Quand l’infrastructure se retourne contre ses propriétaires : l’affaire Stark Industries

Un changement de nom ne suffit jamais à effacer un passé. Le 22 mai 2026, les enquêteurs néerlandais ont mis fin à l’activité de Stark Industries Solutions Ltd., une société de façade créée pour dissimuler une offre d’hébergement « bulletproof ».

L’affaire intéresse directement les acteurs légitimes du secteur. Elle montre à quel point les criminels cherchent à brouiller les pistes et à quelle vitesse ces précautions s’effondrent dès que les autorités appliquent une vraie surveillance technique.

Une structure créée pour masquer l’origine

Stark Industries Solutions Ltd. a été immatriculée le 10 février 2022, soit deux semaines avant l’invasion de l’Ukraine. Son objet affiché était simple : proposer un nom neutre aux revendeurs afin que les adresses IP ne renvoient pas directement à PQ Hosting, la société précédente des frères Neculiti.

Ivan et Iurie Neculiti, originaires de Transnistrie, pilotent depuis 2008 un réseau d’infrastructure conçu pour héberger du contenu illégal avec un minimum de traçabilité. Ivan, connu sous le pseudonyme « dfyz » sur les forums russes, vendait des serveurs dits « bulletproof ». Stark Industries n’a pas ajouté de nouveaux serveurs : elle a servi de couche intermédiaire pour masquer la propriété réelle tout en utilisant les mêmes machines physiques que PQ Hosting.

Deux ASN ont suffi à les trahir

Après les sanctions européennes de mai 2025, les frères ont transféré l’activité vers une nouvelle entité néerlandaise, WorkTitans B.V., commercialisée sous la marque THE.Hosting. Changement de société, nouveau site, nouveau logo.

Les chercheurs ont pourtant identifié les mêmes serveurs grâce à l’empreinte JA4T. Cette technique compare les signatures réseau et matérielles entre systèmes autonomes. Les empreintes du premier ASN (Stark) correspondaient exactement à celles du second (WorkTitans). Le changement était purement administratif. L’infrastructure physique n’avait pas bougé.

La leçon est claire : renommer une société ne modifie pas les caractéristiques techniques des machines. Seule une migration réelle des serveurs peut tromper les outils d’analyse réseau actuels.

Ce que ces serveurs hébergeaient réellement

Les 800 serveurs saisis ne supportaient pas des sites classiques. Ils alimentaient plusieurs opérations :

• NoName057(16) pour des campagnes DDoS pro-russes
• Sandworm et Callisto Group, unités du renseignement militaire russe
• FIN7, groupe spécialisé dans les attaques contre les institutions financières
• La campagne Doppelganger, qui diffusait de fausses informations en Europe

L’enquête CORRECTIV a montré que l’infrastructure des frères Neculiti aux Pays-Bas servait directement de support technique à une opération de désinformation d’État.

Un précédent juridique important

Les poursuites engagées sur le fondement de la loi néerlandaise sur les sanctions marquent un tournant. Fournir une infrastructure à des entités sanctionnées n’est plus une zone grise : c’est un acte pénal.

Trois arrestations ont eu lieu, dont celle d’un responsable de la connectivité internet. Les procureurs néerlandais considèrent désormais que l’hébergeur porte une responsabilité directe dans l’usage qui est fait de ses machines.

Pour les acteurs légitimes, cela renforce l’obligation de connaître ses clients et de vérifier les listes de sanctions. Ces contrôles ne sont plus optionnels.

Trois enseignements concrets

1. La maîtrise technique ne protège pas contre les poursuites. Les Neculiti géraient des dizaines de milliers de clients et comprenaient parfaitement le fonctionnement des DNS et des ASN. Cela ne les a pas sauvés.

2. Le changement de marque sans migration d’infrastructure est inutile. Les outils d’empreinte réseau détectent les mêmes serveurs derrière des entités différentes.

3. Les juridictions européennes durcissent leur position. Les Pays-Bas mènent clairement une politique hostile à l’hébergement bulletproof. Les opérateurs légaux y voient une protection, pas une contrainte.

Ce que révèle l’enquête

L’opération a combiné enquête financière, analyse forensique réseau, renseignement open source et travail policier classique. Le raid n’était pas un coup de chance : il a suivi un an de surveillance après les sanctions européennes.

Les 800 serveurs représentaient des centaines de millions de dollars de valeur criminelle potentielle. Ils constituaient aussi le socle technique d’opérations ayant touché des millions d’Européens via la désinformation, les cyberattaques et la fraude.

Chaque condamnation de ce type réduit l’espace disponible pour les hébergeurs criminels. Pour l’industrie légitime, c’est une bonne nouvelle à long terme : moins d’infrastructures accessibles aux acteurs malveillants, et des coûts plus élevés pour ceux qui cherchent encore à les utiliser.