2026-05-25 00:00
← VoltarAs autoridades dos Países Baixos prenderam os coproprietários de duas empresas de alojamento na Internet relacionadas por operarem infraestruturas de TI utilizadas pela Rússia para realizar ataques cibernéticos, influenciar operações e campanhas de desinformação dentro da União Europeia. Os dois homens foram o foco de uma história da KrebsOnSecurity de 2025 sobre como as suas empresas de alojamento assumiram o controlo da infra-estrutura técnica da Stark Industries Solutions, um fornecedor de serviços de Internet sancionado no ano passado pela UE como palco frequente de travessuras cibernéticas por parte das agências de inteligência da Rússia. O meio de comunicação diário holandês de Volkskrant relata que a agência holandesa de crimes financeiros FIOD prendeu, em 18 de maio, um homem de 57 anos de Amesterdão e um homem de 39 anos de Haia, acusando-os de violar a lei de sanções ao disponibilizar, direta ou indiretamente, recursos económicos a entidades sancionadas pela UE. A investigação holandesa centra-se na Stark Industries, um amplo fornecedor de alojamento que se materializou apenas duas semanas antes de a Rússia invadir a Ucrânia. Conforme detalhado neste aprofundamento de maio de 2024, Stark rapidamente se tornou a fonte de ataques massivos de negação de serviço distribuído (DDoS) contra alvos europeus e emergiu como um importante fornecedor de serviços de proxy e anonimato que apareceram repetidamente em ataques cibernéticos ligados a grupos de hackers apoiados pela...
As autoridades dos Países Baixos prenderam os coproprietários de duas empresas de alojamento na Internet relacionadas por operarem infraestruturas de TI utilizadas pela Rússia para realizar ataques cibernéticos, influenciar operações e campanhas de desinformação dentro da União Europeia. Os dois homens foram o foco de uma história da KrebsOnSecurity de 2025 sobre como as suas empresas de alojamento assumiram o controlo da infra-estrutura técnica da Stark Industries Solutions, um fornecedor de serviços de Internet sancionado no ano passado pela UE como palco frequente de travessuras cibernéticas por parte das agências de inteligência da Rússia. O meio de comunicação diário holandês de Volkskrant relata que a agência holandesa de crimes financeiros FIOD prendeu, em 18 de maio, um homem de 57 anos de Amesterdão e um homem de 39 anos de Haia, acusando-os de violar a lei de sanções ao disponibilizar, direta ou indiretamente, recursos económicos a entidades sancionadas pela UE. A investigação holandesa centra-se na Stark Industries, um amplo fornecedor de alojamento que se materializou apenas duas semanas antes de a Rússia invadir a Ucrânia. Conforme detalhado neste aprofundamento de maio de 2024, Stark rapidamente se tornou a fonte de ataques massivos de negação de serviço distribuído (DDoS) contra alvos europeus e emergiu como um importante fornecedor de serviços de proxy e anonimato que apareceram repetidamente em ataques cibernéticos ligados a grupos de hackers apoiados pela Rússia. Esse relatório identificou dois irmãos moldavos – Ivan e Yuri Neculiti e sua empresa PQHosting – que forneciam um dos dois principais canais de Stark para a Internet em geral. Em Maio de 2025, a UE sancionou a PQHosting e os irmãos Neculiti por ajudarem os esforços de guerra híbrida da Rússia. Mas, como KrebsOnSecurity observou em Setembro de 2025, essas sanções não atingiram a ligação restante de Stark à Internet – um fornecedor de serviços de Internet com sede nos Países Baixos chamado MIRhosting.
A MIRhosting é operada por Andrey Nesterenko, um russo de 39 anos que dirige o negócio na Holanda. A notícia de que PQHosting e os irmãos Neculiti estavam prestes a ser sancionados pela UE vazou na mídia quase duas semanas antes de as sanções serem anunciadas no ano passado. Durante esse período, os ativos da rede Stark foram transferidos da PQHosting para uma nova entidade chamada[.]hosting, sob o controle da entidade holandesa WorkTitans BV. E como mostrou nosso relatório de setembro de 2025, a WorkTitans era controlada por Nesterenko e por um homem de 57 anos de Amsterdã chamado Youssef Zinad. Além disso, a WorkTitans estava obtendo conectividade com a Internet em geral apenas por meio da MIRhosting, onde Zinad havia trabalhado anteriormente. Em 18 de maio, investigadores holandeses de crimes financeiros prenderam Nesterenko e Zinad e revistaram três empresas em Enschede e Almere e dois centros de dados em Dronten e Schiphol-Rijk. Um comunicado das autoridades holandesas afirma que também apreenderam computadores portáteis, telefones e mais de 800 servidores. De Volkskrant disse que revisou dados que mostram que WorkTitans e MIRhosting foram as redes mais utilizadas em ataques pró-Rússia a órgãos governamentais dinamarqueses entre 13 e 19 de novembro de 2025, semana das eleições municipais na Dinamarca.
A publicação escreveu que antes da prisão de Nesterenko, o fundador da MIRhosting negou saber que seus servidores haviam sido usados indevidamente por cibercriminosos pró-Rússia. “Ele disse que encerrou todos os serviços com os irmãos Neculiti quando as sanções da UE entraram em vigor em maio de 2025” e “reservou-se todos os direitos para tomar medidas contra ‘publicações prejudiciais e incorretas”, escreveu de Volkskrant. A MIRhosting divulgou um comunicado dizendo que iniciou uma investigação interna sobre os supostos fatos relativos às eleições na Dinamarca e que interrompeu temporariamente os serviços para WorkTitans como medida de precaução enquanto o assunto está sendo analisado mais detalhadamente. “Com base nas nossas conclusões preliminares, não há indicações de que os serviços sobre os quais exercemos controlo tenham sido realmente utilizados para influenciar as eleições dinamarquesas”, diz o comunicado. “Não foram observadas anomalias ou picos no tráfego da nossa rede durante o período mencionado em a publicação; se tivessem ocorrido ataques DDoS em grande escala, tal atividade teria sido evidente. Além disso, antes da publicação na mídia, não recebemos quaisquer reclamações, denúncias de abuso ou solicitações oficiais relacionadas a atividades suspeitas ou uso indevido de nossa rede. Enquanto isso, nossas atividades operacionais regulares continuam e nosso serviço aos nossos outros clientes permanece totalmente intacto.” Nascido em Nizhny Novgorod, na Rússia, Nesterenko cresceu como um prodígio do piano que se apresentava publicamente ainda jovem. Em 2004, Nesterenko fundou a Innovation IT Solutions Corp., controladora da MIRhosting, que tem a notável distinção de ser a empresa responsável por hospedar o stopgeorgia[.]ru, um site hacktivista para organizar ataques cibernéticos contra a Geórgia que apareceu ao mesmo tempo em que as forças russas invadiram a antiga nação soviética em 2008.
Esse conflito foi considerado a primeira guerra já travada em que um ataque cibernético notável e um envolvimento militar real aconteceram simultaneamente. Respondendo às perguntas compartilhadas por e-mail, Nesterenko disse que a MIRhosting não apoia crimes cibernéticos, evasão de sanções ou atividades ilegais, e que as alegações e prisões pelas autoridades holandesas foram extremamente prejudiciais para ele e sua empresa. “A transição para the.hosting não teve como objetivo evitar sanções”, escreveu Nesterenko. “O hardware e a carteira de clientes já haviam sido transferidos para a WorkTitans antes do surgimento das sanções. Fechar ou danificar uma empresa holandesa legítima de infraestrutura não impedirá o crime cibernético, mas prejudicará muitas pessoas que não fizeram nada de errado.” Muito menos é público sobre Zinad, de 57 anos, que supostamente tem se mantido discreto desde nossa história no ano passado. De Volkskrant relatou que Zinad bloqueou o acesso à sua conta do LinkedIn, passou meses sem responder a e-mails, mensagens de WhatsApp e telefonemas, e disse a um colega que a doença o estava forçando a levar uma vida um pouco mais reclusa. Nesterenko afirma que Zinad nunca foi funcionário da MIRhosting. “Ele ajudou a mim e à MIRhosting em certas tarefas de negócios sob um acordo business-to-business normal entre empresas”, explicou Nesterenko.
No entanto, em e-mails anteriores para KrebsOnSecurity, Nesterenko copiou o Sr. Zinad (que tinha um e-mail @mirhosting.com), explicando que fazia parte da equipe jurídica da empresa. Além disso, o site holandês stagemarkt[.]nl lista Youssef Zinad como contato oficial dos escritórios da MIRhosting em Almere. Zinad nunca respondeu aos pedidos de comentários. Nem Volkskrant teve sorte em localizá-lo. A publicação disse que perguntou repetidamente ao Sr. Zinad (referido aqui simplesmente como “Z”), mas ele teria evitado qualquer forma de contato. “‘Não estou disponível, mas responderei à sua mensagem o mais rápido possível’, diz uma resposta automática no WhatsApp em 2 de outubro de 2025”, relatou de Volkskrant.
“É a única resposta que o Volkskrant receberia em meses. Ele não pegou o telefone e não ligou de volta. Quando um conhecido lhe pediu via LinkedIn para entrar em contato com o repórter, ele bloqueou o acesso à sua página no LinkedIn. Num endereço em Almere onde está registada a sociedade anónima de Z., ninguém estava presente em abril. As persianas da casa da esquina estavam fechadas e uma pilha de sacos de lixo estava do lado de fora, ao lado de um contêiner, como se alguém tivesse saído recentemente. Um vizinho disse que conhecia o homem, mas não sabia onde ele estava hospedado. Z. foi posteriormente preso em uma residência em Amsterdã.”