Mon, 25 May 2026
← VoltarAs autoridades holandesas prenderam coproprietários de empresas de hospedagem utilizadas pela Rússia para ataques cibernéticos e desinformação na UE.
As autoridades dos Países Baixos prenderam os coproprietários de duas empresas de alojamento na Internet relacionadas por operarem infraestruturas de TI utilizadas pela Rússia para realizar ataques cibernéticos, influenciar operações e campanhas de desinformação dentro da União Europeia. Os dois homens foram o foco de uma história da KrebsOnSecurity de 2025 sobre como as suas empresas de alojamento assumiram o controlo da infra-estrutura técnica da Stark Industries Solutions, um fornecedor de serviços de Internet sancionado no ano passado pela UE como palco frequente de travessuras cibernéticas por parte das agências de inteligência da Rússia. Um investigador do Serviço de Inteligência e Investigação Fiscal (FIOD), a agência holandesa de crimes financeiros, durante a operação. Imagem: FIOD.
O meio de comunicação diário holandês de Volkskrant relata que a agência holandesa de crimes financeiros FIOD prendeu, em 18 de maio, um homem de 57 anos de Amesterdão e um homem de 39 anos de Haia, acusando-os de violar a lei de sanções ao disponibilizar, direta ou indiretamente, recursos económicos a entidades sancionadas pela UE. A investigação holandesa centra-se na Stark Industries, um amplo fornecedor de alojamento que se materializou apenas duas semanas antes de a Rússia invadir a Ucrânia. Conforme detalhado neste aprofundamento de maio de 2024, Stark rapidamente se tornou a fonte de ataques massivos de negação de serviço distribuído (DDoS) contra alvos europeus e emergiu como um importante fornecedor de serviços de proxy e anonimato que apareceram repetidamente em ataques cibernéticos ligados a grupos de hackers apoiados pela Rússia. Esse relatório identificou dois irmãos moldavos – Ivan e Yuri Neculiti e sua empresa PQHosting – que forneciam um dos dois principais canais de Stark para a Internet em geral.
Em Maio de 2025, a UE sancionou a PQHosting e os irmãos Neculiti por ajudarem os esforços de guerra híbrida da Rússia. Mas, como KrebsOnSecurity observou em Setembro de 2025, essas sanções não atingiram a ligação restante de Stark à Internet – um fornecedor de serviços de Internet com sede nos Países Baixos chamado MIRhosting. A MIRhosting é operada por Andrey Nesterenko, um russo de 39 anos que dirige o negócio na Holanda. A notícia de que PQHosting e os irmãos Neculiti estavam prestes a ser sancionados pela UE vazou na mídia quase duas semanas antes de as sanções serem anunciadas no ano passado.
Durante esse período, os ativos da rede Stark foram transferidos da PQHosting para uma nova entidade chamada[.]hosting, sob o controle da entidade holandesa WorkTitans BV. E como mostrou nosso relatório de setembro de 2025, a WorkTitans era controlada por Nesterenko e por um homem de Amsterdã de 57 anos chamado Youssef Zinad. Além disso, a WorkTitans estava obtendo conectividade com a Internet em geral apenas por meio da MIRhosting, onde Zinad havia trabalhado anteriormente. Em 18 de maio, investigadores holandeses de crimes financeiros prenderam Nesterenko e Zinad e revistaram três empresas em Enschede e Almere e dois centros de dados em Dronten e Schiphol-Rijk.
Um comunicado das autoridades holandesas afirma que também apreenderam computadores portáteis, telefones e mais de 800 servidores. Uma mensagem aos clientes de hospedagem imediatamente após 800 de seus servidores terem sido apreendidos pelas autoridades holandesas. A mensagem diz que infelizmente os dados armazenados no servidor foram perdidos e não podem ser recuperados. De Volkskrant disse que revisou dados que mostram que WorkTitans e MIRhosting foram as redes mais utilizadas em ataques pró-Rússia a órgãos governamentais dinamarqueses entre 13 e 19 de novembro de 2025, semana das eleições municipais na Dinamarca.
A publicação escreveu que antes da prisão de Nesterenko, o fundador da MIRhosting negou saber que seus servidores haviam sido usados indevidamente por cibercriminosos pró-Rússia. “Ele disse que encerrou todos os serviços com os irmãos Neculiti quando as sanções da UE entraram em vigor em maio de 2025” e “reservou-se todos os direitos para tomar medidas contra ‘publicações prejudiciais e incorretas”, escreveu de Volkskrant. A MIRhosting divulgou um comunicado dizendo que iniciou uma investigação interna sobre os supostos fatos relativos às eleições na Dinamarca e que interrompeu temporariamente os serviços para WorkTitans a É uma medida de precaução enquanto o assunto está sendo analisado posteriormente. “Com base nas nossas conclusões preliminares, não há indicações de que os serviços sobre os quais exercemos controlo tenham sido realmente utilizados para influenciar as eleições dinamarquesas”, diz o comunicado.
“Não foram observadas anomalias ou picos no tráfego de nossa rede durante o período mencionado na publicação; se tivessem ocorrido ataques DDoS em grande escala, tal atividade teria sido evidente. Além disso, antes da publicação na mídia, não havíamos recebido nenhuma reclamação, relatório de abuso ou solicitação oficial sobre atividades suspeitas ou uso indevido de nossa rede. Enquanto isso, nossas atividades operacionais regulares continuam e nosso serviço aos nossos outros clientes permanece totalmente intacto.” Nascido em Nizhny Novgorod, na Rússia, Nesterenko cresceu como um prodígio do piano que se apresentava publicamente ainda jovem. Em 2004, Nesterenko fundou a Innovation IT Solutions Corp., controladora da MIRhosting, que tem a notável distinção de ser a empresa responsável por hospedar o stopgeorgia[.]ru, um site hacktivista para organizar ataques cibernéticos contra a Geórgia que apareceu ao mesmo tempo em que as forças russas invadiram a antiga nação soviética em 2008.
Esse conflito foi considerado a primeira guerra já travada em que um ataque cibernético notável e um envolvimento militar real aconteceram simultaneamente. Respondendo às perguntas compartilhadas por e-mail, Nesterenko disse que a MIRhosting não apoia crimes cibernéticos, evasão de sanções ou atividades ilegais, e que as alegações e prisões pelas autoridades holandesas foram extremamente prejudiciais para ele e sua empresa. “A transição para the.hosting não teve como objetivo evitar sanções”, escreveu Nesterenko. "O hardware e a carteira de clientes já haviam sido transferidos para a WorkTitans antes do aparecimento das sanções.
Fechar ou danificar uma empresa holandesa legítima de infraestrutura não impedirá o crime cibernético, mas prejudicará muitas pessoas que não fizeram nada de errado." Muito menos é público sobre Zinad, de 57 anos, que supostamente tem se mantido discreto desde nossa história no ano passado. De Volkskrant relatou que Zinad bloqueou o acesso à sua conta do LinkedIn, passou meses sem responder a e-mails, mensagens de WhatsApp e telefonemas, e disse a um colega que a doença o estava forçando a levar uma vida um pouco mais reclusa. O agora extinto perfil do Sr. Zinad no LinkedIn.
Estava cheio de postagens sobre os serviços da MIRhosting. Nesterenko afirma que Zinad nunca foi funcionário da MIRhosting. “Ele ajudou a mim e à MIRhosting em certas tarefas de negócios sob um acordo business-to-business normal entre empresas”, explicou Nesterenko. No entanto, em e-mails anteriores para KrebsOnSecurity, Nesterenko copiou o Sr.
Zinad (que tinha um e-mail @mirhosting.com), explicando que fazia parte da equipe jurídica da empresa. Além disso, o site holandês stagemarkt[.]nl lista Youssef Zinad como contato oficial dos escritórios da MIRhosting em Almere. Zinad nunca respondeu aos pedidos de comentários. Nem Volkskrant teve sorte em localizá-lo.
A publicação disse que perguntou repetidamente ao Sr. Zinad (referido aqui simplesmente como “Z”), mas ele teria evitado qualquer forma de contato. “‘Não estou disponível, mas responderei à sua mensagem o mais rápido possível’, diz uma resposta automática no WhatsApp em 2 de outubro de 2025”, relatou de Volkskrant. "É a única resposta que Volkskrant receberia em meses.
Ele não atendeu o telefone e não ligou de volta. Quando um conhecido lhe pediu para entrar em contato com o repórter via LinkedIn, ele bloqueou o acesso à sua página do LinkedIn. Em um endereço em Almere, onde a sociedade anônima de Z. está registrada, ninguém estava presente em abril.
As persianas da casa da esquina estavam fechadas e uma pilha de sacos de lixo estava do lado de fora, ao lado de um contêiner, como se alguém tivesse saído recentemente. Um vizinho disse que conhecia o homem, mas não sabia onde ele estava hospedado, Z. foi posteriormente preso em uma residência em Amsterdã.” Esta entrada foi publicada na segunda-feira, 25 de maio de 2026, 09:21 PQHosting, Stark Industries, MIRhosting,WorkTitans – fora de cabeça – então Os idiotas Youssef Zinad, Andrey Nesterenko e os irmãos Neculiti limpam o sangue enquanto saem da prisão. Anualmente.
É assim que você faz. Crédito total às autoridades holandesas. Vamos ver o quão chique seu urso está agora. Não está exatamente relacionado ao conteúdo do artigo, mas obrigado por nomear o FIOD.
Tenho tido problemas com uma grande empresa de tecnologia holandesa que está roubando dinheiro de mim na forma de assinaturas não canceláveis. A empresa retaliou contra mim depois que revelei um vazamento de PII à DPA, a DPA vazou minha denúncia confidencial para a empresa e, no mesmo dia em que o vazamento de PII foi corrigido, a empresa baniu minha conta em seu serviço. No momento em que este artigo foi escrito, a empresa estava ignorando todas as tentativas de contato por quase 365 dias e mantendo uma assinatura em andamento na conta, sem possibilidade de cancelá-la. Os processadores de pagamento não se importam, Stripe apenas responde copiando e colando texto como “com certeza investigaremos!” mas, naturalmente, não estamos considerando que a empresa tem grande destaque no stripe.com.
Seria de esperar que a DPA aproveitasse a primeira oportunidade para fazer de uma grande empresa de tecnologia um exemplo e multá-la em milhões de euros (milhões de utilizadores afetados, nenhuma declaração pública, nenhum utilizador informado), mas quem vigia os vigias? Então, hoje decidi entrar em contato com o FIOD sobre essa enorme fraude financeira. Não sou a única vítima, pois contas banidas não conseguem cancelar/gerenciar assinaturas. Talvez vá para algum lugar, talvez não.
Até agora, a minha experiência com os burocratas holandeses tem sido extremamente negativa. A ACM holandesa (agência de proteção ao consumidor) é uma piada - enfrentei retaliação direta depois que a DPA encaminhou minha denúncia confidencial para eles, e agora eles estão simplesmente dizendo "Por favor, tente um acordo fora do tribunal, não somos um mediador na sua situação, apenas usamos suas informações como um guia para determinar quem investigar", como se eles não tivessem causado diretamente a retaliação... Bônus: eles estão apenas se comunicando comigo por meio de uma resposta, apesar de anteriormente terem se comunicado muito bem por e-mail, me forçando a preencher um complexo holandês webform cada vez que quero enviar uma mensagem hahahahahaha Vá ao seu banco e diga que você perdeu seu cartão. Pena que a América não parece ser capaz de fazer isso depois desses “maus atos” que espalham desinformação e escrevem mentiras para reagir às choas na América.
Há tantas informações falsas sendo postadas para tornar a situação na América pior do que já é. Ajude a Dinamarca!!!! A infraestrutura de rede e servidores ainda está funcionando como cães UPAdlinianos. Não se assuste Servidores físicos são uma coisa, quantos servidores você quiser em IPs virtuais é outra.
Esse número 800 pode vir de 2 servidores, então acalme-se e peça mais fatos ou espere até depois do julgamento. “Esse número 800 pode vir de 2 servidores” não é realmente o ponto “a”. 800 também não é um grande número no espaço virtual. “acalme-se”, como relatar determinadas informações que você possui, de alguma forma, não é a melhor opção?
Quem está fervendo? Deixe Brian cozinhar, vá comer um schvitz. Estamos todos esperando por mais fatos e pelo julgamento, é um tempo linear fazendo isso. Re: a foto que acompanha, os ‘mocinhos’ não deveriam usar chapéus brancos?
Aí vem a polícia do estilo. Eles usaram todos esses 800 servidores apenas para ataques DDoS ou para qualquer outra atividade ilegal? É mencionado no artigo, se você o ler, mas eles são/foram anfitriões bem conhecidos de campanhas de desinformação russas e outros ataques que os pesquisadores de segurança alegaram serem de entidades russas relacionadas ao FSB e ao GRU. Veja o terceiro rack acima: “Trazido a você pela família do crime Trump como uma distração dos arquivos Trump-Epstein”.
Onde quer que o crime ocorra, procure o envolvimento da família Trump. Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados * Comentário * Nome * E-mail * Site Δ Pesquisa na lista de discussão KrebsOnSecurity Postagens recentes Categorias de histórias Por que tantos hackers importantes vêm da Rússia