Holland beslaglægger 800 servere i sag om russisk cyberinfrastruktur
Hollandske myndigheder har beslaglagt mere end 800 servere og anholdt to personer, som ifølge anklagemyndigheden har stillet hostinginfrastruktur til rådighed for russiske cyberoperationer rettet mod EU-lande. Sagen knytter sig til et netværk af hostingudbydere, der tidligere er blevet forbundet med DDoS-angreb, proxy-tjenester og informationsoperationer med russisk ophav.
Det skriver den altid velorienterede cyberjournalist Brian Krebs i sin blog.
Anholdelserne fandt sted den 18. maj og blev gennemført af den hollandske finansielle efterforskningsmyndighed FIOD. En 57-årig mand fra Amsterdam og en 39-årig mand fra Haag er sigtet for at have overtrådt EU’s sanktionslovgivning ved direkte eller indirekte at stille økonomiske og tekniske ressourcer til rådighed for sanktionerede enheder.
Stark Industries og vejen uden om sanktioner
Krebs skrier, at efterforskningen tager udgangspunkt i hostingudbyderen Stark Industries Solutions, som blev etableret kort før Ruslands invasion af Ukraine i 2022. Stark blev hurtigt identificeret som kilde til omfattende DDoS-angreb mod europæiske mål og som leverandør af anonymitets- og proxytjenester anvendt i cyberangreb med forbindelser til Rusland.
I maj 2025 sanktionerede EU den moldoviske hostingudbyder PQHosting og ejerne Ivan og Yuri Neculiti, som leverede en central internetforbindelse til Stark. Sanktionerne afskar dog ikke al Starks infrastruktur. En væsentlig forbindelse blev opretholdt via den hollandske internetudbyder MIRhosting.
Kort før sanktionerne trådte i kraft, blev Starks netværksaktiver overført til en ny enhed, the[.]hosting, under det hollandske selskab WorkTitans BV. WorkTitans var kontrolleret af Andrey Nesterenko, stifter af MIRhosting, og Youssef Zinad fra Amsterdam. Selskabet modtog samtidig internetforbindelse udelukkende via MIRhosting.
Ifølge anklagemyndigheden udgør denne konstruktion et brud på sanktionsregimet.
Razziaer og beslaglæggelser
FIOD gennemførte ransagninger hos virksomheder i Enschede og Almere samt i datacentre i Dronten og Schiphol‑Rijk. Ud over it-udstyr beslaglagde myndighederne mere end 800 servere. Kunder hos the[.]hosting blev efterfølgende informeret om, at data på de beslaglagte systemer var tabt og ikke kunne gendannes.
Den hollandske avis de Volkskrant har gennemgået data, som viser, at netværk tilknyttet WorkTitans og MIRhosting blev anvendt i pro-russiske cyberangreb mod danske myndigheder i november 2025, samtidig med kommunalvalget.
MIRhosting har oplyst, at virksomheden har iværksat en intern undersøgelse og midlertidigt suspenderet tjenester til WorkTitans. Selskabet anfører, at der ikke er observeret unormal netværkstrafik eller modtaget misbrugsrapporter i den omtalte periode.
Nesterenko har afvist, at overdragelsen af infrastruktur havde til formål at omgå sanktioner, og oplyser, at overførslen fandt sted før sanktionernes ikrafttræden. Efterforskningen fortsætter.