Países Bajos incauta 800 servidores y arresta a 2 personas por presuntamente apoyar ciberataques

 (krebsonsecurity.com)
1 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Las autoridades neerlandesas arrestaron a dos copropietarios de una empresa de hosting, sospechosos de operar infraestructura de TI usada en ciberataques de Rusia dentro de la UE, operaciones de influencia y campañas de desinformación
  • El 18 de mayo, la FIOD arrestó a un hombre de 57 años en Ámsterdam y a otro de 39 años en La Haya, e incautó más de 800 servidores y dispositivos durante allanamientos en instalaciones comerciales y centros de datos
  • La investigación se centra en Stark Industries, surgida justo antes de la invasión rusa, y esta infraestructura ha aparecido repetidamente en ataques DDoS contra objetivos europeos y en servicios de proxy y anonimización vinculados a grupos de hacking respaldados por Rusia
  • Antes de las sanciones de la UE, los activos de Stark fueron transferidos de PQHosting a the[.]hosting, y se determinó que esta entidad recibía conectividad a Internet únicamente a través de MIRhosting bajo WorkTitans BV
  • Aunque MIRhosting y Andrey Nesterenko negaron haber ayudado a evadir sanciones o apoyar actividades ilegales, WorkTitans suspendió temporalmente sus servicios e inició una investigación interna relacionada con las elecciones en Dinamarca

Arrestos e incautación de servidores en Países Bajos

  • La agencia neerlandesa de investigación de delitos financieros FIOD arrestó el 18 de mayo a un hombre de 57 años en Ámsterdam y a otro de 39 años en La Haya, según informó el diario neerlandés de Volkskrant
  • Ambos están acusados de violar la ley de sanciones al proporcionar directa o indirectamente recursos económicos a personas o entidades sujetas a sanciones de la UE
  • Los investigadores registraron tres locales comerciales en Enschede y Almere, así como dos centros de datos en Dronten y Schiphol-Rijk, e incautaron laptops, teléfonos y más de 800 servidores, según anunciaron las autoridades neerlandesas
  • Un mensaje enviado a clientes de the[.]hosting indicó que, inmediatamente después de la incautación, los datos almacenados en los servidores se perdieron y no pudieron recuperarse

Stark Industries y las sospechas de evasión de sanciones

  • La investigación neerlandesa se enfoca en el gran proveedor de hosting Stark Industries, que apareció dos semanas antes de la invasión rusa de Ucrania
  • Stark fue origen de ataques DDoS a gran escala dirigidos a objetivos en Europa y surgió como un proveedor clave de servicios de proxy y anonimización que aparecieron repetidamente en ataques vinculados a grupos de hacking respaldados por Rusia, como se detalla en un análisis en profundidad de mayo de 2024
  • Ese análisis identificó a los hermanos moldavos Ivan Neculiti y Yuri Neculiti, así como a su empresa PQHosting, como proveedores de una de las dos principales rutas de conectividad a Internet de Stark
  • La UE sancionó a PQHosting y a los hermanos Neculiti en mayo de 2025 por presuntamente ayudar a la guerra híbrida de Rusia
  • Sin embargo, según un reporte de septiembre de 2025, las sanciones no alcanzaron a la otra ruta de conectividad restante de Stark: el ISP neerlandés MIRhosting
  • Aproximadamente dos semanas antes del anuncio de las sanciones de la UE contra PQHosting y los hermanos Neculiti, se filtró información relacionada a la prensa, y en ese intervalo los activos de red de Stark fueron transferidos desde PQHosting a una nueva entidad, the[.]hosting
  • El reporte de septiembre de 2025 indicó que the[.]hosting estaba bajo el control de la empresa neerlandesa WorkTitans BV, la cual, a su vez, estaba controlada por Andrey Nesterenko y Youssef Zinad
  • WorkTitans recibía su conexión al Internet global exclusivamente a través de MIRhosting, y Zinad había trabajado anteriormente en MIRhosting

Ataques durante las elecciones danesas y la respuesta de MIRhosting

  • de Volkskrant revisó datos que muestran que WorkTitans y MIRhosting fueron las redes más utilizadas en ataques prorrusos dirigidos contra organismos del gobierno danés durante la semana de las elecciones locales de Dinamarca, del 13 al 19 de noviembre de 2025
  • Antes de su arresto, Nesterenko negó saber que sus servidores estaban siendo mal utilizados por ciberdelincuentes prorrusos
  • Nesterenko afirmó que terminó todos los servicios con los hermanos Neculiti cuando entraron en vigor las sanciones de la UE en mayo de 2025, y dijo que se reservaba todos los derechos frente a una “cobertura dañina e inexacta”
  • MIRhosting emitió una declaración indicando que inició una investigación interna sobre las acusaciones relacionadas con las elecciones danesas y que suspendió temporalmente los servicios a WorkTitans como medida preventiva mientras continúa su revisión
  • MIRhosting dijo que su investigación preliminar no encontró indicios de que los servicios bajo su control hubieran sido realmente utilizados para influir en las elecciones danesas
  • La empresa sostuvo que no se observaron anomalías ni aumentos en el tráfico de red durante ese periodo, y que, si hubiera ocurrido un ataque DDoS de gran escala, esa actividad habría quedado en evidencia
  • MIRhosting también afirmó que, antes de los reportes de prensa, nunca recibió quejas, abuse report ni solicitudes oficiales relacionadas con actividades sospechosas o uso indebido de la red, y que los servicios para otros clientes siguen funcionando con normalidad

Antecedentes de Andrey Nesterenko y MIRhosting

  • Andrey Nesterenko fundó en 2004 la empresa matriz de MIRhosting, Innovation IT Solutions Corp.
  • Se menciona a Innovation IT Solutions Corp. como la empresa que alojó el sitio hacktivista stopgeorgia[.]ru, que apareció en 2008 cuando el ejército ruso invadió Georgia
  • Se describe a stopgeorgia[.]ru como un sitio web que organizaba ciberataques contra Georgia, y ese conflicto es considerado la primera guerra en la que ciberataques notorios y enfrentamientos militares reales ocurrieron al mismo tiempo
  • En una respuesta por correo electrónico, Nesterenko afirmó que MIRhosting no apoya el ciberdelito, la evasión de sanciones ni actividades ilegales, y que las acusaciones y arrestos de las autoridades neerlandesas son extremadamente perjudiciales para él y para la empresa
  • Nesterenko sostuvo que la transición hacia the[.]hosting no tuvo como objetivo evadir sanciones, y que el hardware y la cartera de clientes ya habían sido transferidos a WorkTitans antes de que aparecieran las sanciones
  • Nesterenko afirmó que cerrar o dañar una empresa legítima de infraestructura neerlandesa no detendrá el ciberdelito y perjudicará a muchas personas inocentes

El papel de Youssef Zinad

  • Hay mucha menos información pública sobre Youssef Zinad, y se dice que ha mantenido un perfil bajo desde los reportes de 2025
  • Nesterenko afirmó que Zinad no era empleado de MIRhosting y que lo ayudó a él y a MIRhosting en tareas comerciales específicas bajo un contrato B2B normal entre empresas
  • Sin embargo, en correos electrónicos enviados previamente a KrebsOnSecurity, Nesterenko incluyó como referencia a Zinad, quien tenía una dirección @mirhosting.com, y lo describió como parte del equipo legal de la empresa
  • El sitio web neerlandés stagemarkt[.]nl lista a Youssef Zinad como contacto oficial de la oficina de MIRhosting en Almere
  • de Volkskrant reportó que Zinad bloqueó el acceso a su cuenta de LinkedIn, no respondió durante meses a correos electrónicos, WhatsApp ni llamadas telefónicas, y después fue arrestado en una residencia de Ámsterdam

Lecturas relacionadas

1 comentarios

 
GN⁺ 3 시간 전
Comentarios de Hacker News

  • Hay que señalar que cuesta ver a estas empresas como compañías de hosting legítimas. No es solo algo preocupante como servidores en el extranjero sin KYC; se parecen más a empresas fachada de los servicios de inteligencia rusos, propiedad de personal de inteligencia ruso, que no hacen ningún otro negocio y que ni siquiera ofrecerían hosting al público general aunque alguien lo quisiera
    En Alemania, una vez alguien se registró en un proveedor de correo electrónico (pissmail) y envió spam, y por eso ese proveedor terminó en la cárcel; por ese efecto colateral llegué a perder varias de mis cuentas de redes sociales

    • No parece correcto decir que “no ofrecen hosting al público general”. Hace tiempo necesité con urgencia un VPS temporal y usé PQ.Hosting, y también había muchos otros usuarios normales
      No pedían gran cosa, pero llegaban a bloquear usuarios a lo loco solo por usar torrents, así que no era hosting blindado en ningún sentido serio. Es muy posible que estuvieran metidos en cosas sospechosas y la calidad de las IP era pésima, pero sí ofrecían un servicio normal
    • Haría falta una fuente que respalde esa afirmación. Si no, suena casi como una teoría conspirativa

  • Durante toda mi carrera en seguridad he estado del lado de la defensa
    Sé que en algunos mercados el crimen deja más dinero que el trabajo legal, pero siempre me sorprende cuánto pensamiento, esfuerzo, planificación e ingeniería se invierte en prestar servicios de infraestructura IT para ciberdelincuentes. La gente involucrada claramente tiene la capacidad de ganar buen dinero haciendo algo legal, así que me cuesta entender que elijan apoyar criminales

    • Vi a una persona con buen trabajo, carrera y familia meterse en el cibercrimen, venirse abajo y terminar en prisión
      Por lo que entendí, disfrutaba el subidón de superioridad que le daba burlar la ley, explotar a quienes consideraba tontos y ganar dinero en el proceso
      Viéndolo en retrospectiva, lo atraparon por un error realmente estúpido. Al parecer confiaba tanto en su supuesta superioridad intelectual y en la estupidez ajena que terminó creyendo que nadie podía atraparlo
    • Irse por la vía legal no siempre es tan fácil. Especialmente en el mercado laboral actual, y más según dónde vivas
      Estados Unidos es un mercado atípico donde los salarios tecnológicos son altos, y este tipo de trabajo puramente operativo está del lado bajo incluso dentro de esos sueldos altos. Si estás en un país donde el salario promedio de un administrador de sistemas es mucho menor, por ejemplo en Europa del Este, alrededor de 30 mil a 35 mil dólares al año, no es difícil entender por qué el cibercrimen puede parecer tentador
    • Solo imagina trabajar en una organización donde 1) la ciberseguridad sí es realmente la prioridad número uno, por encima de cosas como el “valor para los accionistas”; 2) diseñas sistemas asumiendo que todos los demás actores son maliciosos; 3) el presupuesto es prácticamente ilimitado; y 4) te pagan varias veces más que en una empresa privada
      Es un entorno sin las típicas excepciones de “hacemos zero trust, pero toda la capa de administración está en Azure, así que ni modo”
    • Conviene no pensar en esto como “prestar servicios de infraestructura IT a ciberdelincuentes”. Así parece que, en esencia, son personal de IT que opera infraestructura y que por casualidad solo tiene ese tipo de clientes
      Más bien, lo correcto es pensar que varias organizaciones de cibercrimen no lograban encontrar un hosting que las aceptara, así que hicieron el trabajo pesado de montar su propia infraestructura backend de IT, y luego, a partir de esa infraestructura ya construida, fueron derivando en varias direcciones
      Primero, se dieron cuenta de que sus propias necesidades mostraban una demanda general insatisfecha de hosting de tipo “no preguntes, no digas nada”, y empezaron a ofrecerlo como actividad secundaria
      Segundo, vieron que, en situaciones como registrar un ASN, les servía de escudo hacer más creíble la fachada de una empresa de hosting inventada, así que pegaron por encima una carcasa de sitio de hosting sin clientes reales ni plano de control
      Tercero, concluyeron que tener clientes reales que generaran tráfico legítimo desde el ASN les daba más apariencia de legitimidad y hacía que otros ASN dudaran en bloquearlos por completo, así que montaron de verdad, en algún servidor miserable, algo parecido a la infraestructura de un proveedor VPS común. Lo más probable es que no haya sido OpenStack, sino algún equipo IaaS viejo, tosco y llave en mano comprado en un mercado de cibercrimen
      Cuarto, y esto parece ser la ruta más común, hablando con sus amigos ciberdelincuentes estos les fueron pidiendo: “si ustedes ya construyeron algo, hospédennos también a nosotros”, y poco a poco eso evolucionó en una división de hosting de facto. A medida que fueron aceptando más clientes de este tipo, de alta interacción y llegados por recomendación, la configuración manual se volvió una carga y terminaron empezando a automatizar
    • Conseguir un empleo tecnológico legal no es tan fácil. Hoy en día, los trabajos de tecnología ya son casi un lujo

  • Cuando estaba aprendiendo con mi homelab y configuré pfSense, pude ver de qué regiones venían los escaneos y ataques contra la IP de internet de mi casa. Me sorprendió que Países Bajos apareciera tanto como Rusia o China, y terminé bloqueando toda esa región
    Me pregunto por qué Países Bajos es tan atractivo para esta gente

    • Porque los servidores están ahí. Basta con ver cuántos nodos de Tor hay en Países Bajos. Eso no significa que el operador real esté en Países Bajos
    • Supongo que por el alto ancho de banda y por penas relativamente bajas

  • Si te interesan los centros de datos con mala fama, vale la pena ver CyberBunker. Conceptualmente es interesante, y esto también está en Países Bajos
    https://en.wikipedia.org/wiki/CyberBunker

  • Es ridículo leer que “las sanciones no lograron apuntar a la conexión a internet restante de Stark, es decir, el proveedor de servicios de internet con sede en Países Bajos MIRhosting”. Paso todos los días frente a la oficina de mirhosting

  • Ojalá también hicieran públicos los nombres y presentaran cargos contra quienes pagaron por llevar a cabo los ataques

    • Si fue el FSB, ¿qué se puede hacer? Rusia derribó un avión de pasajeros lleno de ciudadanos neerlandeses y no pasó gran cosa
    • Las autoridades de investigación normalmente no hablan de investigaciones en curso