Kiedy infrastruktura staje się problemem: sprawa Stark Industries

W branży hostingu od czasu do czasu pojawiają się historie, które pokazują, jak bardzo da się skomplikować proste rzeczy. Sprawa Stark Industries Solutions Ltd. to jeden z takich przykładów. Pod koniec maja 2026 roku holenderskie służby przeprowadziły akcję, która ujawniła, że za pozornie legalną firmą kryła się działalność bulletproof hostingowa.

Skąd się wzięła ta firma

Spółkę zarejestrowano w lutym 2022 roku – dosłownie dwa tygodnie przed rosyjską inwazją na Ukrainę. Oficjalnie miała pomagać resellerom ukryć pochodzenie adresów IP przed powiązaniem z PQ Hosting, wcześniejszym projektem braci Neculiti. W rzeczywistości chodziło o stworzenie kolejnej warstwy oddzielającej właścicieli od faktycznej infrastruktury.

Ivan i Iurie Neculiti pochodzą z Naddniestrza. Działali w branży od lat, oferując serwery odporne na zgłoszenia i kontrole. Ich poprzednia firma, PQ Hosting, obsługiwała w szczytowym momencie ponad 120 tysięcy klientów w kilkudziesięciu krajach. Stark Industries miało być po prostu kolejnym wcieleniem tego samego biznesu.

Dlaczego fingerprinting ich zdemaskował

Po sankcjach UE nałożonych w maju 2025 roku bracia przenieśli działalność do nowej holenderskiej spółki WorkTitans B.V., działającej pod marką THE.Hosting. Zmiana nazwy, nowa strona, nowe logo – wszystko wyglądało na świeży start.

Tyle że serwery pozostały te same. Badacze wykorzystali technikę JA4T fingerprinting, która pozwala rozpoznać charakterystykę ruchu sieciowego i sprzętu. Porównanie odcisków z oryginalnego ASN Stark Industries i nowego WorkTitans pokazało, że to ta sama infrastruktura. Rebranding nie zmienił niczego na poziomie fizycznym.

To ważna lekcja dla każdego, kto zajmuje się hostingiem. Zmiana nazwy firmy czy rejestratora nie wystarczy, gdy sprzęt i adresy IP pozostają bez zmian. Nowoczesne metody analizy sieciowej potrafią to wykryć.

Co naprawdę działało na tych serwerach

Osiemset przejętych serwerów nie obsługiwało zwykłych stron internetowych. Znajdowały się tam zasoby wykorzystywane przez grupy powiązane z rosyjskimi służbami specjalnymi, w tym Sandworm i Callisto Group. Korzystała z nich również grupa FIN7, specjalizująca się w atakach na instytucje finansowe.

Jednym z ciekawszych odkryć było powiązanie z kampanią Doppelganger – operacją dezinformacyjną skierowaną do europejskiej publiczności. Infrastruktura w Holandii stanowiła techniczne zaplecze tej działalności.

Co zmienia się dla branży

Aresztowania i oskarżenia na podstawie holenderskiej ustawy sankcyjnej pokazują, że dostarczanie infrastruktury podmiotom objętym sankcjami przestaje być szarą strefą. Dwie osoby zostały zatrzymane bezpośrednio w związku z działalnością Stark Industries, a trzecia – w powiązanej sprawie Mirhosting.

Dla legalnych firm hostingowych oznacza to, że weryfikacja klientów i sprawdzanie list sankcyjnych nie jest już tylko formalnością. Staje się podstawowym elementem prowadzenia działalności.

Trzy wnioski dla operatorów

Po pierwsze, znajomość DNS, zarządzania ASN czy alokacji adresów IP nie chroni przed konsekwencjami prawnymi, gdy infrastruktura służy do nielegalnych celów.

Po drugie, sama zmiana nazwy firmy nie ukryje fizycznych serwerów. Jeśli sprzęt pozostaje ten sam, nowoczesne metody śledzenia to wykryją.

Po trzecie, Holandia wyraźnie zaostrza podejście do bulletproof hostingu. Firmy działające w granicach UE muszą liczyć się z rosnącą kontrolą regulacyjną.

Szerszy kontekst

Sprawa Stark Industries pokazuje, jak różne rodzaje śledztw – finansowe, sieciowe, wywiadowcze – łączą się w jedną całość. Akcja nie była przypadkowa. Była wynikiem rocznej obserwacji po nałożeniu sankcji UE.

Dla branży hostingowej każdy taki przypadek oznacza mniej miejsca dla operatorów oferujących infrastrukturę bez pytań. A to w dłuższej perspektywie działa na korzyść legalnych dostawców.