🛡 CIBERCRIMEN 🛡

Países Bajos incauta 800 servidores y arresta a 2 por facilitar ciberataques.

🛡CyberObservatorio
Países Bajos incauta 800 servidores y arresta a 2 por facilitar ciberataques.
Idioma

Países Bajos incauta 800 servidores y arresta a 2 por facilitar ciberataques.

Fuente: Krebs on Security

Las autoridades de los Países Bajos han detenido a los co-propietarios de dos empresas de hosting de Internet relacionadas, acusándolos de operar una infraestructura tecnológica utilizada por Rusia para llevar a cabo ciberataques, operaciones de influencia y campañas de desinformación dentro de la Unión Europea. Los dos hombres, cuyo caso fue destacado en un artículo de KrebsOnSecurity en 2025, estaban bajo la lupa por cómo sus empresas de hosting habían asumido el control de la infraestructura técnica de Stark Industries Solutions, un proveedor de servicios de Internet que fue sancionado el año pasado por la UE debido a su frecuente utilización como plataforma para actividades cibernéticas maliciosas vinculadas a las agencias de inteligencia rusas.

La investigación, llevada a cabo por el Servicio de Inteligencia y Investigación Fiscal (FIOD), la agencia de delitos financieros de los Países Bajos, culminó con la detención, el 18 de mayo, de un hombre de 57 años de Ámsterdam y otro de 39 años de La Haya, acusándolos de violar la ley de sanciones al poner, directa o indirectamente, recursos económicos a disposición de entidades sancionadas por la UE.

El foco de la investigación se centra en Stark Industries, un proveedor de hosting que emergió solo dos semanas antes de que Rusia invadiera Ucrania. Como se detalla en un análisis de mayo de 2024, Stark se convirtió rápidamente en la fuente de ataques de denegación de servicio distribuido (DDoS) masivos contra objetivos europeos y emergió como un importante proveedor de servicios de proxy y anonimato que aparecía repetidamente en ciberataques vinculados a grupos de hackers apoyados por Rusia.

Imagen del articulo

El informe identificó a dos hermanos moldavos, Ivan y Yuri Neculiti, y su empresa PQHosting, quienes eran responsables de uno de los dos principales conductos de Stark hacia la Internet más amplia. En mayo de 2025, la UE sancionó a PQHosting y a los hermanos Neculiti por ayudar a los esfuerzos de guerra híbrida de Rusia. Sin embargo, como observó KrebsOnSecurity en septiembre de 2025, esas sanciones no lograron afectar el resto de la conexión de Stark a Internet, que dependía de un proveedor de servicios de Internet con sede en los Países Bajos llamado MIRhosting.

MIRhosting es operado por Andrey Nesterenko, un nativo ruso de 39 años que dirige el negocio desde los Países Bajos. La noticia de que PQHosting y los hermanos Neculiti estaban a punto de ser sancionados por la UE se filtró a los medios casi dos semanas antes de que se anunciaran las sanciones. Durante ese tiempo, los activos de la red Stark fueron transferidos de PQHosting a una nueva entidad llamada the[.]hosting, bajo el control de la entidad holandesa WorkTitans BV.

Según nuestro informe de septiembre de 2025, WorkTitans estaba controlada por Nesterenko y un hombre de 57 años de Ámsterdam llamado Youssef Zinad. Además, WorkTitans solo obtenía conectividad a la Internet más amplia a través de MIRhosting, donde Zinad había trabajado anteriormente.

Imagen del articulo

El 18 de mayo, los investigadores de delitos financieros de los Países Bajos arrestaron a Nesterenko y Zinad, y llevaron a cabo registros en tres empresas en Enschede y Almere, así como en dos centros de datos en Dronten y Schiphol-Rijk. Un comunicado de las autoridades neerlandesas indicaba que también se habían incautado portátiles, teléfonos y más de 800 servidores.

De acuerdo con De Volkskrant, se revisaron datos que mostraban que WorkTitans y MIRhosting eran las redes más utilizadas en ataques pro-rusos contra organismos gubernamentales daneses entre el 13 y el 19 de noviembre de 2025, justo en la semana de las elecciones municipales de Dinamarca.

La publicación informó que, antes del arresto de Nesterenko, el fundador de MIRhosting negó saber que sus servidores estaban siendo mal utilizados por cibercriminales pro-rusos. “Dijo que había finalizado todos los servicios con los hermanos Neculiti cuando las sanciones de la UE entraron en vigor en mayo de 2025”, y que “se reservaba todos los derechos para tomar medidas contra ‘publicaciones dañinas e incorrectas’”, según De Volkskrant.

MIRhosting emitió un comunicado en el que afirmaba haber iniciado una investigación interna sobre los hechos alegados en relación con las elecciones en Dinamarca, y que había pausado temporalmente los servicios a WorkTitans como medida de precaución mientras se revisaba el asunto. “Basado en nuestras conclusiones preliminares, no hay indicios de que los servicios sobre los cuales ejercemos control hayan sido utilizados para influir en las elecciones danesas”, reza el comunicado. “No se observaron anomalías ni picos en nuestro tráfico de red durante el período mencionado en la publicación; si se hubieran producido ataques DDoS a gran escala, esa actividad habría sido evidente. Además, antes de la publicación en los medios, no habíamos recibido quejas, informes de abuso ni solicitudes oficiales sobre actividades sospechosas o mal uso de nuestra red. Mientras tanto, nuestras actividades operativas normales continúan, y nuestro servicio a nuestros otros clientes permanece completamente intacto”.

Nacido en Nizhni Nóvgorod, Rusia, Nesterenko creció como un prodigio del piano que se presentó públicamente a una edad temprana. En 2004, fundó la empresa matriz de MIRhosting, Innovation IT Solutions Corp., que se distingue por ser responsable de alojar stopgeorgia[.]ru, un sitio web hacktivista para organizar ciberataques contra Georgia que apareció al mismo tiempo que las fuerzas rusas invadían la ex nación soviética en 2008. Este conflicto se considera la primera guerra en la que un ciberataque notable y un enfrentamiento militar real ocurrieron simultáneamente.

Al responder preguntas enviadas por correo electrónico, Nesterenko afirmó que MIRhosting no apoya el cibercrimen, la evasión de sanciones ni actividades ilegales, y que las alegaciones y el arresto por parte de las autoridades neerlandesas han sido extremadamente perjudiciales para él y su empresa. “La transición hacia the.hosting no tenía la intención de evadir sanciones”, escribió Nesterenko. “El hardware y la cartera de clientes ya habían sido transferidos a WorkTitans antes de que aparecieran las sanciones. Cerrar o dañar una empresa de infraestructura legítima en los Países Bajos no detendrá el cibercrimen, pero perjudicará a muchas personas que no han hecho nada malo”.

Respecto a Zinad, la información es mucho más escasa. Se ha mantenido en un bajo perfil desde el año pasado, y De Volkskrant reportó que bloqueó el acceso a su cuenta de LinkedIn, no había respondido a correos electrónicos, mensajes de WhatsApp y llamadas telefónicas durante meses, y le dijo a un colega que una enfermedad le obligaba a llevar una vida más reclusa.

Nesterenko asegura que Zinad nunca fue un empleado de MIRhosting. “Él me ayudó a mí y a MIRhosting con ciertas tareas comerciales bajo un arreglo normal entre empresas”, explicó Nesterenko. Sin embargo, en correos electrónicos anteriores a KrebsOnSecurity, Nesterenko incluyó en copia a Zinad, quien tenía un correo electrónico de @mirhosting.com, explicando que formaba parte del equipo legal de la empresa. Además, el sitio web neerlandés stagemarkt[.]nl lista a Youssef Zinad como contacto oficial de las oficinas de MIRhosting en Almere.

Zinad nunca ha respondido a solicitudes de comentarios. De Volkskrant tampoco tuvo éxito en rastrearlo. La publicación indicó que preguntó repetidamente a Zinad (referido aquí simplemente como “Z”), pero él supuestamente evitó cualquier forma de contacto. “‘No estoy disponible pero responderé a tu mensaje lo antes posible’, dice una respuesta automática en WhatsApp del 2 de octubre de 2025”, reportó De Volkskrant. “Es la única respuesta que recibiría en meses. No atendió su teléfono ni devolvió la llamada. Cuando un conocido le pidió a través de LinkedIn que contactara al periodista, él bloqueó el acceso a su página de LinkedIn. En una dirección en Almere donde se registró la empresa limitada personal de Z., no había nadie presente en abril. Las persianas de la casa estaban bajadas y había un montón de bolsas de basura fuera junto a un contenedor, como si alguien hubiera salido recientemente. Un vecino dijo que conocía al hombre pero no sabía dónde se encontraba. Z. fue arrestado más tarde en un domicilio en Ámsterdam”.

Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks

Source: Krebs on Security

Authorities in the Netherlands have arrested the co-owners of two related Internet hosting companies for operating IT infrastructure used by Russia to carry out cyberattacks, influence operations and disinformation campaigns inside the European Union. The two men were the focus of a 2025 KrebsOnSecurity story about how their hosting companies had assumed control over the technical infrastructure ofStark Industries Solutions, an Internet service provider sanctioned last year by the EU as a frequent staging ground for cyber mischief from Russia’s intelligence agencies. An investigator with the Tax Intelligence and Investigation Service (FIOD), the Dutch financial crimes agency, during the raid. Image: FIOD. The Dutch daily news outletde Volkskrantreportsthat the Dutch financial crime agencyFIODon May 18 arrested a 57-year-old from Amsterdam and a 39-year-old from The Hague, charging them with violating sanctions law by directly or indirectly making economic resources available to EU-sanctioned entities. The Dutch investigation focuses on Stark Industries, a sprawling hosting provider that materialized just two weeks before Russia invaded Ukraine. As detailed inthis May 2024 deep-dive, Stark quickly became the source of massive distributed denial-of-service (DDoS) attacks against European targets, and emerged as a top supplier of proxy and anonymity services that showed up time and again in cyberattacks linked to Russia-backed hacking groups. That report identified two Moldovan brothers —IvanandYuri Neculitiand their companyPQHosting— who were providing one of Stark’s two main conduits to the larger Internet. In May 2025, the EU sanctioned PQHosting and the Neculiti brothers for aiding Russia’s hybrid warfare efforts. But as KrebsOnSecurityobserved in September 2025, those sanctions failed to target Stark’s remaining connection to the Internet — an Internet service provider based in the Netherlands calledMIRhosting. MIRhosting is operated byAndrey Nesterenko, a 39-year-old Russian native who runs the business out of the Netherlands. News that PQHosting and the Neculiti brothers were about to be sanctioned by the EU leaked in the media nearly two weeks before the sanctions were announced last year. During that time, the Stark network assets were transferred from PQHosting to a new entity calledthe[.]hosting, under the control of the Dutch entityWorkTitans BV. And as our September 2025 report showed, WorkTitans was controlled by Nesterenko and a 57-year-old from Amsterdam namedYoussef Zinad. On top of that, WorkTitans was getting connectivity to the larger Internet solely through MIRhosting, where Zinad had worked previously. On May 18, Dutch financial crime investigators arrested Nesterenko and Zinad, and searched three businesses in Enschede and Almere and two data centers in Dronten and Schiphol-Rijk. Astatementfrom the Dutch authorities said they also seized laptops, telephones and more than 800 servers. A message to the-hosting customers immediately after 800 of its servers were seized by Dutch authorities. The message says that unfortunately data stored on the server has been lost and cannot be recovered. De Volkskrant said it reviewed data showing WorkTitans and MIRhosting were the most-used networks in pro-Russian attacks on Danish government bodies between November 13 and 19, 2025, the week of Denmark’s municipal elections. The publication wrote that prior to Nesterenko’s arrest, the MIRhosting founder denied that he knew his servers had been misused by pro-Russian cybercriminals. “He said he had ended all services with the Neculiti brothers when the EU sanctions came into force in May 2025,” and the he “reserved all rights to take action against ‘harmful and incorrect publications,” de Volkskrant wrote. MIRhosting releaseda statementsaying it has initiated an internal investigation into the alleged facts concerning the elections in Denmark, and that it has temporarily paused services to WorkTitans as a precautionary measure while the matter is being reviewed further. “Based on our preliminary findings, there are no indications that the services over which we exercise control were actually used to influence the Danish elections,” the statement reads. “No anomalies or spikes were observed in our network traffic during the period mentioned in the publication; had large-scale DDoS attacks occurred, such activity would have been evident. Furthermore, prior to the media publication, we had not received any complaints, abuse reports, or official requests regarding suspicious activities or misuse of our network. Meanwhile, our regular operational activities continue, and our service to our other clients remains fully intact.” Born in Nizhny Novgorod, Russia, Mr. Nesterenko grew up as a piano prodigy who performed publicly at a young age. In 2004, Nesterenko founded MIRhosting’s parentInnovation IT Solutions Corp., which has the notable distinction of being the company responsible for hosting stopgeorgia[.]ru, a hacktivist website for organizing cyberattacks against Georgia that appeared at the same time Russian forces invaded the former Soviet nation in 2008. That conflict was thought to be the first war ever fought in which a notable cyberattack and an actual military engagement happened simultaneously. Responding to questions shared via email, Nesterenko said MIRhosting does not support cybercrime, sanctions evasion, or illegal activity, and that the allegations and arrest by Dutch authorities have been extremely harmful to him and his company. “The transition to the.hosting was not intended to evade sanctions,” Nesterenko wrote. “The hardware and customer portfolio had already been transferred to WorkTitans before the sanctions appeared. Closing or damaging a legitimate Dutch infrastructure company will not stop cybercrime, but it will harm many people who have done nothing wrong.” Far less is public about the 57-year-old Zinad, who reportedly has been keeping a low profile since our story last year. De Volkskrant reported that Zinad blocked access to his LinkedIn account, had gone months without responding to emails, WhatsApp messages and phone calls, and told a colleague that illness was forcing him to lead a somewhat more reclusive life. Mr. Zinad’s now-defunct LinkedIn profile. It was full of posts for MIRhosting’s services. Mr. Nesterenko claims Zinad was never an employee of MIRhosting. “He helped me and MIRhosting with certain business tasks under a normal business-to-business arrangement between companies,” Nesterenko explained. However, in previous emails to KrebsOnSecurity, Nesterenko carbon copied Mr. Zinad (who had a @mirhosting.com email), explaining that he was part of the company’s legal team. Also, the Dutch website stagemarkt[.]nllistsYoussef Zinad as an official contact for MIRhosting’s offices in Almere. Mr. Zinad has never responded to requests for comment. Nor did de Volkskrant have any luck tracking him down. The publication said it repeatedly asked Mr. Zinad (referred to here as simply “Z”), but he reportedly avoided every form of contact. “‘I am unavailable but will respond to your message as soon as possible,’ reads an automated reply on WhatsApp on 2 October 2025,” de Volkskrant reported. “It is the only response de Volkskrant would receive in months. He did not pick up his phone and did not call back. When an acquaintance asked him via LinkedIn to contact the reporter, he blocked access to his LinkedIn page. At an address in Almere where Z.’s personal limited company is registered, no one was present in April. The corner house’s blinds were drawn, and a pile of rubbish bags lay outside next to a container, as if someone had recently left. A neighbour said he knew the man but did not know where he was staying. Z. was later arrested at a residence in Amsterdam.”

Países Bajos incauta 800 servidores y arresta a 2 por facilitar ciberataques. | Ciberseguridad - NarcoObservatorio