Amikor az infrastruktúra csapdává válik: Stark Industries bukása

A legutóbbi kibertárgyalásokból egy dolog egyértelműen kiderült: a névváltoztatás önmagában nem jelent új kezdetet. 2026 májusában holland pénzügyi nyomozók akcióztak, és felszámoltak egy céget, amelyet sokan csak egy jól felépített álcának tartottak. A Stark Industries Solutions Ltd. mögött ugyanaz a PQ Hosting infrastruktúra húzódott meg, amelyet korábban már ismert a szakma.

A látszólagos cég mögött

A társaságot 2022 februárjában jegyezték be, alig két héttel az ukrajnai háború kitörése előtt. A hivatalos indoklás szerint „semleges nevet” akartak biztosítani viszonteladóknak, hogy az IP-címek ne legyenek visszavezethetők az eredeti tulajdonosra. Valójában a Neculiti fivérek – Ivan és Iurie – transznisztriai hátterű vállalkozásáról volt szó, akik már 2008 óta foglalkoztak infrastruktúra-értékesítéssel.

Ivan korábban különböző álneveken, köztük a „dfyz” felhasználónévvel jelent meg orosz fórumokon, ahol kifejezetten „bulletproof” szervereket kínált. Ezek olyan gépek, amelyeket illegális tartalom elhelyezésére optimalizáltak, minimális felelősségvállalással.

Két ASN árulkodott

Amikor 2025-ben az EU szankciókat rendelt el a Stark Industries ellen, a testvérek áthelyezték a működést egy új holland cégbe, a WorkTitans B.V.-be, és „THE.Hosting” néven folytatták. Új weboldal, új arculat, új név – de a háttér változatlan maradt.

A kutatók JA4T ujjlenyomat-elemzéssel azonosították, hogy ugyanazok a szerverek működnek tovább az új ASN alatt is. A fizikai hardver nem változott, csak a papírok. Ez a rész különösen tanulságos azoknak, akik domain- és tárhelyszolgáltatással foglalkoznak: a hálózati szintű ujjlenyomatok ma már képesek átlátni a névváltoztatásokon.

Mi futott ezeken a gépeken?

A lefoglalt 800 szerver nem hétköznapi weboldalakat szolgált ki. A hatóságok és biztonsági kutatók szerint az infrastruktúrát többek között a következő szereplők használták:

• NoName057(16) – oroszbarát DDoS-műveletek
• Sandworm – az orosz GRU kiber egysége
• Callisto Group – szintén orosz hírszerzéshez kötődő csoport
• FIN7 – pénzügyi intézményeket célzó bűnözői hálózat
• Doppelganger – dezinformációs kampány európai közönségnek szánt hamis hírekkel

Ez utóbbi különösen súlyos: a holland szerverek közvetlenül szolgálták ki egy államilag támogatott dezinformációs művelet technikai hátterét.

Új jogi gyakorlat

A letartóztatások és a holland szankciós törvény alapján emelt vádiratok újdonságot hoztak: az infrastruktúra biztosítása szankcionált entitások számára most már bűncselekménynek minősül. Két személyt vettek őrizetbe, egy harmadikat pedig a Mirhosting-ügyhöz kapcsolódóan. Ez azt jelenti, hogy a tárhelyszolgáltatók felelőssége már nem passzív.

Mit jelent ez a saját vállalkozásodnak?

Ha domain-regisztrációval, tárhellyel vagy felhőszolgáltatással foglalkozol, érdemes megjegyezni a következőket:

1. A technikai tudás nem helyettesíti a jogi megfelelést. A Neculiti fivérek több országon átívelő hálózatot építettek ki, mégis elbuktak a modern hálózati elemzéssel szemben.

2. A rebranding önmagában nem véd meg. Új cégnév vagy weboldal nem változtatja meg a szerverek fizikai valóságát. A hálózati ujjlenyomatok ezt könnyen leleplezik.

3. A joghatóság egyre szigorúbb. Hollandia aktívan fellép a bulletproof hosting ellen, és az EU-s szabályozás is ebbe az irányba mozdul.

Összefoglaló

A Stark Industries ügye azt mutatja, hogy a különböző nyomozati módszerek – pénzügyi vizsgálat, hálózati elemzés, nyílt forrású információk – ma már összeérnek. A lefoglalt szerverek több millió eurós értéket képviseltek a bűnözők számára, ugyanakkor több százezer európai állampolgárt érintettek közvetve vagy közvetlenül.

A legális szolgáltatók számára ez a fejlemény pozitív: minél nehezebb a bűnözőknek megbízható infrastruktúrát találni, annál biztonságosabb a teljes ökoszisztéma.