Quando l'infrastruttura diventa un problema: il caso Stark Industries

Un cambio di nome non cancella il passato. Soprattutto quando si tratta di server usati per attività illecite. Il 22 maggio 2026 le autorità olandesi hanno fatto irruzione in una serie di strutture collegate a Stark Industries Solutions Ltd., un nome di facciata dietro cui si nascondeva un'operazione di bulletproof hosting.

Il caso è interessante perché mostra quanto sia difficile mantenere l'anonimato quando le autorità hanno gli strumenti giusti per collegare i puntini.

Una società di comodo ben costruita

Stark Industries Solutions Ltd. nasce il 10 febbraio 2022, appena due settimane prima dell'invasione russa dell'Ucraina. Il nome sembrava pensato apposta per non destare sospetti. Dietro c'erano Ivan e Iurie Neculiti, originari della Transnistria, una regione moldava filo-russa.

I due non erano nuovi al settore. Da anni gestivano infrastrutture per il cybercrime, prima con PQ Hosting e poi con Stark come livello intermedio per nascondere i collegamenti. Stesso hardware, stessa rete, solo un nuovo nome sul registro delle imprese.

Le impronte digitali che hanno tradito tutto

Quando l'UE ha inserito Stark Industries nelle liste di sanzioni nel 2025, i fratelli hanno provato a spostare tutto su una nuova società olandese, WorkTitans B.V., con il brand THE.Hosting. Sito nuovo, logo nuovo, stessa infrastruttura di sempre.

Non ha funzionato. I ricercatori hanno usato JA4T fingerprinting per confrontare il traffico di rete tra le due entità. Le impronte corrispondevano: stessi server, stessi sistemi. Cambiare il nome dell'azienda non ha spostato nemmeno un cavo.

Cosa c'era davvero su quei server

Gli 800 server sequestrati non ospitavano siti legittimi. Ospitavano infrastrutture usate da gruppi come NoName057(16) per attacchi DDoS, da Sandworm e Callisto Group per operazioni di intelligence russa, e da FIN7 per frodi finanziarie. C'era anche il backend tecnico della campagna Doppelganger, l'operazione di disinformazione russa documentata da CORRECTIV.

Un precedente legale importante

Gli arresti sotto la Dutch Sanctions Act mandano un messaggio chiaro: fornire server a entità sanzionate non è più una zona grigia. È un reato. Due persone sono state arrestate, una terza in connessione con Mirhosting. Le autorità olandesi stanno trattando la fornitura di infrastrutture come una responsabilità diretta, non come un servizio passivo.

Tre lezioni per chi gestisce hosting

Per chi opera nel settore legale, il caso Stark Industries porta tre insegnamenti concreti.

Prima: la competenza tecnica non sostituisce la conformità legale. I Neculiti gestivano una rete in decine di paesi con oltre centomila clienti. Questo non li ha salvati dalle indagini.

Seconda: cambiare nome senza cambiare server non serve a nulla. Le analisi di rete identificano l'hardware indipendentemente dal nome dell'azienda. I provider seri lo sanno e non provano nemmeno a fare questi giochetti.

Terza: la giurisdizione conta. I Paesi Bassi si stanno dimostrando poco tolleranti verso il bulletproof hosting. Chi opera in Europa deve aspettarsi controlli più stringenti.

Il quadro più ampio

Quello che emerge da questa operazione è come diversi tipi di indagini — finanziaria, tecnica, OSINT e tradizionale — abbiano lavorato insieme per arrivare al sequestro. Non è stato un colpo di fortuna, ma il risultato di un anno di monitoraggio dopo le sanzioni UE.

Per l'industria dell'hosting legittimo è una buona notizia. Ogni volta che un operatore bulletproof viene smantellato, diventa più difficile per i criminali trovare server. E ogni precedente legale rende più costoso e rischioso per loro continuare a operare.