Когато инфраструктурата се превръща в проблем: краят на Stark Industries

Напоследък все по-често виждаме как просто смяната на името не спасява никого. През май 2026 година холандските финансови следователи (FIOD) проведоха поредица от акции, с които сложиха край на Stark Industries Solutions Ltd. — компания, създадена единствено да прикрива bulletproof хостинг услуга.

Случаят е показателен за целия бранш. Той разкрива колко усилия полагат престъпниците, за да скрият самоличността си, и колко бързо се разпада тази прикритие, когато регулаторите започнат да работят сериозно.

Как се изгражда фиктивна фирма

Stark Industries Solutions Ltd. е регистрирана на 10 февруари 2022 година — само две седмици преди руската инвазия в Украйна. Официалната причина за съществуването ѝ звучи странно: да предоставя „неутрално име“ на реселъри, така че IP адресите да не водят директно към PQ Hosting — предишния проект на братята Neculiti.

Иван и Iurie Neculiti идват от Приднестровието — откъсната от Молдова, про-руска територия. От 2008 година насам те управляват инфраструктура, предназначена за киберпрестъпници. Иван е известен и под псевдонима „dfyz“ в руските underground форуми, където предлага „bulletproof сървъри“ — машини, на които може да се хоства нелегално съдържание без почти никакъв риск от блокиране.

Технически погледнато, братята не са купували нов хардуер. Те са използвали съществуващата мрежа на PQ Hosting, която в пика си е обслужвала над 120 000 клиента в повече от 38 държави. Stark Industries е била просто междинно звено — слой, който скрива реалните собственици, но оставя физическата инфраструктура непроменена.

Два ASN-а, които ги издадоха

Когато ЕС наложи санкции на Stark Industries през май 2025, братята направиха това, което вероятно са смятали за хитър ход — прехвърлиха операциите към нова холандска фирма WorkTitans B.V. с бранд „THE.Hosting“. Нова компания, нов сайт, ново име.

Проблемът е, че мрежовите отпечатъци не се променят с регистрацията. Изследователи са използвали JA4T fingerprinting — техника за разпознаване на трафик и хардуерни сигнатури — и са установили, че двата ASN-а (на Stark и на WorkTitans) показват идентични характеристики. Това означава, че физическите сървъри са останали същите. Преименуването е било само на хартия.

За всеки легитимен хостинг доставчик това е важен урок: в ерата на мрежовата съдебна медицина не е достатъчно просто да смениш името. Трябва реално да преместиш инфраструктурата.

Какво се е случвало на тези сървъри?

800-те конфискувани сървъра не са обслужвали обикновени сайтове. Според разследването те са поддържали:

• NoName057(16) — про-руски DDoS операции
• Sandworm — руското киберподразделение на ГРУ
• Callisto Group — свързана с руското разузнаване група
• FIN7 — една от най-активните киберпрестъпни организации, атакуваща финансови институции
• Doppelganger Campaign — дезинформационна кампания, разпространяваща фалшиви новини в Европа

Особено тревожно е участието в Doppelganger. Според разследване на CORRECTIV инфраструктурата в Нидерландия е била технически гръбнак на държавно спонсорирана дезинформационна операция.

Ново юридическо измерение

Арестите и обвиненията по холандския закон за санкциите създават важен прецедент: предоставянето на инфраструктура на санкционирани лица вече се третира като престъпление, а не като сива зона.

Арестувани са двама души — 57-годишен директор на компанията и 39-годишен специалист по мрежова свързаност. Трети арест, свързан с Mirhosting, показва, че холандските прокурори вече не гледат на хостинг доставчиците като на пасивни участници.

Това означава, че за всеки легитимен доставчик KYC проверките и сканирането на санкционни списъци вече не са формалност. Те са задължителна част от сигурността.

Какво означава това за вашия бизнес

Ако управлявате хостинг компания, домейн регистър или облачна платформа, случаят Stark Industries дава три основни урока:

1. Техническите умения не заменят спазването на закона. Братята са управлявали мрежа в десетки държави с шестцифрен брой клиенти. Познавали са DNS, IP разпределение и ASN управление. Това не ги е спасило.

2. Смяната на името без миграция на инфраструктурата е безполезна. Мрежовите отпечатъци издават идентичния хардуер, дори когато компанията е нова. Легитимните доставчици не правят такива трикове.

3. Юрисдикцията има значение и контролът се засилва. Нидерландия ясно показва, че bulletproof хостинг няма да бъде толериран. Ако работите в ЕС, очаквайте по-строг надзор.

По-широката картина

Случаят показва как се съчетават различни дисциплини — финансово разследване, мрежова съдебна медицина, OSINT и традиционни полицейски методи. Акцията не е била случайност. Тя е резултат от година наблюдение след налагането на санкциите от ЕС.

Bulletproof доставчиците често разчитат, че ще играят на юрисдикции — че ако са в една държава, законът в друга няма да ги достигне. Този случай показва, че това предположение вече не е валидно.

800-те конфискувани сървъра са представлявали потенциална стойност от стотици милиони долари за престъпния свят. Но по-важно е, че са били техническа основа на операции, които са засегнали милиони европейци чрез дезинформация, кибератаки и финансови измами.

За легитимния хостинг бранш това е добра новина. Всяко успешно преследване на bulletproof оператори затруднява престъпниците да намерят партньори. Всеки конфискуван сървър означава по-малко възможности за злоупотреба. И всеки правен прецедент, който засилва санкциите, прави бизнеса на престъпниците по-скъп.

В крайна сметка Stark Industries научиха това, което много преди тях са разбрали други фиктивни фирми: не можеш да се измъкнеш от съдебните доказателства само с ново име. Сървърите помнят какво са хоствали, а съвременната дигитална съдебна медицина няма да им позволи да забравят.