in passato.

Il 18 maggio gli investigatori olandesi hanno arrestato Nesterenko e Zinad e perquisito tre attività a Enschede e Almere e due data center a Dronten e Schiphol-Rijk. Le autorità hanno sequestrato laptop, telefoni e oltre 800 server. Un messaggio inviato ai clienti di the[.]hosting subito dopo il sequestro spiega che i dati memorizzati sui server sono andati persi e non possono essere recuperati.

De Volkskrant ha riportato che WorkTitans e MIRhosting sono state le reti più usate in attacchi filorussi contro enti governativi danesi tra il 13 e il 19 novembre 2025, la settimana delle elezioni municipali danesi. Prima dell’arresto, Nesterenko negava di sapere che i suoi server fossero usati da cybercriminali filorussi. Ha dichiarato di aver interrotto tutti i servizi con i fratelli Neculiti quando le sanzioni UE sono entrate in vigore nel maggio 2025, riservandosi il diritto di agire contro pubblicazioni dannose e inesatte.

MIRhosting ha diffuso una nota in cui afferma di aver avviato un’indagine interna sui fatti riguardanti le elezioni danesi e di aver temporaneamente sospeso i servizi a WorkTitans come misura precauzionale. “Sulla base delle nostre prime verifiche, non ci sono indicazioni che i servizi sotto il nostro controllo siano stati effettivamente usati per influenzare le elezioni danesi”, si legge nella nota. “Non sono state osservate anomalie o picchi nel traffico di rete durante il periodo menzionato; se si fossero verificati attacchi DDoS su larga scala, l’attività sarebbe stata evidente”.

Nesterenko, nato a Nizhny Novgorod in Russia, è cresciuto come bambino prodigio del pianoforte. Nel 2004 ha fondato Innovation IT Solutions Corp., la società madre di MIRhosting, che ha la dubbia fama di aver ospitato stopgeorgia[.]ru, un sito hacktivista per organizzare attacchi informatici contro la Georgia durante l’invasione russa del 2008. Nesterenko sostiene che MIRhosting non supporta il cybercrimine né l’elusione delle sanzioni e che il trasferimento a the[.]hosting non era finalizzato a evitare le sanzioni: “La chiusura di una società di infrastruttura olandese legittima non fermerà il cybercrimine, ma danneggerà molte persone che non hanno fatto nulla di male”.

Di Zinad si sa molto meno. De Volkskrant riferisce che ha bloccato l’accesso al suo profilo LinkedIn, non ha risposto a email, messaggi WhatsApp e telefonate per mesi, e ha detto a un collega che una malattia lo costringeva a una vita più appartata. Nesterenko afferma che Zinad non è mai stato un dipendente di MIRhosting, ma lo ha aiutato in attività commerciali con un normale rapporto business-to-business. Tuttavia, nelle precedenti email a KrebsOnSecurity, Nesterenko metteva in copia Zinad (con indirizzo @mirhosting.com), spiegando che faceva parte del team legale dell’azienda. Il sito olandese stagemarkt[.]nl elenca Youssef Zinad come contatto ufficiale per gli uffici di MIRhosting ad Almere.