Paesi Bassi sequestrano 800 server e arrestano due persone

Le autorità olandesi hanno arrestato i co-proprietari di due società di hosting tra loro collegate, accusati di aver gestito infrastrutture informatiche utilizzate dalla Russia per condurre cyberattacchi, operazioni di influenza e campagne di disinformazione all’interno dell’Unione europea.

Il 18 maggio, l’agenzia olandese per i crimini finanziari FIOD ha arrestato un uomo di 57 anni di Amsterdam e uno di 39 anni dell’Aia. Le accuse riguardano la violazione delle sanzioni UE: avrebbero messo a disposizione risorse economiche a entità già sanzionate dall’Unione europea.

L’indagine si concentra su Stark Industries, un provider hosting nato due settimane prima dell’invasione russa dell’Ucraina. Come già documentato a maggio 2024, Stark è diventato rapidamente la fonte di massicci attacchi DDoS contro obiettivi europei, ed è emerso come principale fornitore di servizi proxy e anonimato utilizzati da gruppi di hacker legati a Mosca.

Un precedente rapporto aveva identificato i fratelli moldavi Ivan e Yuri Neculiti e la loro società PQHosting come uno dei due principali canali di connessione di Stark a Internet. Nel maggio 2025 l’UE ha sanzionato PQHosting e i fratelli Neculiti per aver supportato la guerra ibrida russa. Tuttavia, come osservato a settembre 2025, le sanzioni non avevano colpito l’altra connessione di Stark: un provider Internet olandese chiamato MIRhosting.

MIRhosting è gestito da Andrey Nesterenko, 39enne di origine russa che opera dai Paesi Bassi. Quando la notizia delle imminenti sanzioni a PQHosting è trapelata, i beni della rete Stark sono stati trasferiti a una nuova entità, the.hosting, sotto il controllo della società olandese WorkTitans BV. WorkTitans era controllata da Nesterenko e da Youssef Zinad, 57enne di Amsterdam, e otteneva connettività esclusivamente tramite MIRhosting, dove Zinad aveva lavorato in precedenza.

Il 18 maggio, gli investigatori olandesi hanno perquisito tre uffici a Enschede e Almere e due data center a Dronten e Schiphol-Rijk, sequestrando laptop, telefoni e oltre 800 server. Un messaggio inviato ai clienti di the.hosting subito dopo il sequestro informava che i dati sui server erano persi e irrecuperabili.

De Volkskrant ha riportato che WorkTitans e MIRhosting sono state le reti più utilizzate in attacchi filo-russi contro enti governativi danesi tra il 13 e il 19 novembre 2025, la settimana delle elezioni municipali in Danimarca. Prima dell’arresto, Nesterenko aveva negato di sapere che i suoi server venivano usati da criminali informatici filo-russi, affermando di aver interrotto tutti i servizi con i fratelli Neculiti dopo le sanzioni del maggio 2025.

MIRhosting ha rilasciato una dichiarazione in cui sostiene di aver avviato un’indagine interna sui fatti riguardanti le elezioni danesi e di aver temporaneamente sospeso i servizi a WorkTitans come misura precauzionale. Secondo la società, non ci sarebbero indicazioni che i servizi sotto il suo controllo siano stati effettivamente utilizzati per influenzare le elezioni danesi.

Nesterenko, nato a Nizhny Novgorod in Russia, è un ex bambino prodigio del pianoforte. Nel 2004 ha fondato Innovation IT Solutions Corp., società madre di MIRhosting, che ha ospitato stopgeorgia.ru, un sito hacktivista per organizzare cyberattacchi contro la Georgia durante l’invasione russa del 2008. Nesterenko ha dichiarato che MIRhosting non supporta attività illegali e che il trasferimento delle infrastrutture a the.hosting non era finalizzato a eludere le sanzioni.

Di Zinad si sa poco. Dopo le prime rivelazioni, ha bloccato il profilo LinkedIn, smesso di rispondere a email e messaggi, e ha riferito a un collega di essere costretto a una vita più ritirata per motivi di salute. Nesterenko sostiene che Zinad non sia mai stato un dipendente di MIRhosting, ma solo un collaboratore esterno con accordi B2B.