Když se infrastruktura stane pastí: pád Stark Industries

Nedávné případy z kybernetického podsvětí ukazují, že změna názvu firmy nic neřeší. V květnu 2026 nizozemská finanční policie provedla razie, které odhalily dlouhodobě fungující bulletproof hosting – tentokrát pod značkou Stark Industries Solutions Ltd.

Případ je zajímavý hlavně proto, jak sofistikovaně se provozovatelé snažili skrýt skutečné vlastnictví. A jak rychle to selhalo, jakmile se na věc podívali zkušení vyšetřovatelé.

Od shellové firmy k infrastruktuře

Společnost vznikla v únoru 2022, tedy krátce před ruskou invazí na Ukrajinu. Oficiálně měla poskytovat „neutrální“ název pro resellery, aby IP adresy nevedly přímo k předchozí firmě PQ Hosting. Za ní stáli bratři Neculitiovi z Podněstří – oblasti s ruskou orientací v Moldavsku.

Ivan Neculiti už od roku 2008 prodával na ruských fórech pod přezdívkou „dfyz“ servery určené pro nezákonný obsah. Stark Industries nebyla nová infrastruktura, ale jen další vrstva mezi zákazníky a stejným hardwarem.

Proč je přejmenování k ničemu

Když EU v květnu 2025 uvalila sankce na Stark Industries, bratři přesunuli provoz na novou nizozemskou firmu WorkTitans B.V. pod značkou THE.Hosting. Nový název, nové webové stránky, nová entita.

Jenže technika je neúprosná. Bezpečnostní výzkumníci použili metodu JA4T fingerprinting, která dokáže rozpoznat stejný hardware podle síťových otisků. Porovnáním otisků mezi původním ASN Stark Industries a novým ASN WorkTitans zjistili, že jde o stejné servery. Změna firmy byla jen na papíře.

Co se na serverech dělo

Zabavených 800 serverů nehostovalo běžné weby. Na infrastruktuře běžely služby pro:

• NoName057(16) – pro-ruskou DDoS skupinu
• Sandworm – jednotku ruské vojenské rozvědky GRU
• Callisto Group – další ruskou zpravodajskou skupinu
• FIN7 – kriminální skupinu zaměřenou na finanční instituce
• Doppelganger – dezinformační kampaň cílenou na evropské publikum

CORRECTIV v roce 2024 zdokumentoval, že právě tato infrastruktura v Nizozemsku tvořila technickou základnu státem podporované dezinformace.

Nový právní precedent

Obvinění podle nizozemského sankčního zákona ukázalo, že poskytování infrastruktury sankcionovaným subjektům už není šedá zóna – je to trestný čin. Zatčeni byli dva muži: 57letý ředitel firmy a 39letý správce síťové konektivity. Další zatčení v souvislosti s Mirhosting naznačuje, že nizozemské orgány berou poskytovatele infrastruktury jako přímé účastníky.

Co si z toho odnést

Pro každého, kdo provozuje hosting, domény nebo cloudovou platformu, přináší případ tři jasné závěry:

Technická znalost nenahradí právní soulad. Bratři Neculitiovi ovládali DNS, IP alokaci i správu ASN. To jim ale nepomohlo proti moderním forenzním metodám.

Přejmenování bez migrace infrastruktury je zbytečné. Změna názvu firmy nebo registrátora nezmění fyzickou realitu serverů. Síťová forenzní analýza dokáže identifikovat stejný hardware napříč různými ASN.

Jurisdikce se mění. Nizozemsko se stává nepřátelským prostředím pro bulletproof hosting. Kdo provozuje služby v EU, musí počítat s větší kontrolou.

Co to znamená pro celý obor

Úspěšné stíhání bulletproof operátorů ztěžuje kriminálníkům hledání spolehlivého hostingu. Každý zabavený server ubírá prostor pro nezákonné aktivity. A každé zpřísnění sankčního režimu zvyšuje náklady na provoz – ty se pak přenášejí na jejich zákazníky.

Stark Industries nakonec zjistili to, co už mnoho shellových firem před nimi: servery si pamatují, co na nich běželo. A moderní digitální forenzní metody to nedovolí jen tak přepsat.