18 мая 2026 года нидерландская налогово-таможенная служба FIOD изъяла в двух дата-центрах под Амстердамом более 800 серверов и задержала двух человек. Расследование, по версии следствия, касается хостинговой компании, которую зарегистрировали в Лондоне 10 февраля 2022 года — за две недели до вторжения России в Украину. Называлась она - Stark Industries.
Между этими двумя датами — четыре года, четыре названия хостинга, две страны юридической прописки, миграция десятков IP-префиксов между автономными системами и одна молдавская семья, попавшая под санкции ЕС.
Я собрал хронологию по открытым отчётам Recorded Future, Censys, GreyNoise, KrebsOnSecurity и нидерландских СМИ — что произошло, кто кого пытался спрятать и как это всё-таки нашли.
Подробности клиентского инцидента — в предыдущих материалах: про сбой и потерю данных и про возможную связь с изъятием серверов.
Акт 1. Что построили
Stark Industries Solutions Ltd. появилась в реестре Великобритании 10 февраля 2022 года. Адрес — 71–75 Shelton Street, Covent Garden, Лондон. В санкционном документе ЕС этот адрес охарактеризован как maildrop — то есть, по формулировке документа, фактически почтовый ящик без реальной офисной активности.
За компанией, по данным ЕС, стоят два человека — Юрий и Иван Некулицы (Iurie и Ivan Neculiti), уже известные индустрии по молдавскому PQ.Hosting. По версии Совета ЕС, Stark предоставляла серверный хостинг с локациями по всему миру и помогала российским государственным и аффилированным акторам проводить информационные операции и кибератаки против ЕС и третьих стран.
20 мая 2025 года Stark Industries, Юрий и Иван Некулиты попадают в санкционный список ЕС. В пресс-релизе Совета ЕС они описаны как «инфраструктурные посредники» для российских акторов. Юридически — это запрет на работу с компанией внутри ЕС, заморозка активов, фактический конец бизнеса в Европе.
Так казалось.
Акт 2. Как, по данным исследователей, пытались сохранить инфраструктуру
Через девять дней после санкций — 29 мая 2025 года — PQ.Hosting публично объявляет ребрендинг в THE.Hosting. В заявлении сказано: прежняя структура прекращает существование, активы, инфраструктура и сервисы переходят к новой компании.
На сайте THE.Hosting в качестве юрлица фигурирует WorkTitans B.V. — нидерландская компания, которая публично представлялась как рекрутинговая фирма. Это ровно настолько странно, насколько и звучит. Позже упоминание WorkTitans с сайта тихо убрали.
Что произошло технически, описала Recorded Future в отчёте Insikt Group. По их данным, ещё до объявления санкций инфраструктура Stark начала двигаться. Часть IP-префиксов из её сети ушла к UFO Hosting LLC — компании, зарегистрированной в RIPE 13 марта 2025 года, с владельцем-россиянином и сайтом ufo.hosting. К 16 мая 2025 года, за четыре дня до санкций, в автономной системе UFO Hosting объявлялся 21 IP-префикс — и все они, по данным Insikt Group, были перенесены от Stark Industries. Большинство переездов — 13 апреля 2025 года.
На пространство UFO начали указывать домены, исторически принадлежавшие Stark и PQ.Hosting: bill-migration-db.stark-industries.solutions, russia.stark-industries.solutions, registry.pq.hosting, pq.company и другие.
Вывод Insikt Group с высокой степенью уверенности: UFO Hosting была создана или переиспользована как площадка для российской инфраструктуры Stark, чтобы сохранить работу под санкциями.
Связь между всеми тремя сущностями нашли и через скучные технические записи RIPE. Maintainer-объекты PQHS-MNT, UFO42-MNT и THE-HOSTING-MNT — для PQ.Hosting, UFO Hosting и THE.Hosting соответственно — были привязаны к одному и тому же gmail-адресу. За день до публичного ребрендинга, 28 мая 2025 года, в RIPE появился новый организационный объект на WorkTitans B.V. с контактами на домене the.hosting.
Дальше включились сетевые исследователи. Censys и GreyNoise, независимо друг от друга, увидели одну и ту же картину. Старая автономная система Stark (AS44477) держала в мае–июне 2025 года более 200 тысяч хостов, потом начала пустеть. Новая AS209847, связанная с WorkTitans и THE.Hosting, наоборот, росла. К концу ноября AS44477 был полностью заброшен.
Censys заметила на этом фоне ещё одну деталь: одни и те же шаблоны имён Windows/RDP-хостов уходили из старой автономной системы и появлялись в новой. То есть мигрировали не просто IP-адреса, а конкретные виртуальные машины, разворачиваемые из одних и тех же шаблонов. GreyNoise по своей телеметрии видела пик активности AS44477 с 18 августа по 15 сентября 2025-го, резкий спад в неделю 20 октября и почти полное затухание к 10 ноября. У AS209847 — зеркальная картина: оживает 25 августа, продолжает работать после исчезновения AS44477. GreyNoise описывает это коротко: rebranding operation Stark Industries.
Акт 3. Как поймали
В ноябре 2025 года в Дании шли муниципальные выборы. С 13 по 19 ноября — неделя голосования — на датские государственные ресурсы пошли пророссийские атаки. По данным De Volkskrant, которые пересказывает NL Times, WorkTitans и MIRhosting были среди самых используемых сетей в этих атаках.
Это - последня кость в скелете дела.
22 мая 2026 года FIOD сообщила, что 18 мая задержала двух человек по делу о нарушении санкционного законодательства. Возраст — 57 и 39 лет, из Амстердама и Гааги. Обыски прошли в трёх офисах в Энсхеде и Алмере и в двух дата-центрах — Дронтен и Схипхол-Райк. Изъяты документы, ноутбуки, телефоны и более 800 серверов.
Название Stark в пресс-релизе FIOD не звучит. Но описание совпадает: хостинговая компания, зарегистрированная 10 февраля 2022 года, попавшая под санкции ЕС 20 мая 2025 года, перенёсшая инфраструктуру на нидерландскую компанию.
Имена назвали De Volkskrant, NL Times и KrebsOnSecurity. Это Юсеф Зинад (Youssef Zinad), которого KrebsOnSecurity связывает с контролем над WorkTitans, и Андрей Нестеренко, основатель MIRhosting. Оба на момент публикации — подозреваемые; их вина судом не установлена.
MIRhosting в этой схеме описан как компания, обеспечивавшая физические серверы, colocation и подключение к крупным интернет-узлам Амстердама и Франкфурта. Свою причастность к незаконной активности компания отрицает.
Нестеренко заявил, что MIRhosting не поддерживает киберпреступность, обход санкций или нелегальную деятельность, а обвинения и задержание нанесли ему и компании серьёзный ущерб. По его словам, переход на the.hosting не был задуман для обхода санкций: оборудование и клиентский портфель были переданы WorkTitans ещё до их появления, а услуги с братьями Некулиты прекращены, когда санкции вступили в силу в мае 2025 года. MIRhosting также заявил, что по предварительным результатам внутренней проверки нет признаков, что подконтрольные ему сервисы использовались для влияния на выборы в Дании, и что аномалий в сетевом трафике в указанный период не наблюдалось. Нестеренко также сообщил, что оставляет за собой право принять меры против, по его словам, недостоверных публикаций. Параллельно MIRhosting объявил о внутренней проверке и временно приостановил услуги WorkTitans.
Одну деталь стоит вытащить отдельно. По данным KrebsOnSecurity, Зинад до недавнего времени фигурировал в переписке Нестеренко как часть legal team MIRhosting и пользовался email на домене mirhosting.com. Нестеренко позже заявил, что Зинад не был сотрудником, а помогал по B2B. Когда De Volkskrant пытались выйти на Зинада, тот не отвечал ни на звонки, ни на письма, ни на WhatsApp, а после попытки контакта через LinkedIn закрыл доступ к своей странице.
Таймлайн
10 февраля 2022 — регистрация Stark Industries Solutions Ltd. в Лондоне (за 14 дней до вторжения).
Март–апрель 2025 — IP-префиксы Stark начинают уходить к свежесозданной UFO Hosting LLC.
20 мая 2025 — Stark и братья Некулиты попадают под санкции ЕС.
28–29 мая 2025 — появление RIPE-объекта WorkTitans B.V. и публичный ребрендинг PQ.Hosting → THE.Hosting.
Август–ноябрь 2025 — Censys и GreyNoise фиксируют миграцию активности из AS44477 в AS209847.
13–19 ноября 2025 — пророссийские атаки в неделю муниципальных выборов в Дании; WorkTitans и MIRhosting — среди самых активных сетей.
18 мая 2026 — операция FIOD: обыски, два задержанных, более 800 изъятых серверов.
Как не вляпаться: 5 простых проверок
Откройте сайт провайдера и пройдитесь по пяти вопросам.
1. В подвале сайта есть реальная компания?
Конкретное название с регистрационным номером и физическим адресом. Если только «© 2024 SuperVPS» — красный флаг. Погуглите компанию: история на годы, упоминания в новостях, нейтральные отзывы — хорошо. Только лендинги самого провайдера и реклама в Telegram — плохо.
2. Есть нормальные юридические документы?
Откройте Terms of Service, Privacy Policy, About. Это должны быть полноценные тексты, а не три абзаца про «мы заботимся о ваших данных». Если документов нет вообще — это уже само по себе ответ.
3. Как с вами связаться?
Норма — тикет-система, helpdesk, корпоративный email, желательно телефон. Подозрительно — только Telegram-чат.
4. Как принимают оплату?
Карта, банковский счёт, инвойсы — нормальный бизнес. Только крипта без альтернатив и без документов — плохо.
5. Есть status page и история инцидентов?
Публичная страница со списком прошлых сбоев — признак взрослого подхода.
Её отсутствие, или «всё всегда зелёное» — повод задуматься.
Главное: не держите проект в одном месте. Бэкап, желательно, у другого провайдера.
Примеры прозрачных провайдеров (на 2026 год)
Hetzner — немецкая компания, работает с 1997 года, дата-центры в Германии, Финляндии, США и Сингапуре.
OVHcloud — крупный французский провайдер, публичная компания на Euronext.
DigitalOcean — американский cloud для разработчиков, публичный на NYSE (тикер DOCN).
Vultr — юрлицо The Constant Company, LLC, прямо указанное в Terms of Service.
Akamai Cloud (бывший Linode) — часть Akamai после сделки 2022 года.
Scaleway — французский провайдер, часть группы Iliad (та же, что Free).
