Wenn die Infrastruktur zum Risiko wird: Der Fall von Stark Industries

Manchmal reicht ein neuer Name nicht aus, um die Vergangenheit abzuschütteln. Das zeigt der Fall von Stark Industries Solutions Ltd. sehr deutlich. Am 22. Mai 2026 durchsuchten niederländische Ermittler mehrere Standorte und legten damit eine Infrastruktur lahm, die schon länger als problematisch galt.

Der eigentliche Betreiber dahinter war PQ Hosting – ein Unternehmen, das schon seit Jahren mit sogenannten Bulletproof-Servern in Verbindung gebracht wurde. Stark Industries war nur eine weitere Schicht, um die wahren Eigentümer zu verschleiern.

Eine Tarnfirma mit durchschaubarer Geschichte

Die Firma wurde im Februar 2022 gegründet – nur zwei Wochen vor dem russischen Angriff auf die Ukraine. Die Gründer, Ivan und Iurie Neculiti aus Transnistrien, hatten bereits zuvor unter verschiedenen Namen im Hosting-Geschäft agiert. Ivan war unter dem Pseudonym „dfyz“ in einschlägigen Foren aktiv und bot Server an, die bewusst für illegale Inhalte gedacht waren.

Stark Industries diente vor allem als Reseller. Die eigentliche Hardware blieb dieselbe wie zuvor bei PQ Hosting. Über 120.000 Kunden aus mehr als 38 Ländern nutzten diese Infrastruktur – oft ohne zu wissen, wer wirklich dahintersteckte.

Zwei ASNs und ein Fingerabdruck

Nach der EU-Sanktionierung im Mai 2025 versuchten die Brüder, sich durch eine neue niederländische Gesellschaft namens WorkTitans B.V. und die Marke THE.Hosting neu aufzustellen. Auf dem Papier sah alles anders aus.

Technisch blieb jedoch alles beim Alten. Sicherheitsexperten nutzten JA4T-Fingerprinting, um die Netzwerk-Signaturen beider ASNs zu vergleichen. Das Ergebnis: Es handelte sich um dieselben physischen Server. Ein neuer Firmenname ändert nichts an der Hardware.

Für seriöse Hosting-Anbieter ist das eine wichtige Erkenntnis: Wer seine Infrastruktur wirklich verschleiern will, muss sie auch physisch verlagern. Ein neues Impressum reicht nicht aus.

Was lief wirklich auf diesen Servern?

Die beschlagnahmten 800 Server dienten nicht dem normalen Webhosting. Darauf liefen unter anderem Infrastrukturen für:

• NoName057(16) – eine pro-russische DDoS-Gruppe
• Sandworm – eine Einheit des russischen Militärgeheimdienstes GRU
• Callisto Group – ebenfalls mit russischen Nachrichtendiensten verbunden
• FIN7 – eine bekannte Cybercrime-Gruppe mit Fokus auf Finanzinstitute
• Die Doppelganger-Kampagne – eine Desinformationsoperation, die gezielt in Europa Fake News verbreitete

Die Server waren also nicht nur ein technisches Problem, sondern ein aktives Werkzeug staatlich gesteuerter Angriffe und gezielter Desinformation.

Ein neuer rechtlicher Maßstab

Mit den Festnahmen unter dem niederländischen Sanktionsgesetz wurde klar: Wer Infrastruktur für sanktionierte Akteure bereitstellt, macht sich strafbar. Zwei Männer wurden festgenommen – ein Geschäftsführer und ein Techniker. Ein dritter Fall betraf Mirhosting.

Für legale Hosting-Anbieter bedeutet das: KYC-Prozesse und Sanktionsprüfungen sind keine Formalität mehr. Wer seine Kunden nicht kennt, riskiert, selbst in den Fokus zu geraten.

Drei Lehren für Hosting-Betreiber

1. Technisches Know-how schützt nicht vor rechtlichen Konsequenzen. Auch wer DNS, IP-Management und ASNs beherrscht, bleibt angreifbar, wenn die Infrastruktur für illegale Zwecke genutzt wird.
2. Rebranding ohne echte Migration ist wirkungslos. Moderne Forensik erkennt identische Hardware über verschiedene Firmen und Netzwerke hinweg.
3. Der Standort wird zum Risikofaktor. Die Niederlande gehen gezielt gegen Bulletproof-Hosting vor. Wer dort oder in der EU aktiv ist, muss mit erhöhter Aufmerksamkeit rechnen.

Fazit

Der Fall Stark Industries zeigt, wie sich verschiedene Ermittlungsmethoden ergänzen – von Finanzermittlungen über Netzwerkanalysen bis hin zu Open-Source-Recherche. Die Razzia war kein Zufall, sondern das Ergebnis monatelanger Arbeit.

Für die Branche ist das eine gute Nachricht. Jede erfolgreiche Strafverfolgung macht es schwieriger für Kriminelle, geeignete Infrastruktur zu finden. Und je teurer und riskanter das illegale Hosting wird, desto sicherer wird das Netz für alle anderen.