Når infrastruktur blir et problem: Stark Industries-saken

De siste årene har vist oss én ting tydelig: å skifte navn på et selskap endrer ikke hva det egentlig driver med. I mai 2026 slo nederlandsk økonomikrim (FIOD) til mot det som viste seg å være en velkjent aktør i sikkerhetsmiljøet – bare under nytt navn.

Saken gir nyttig innsikt for alle som jobber med webhosting og domener. Den viser hvor langt kriminelle er villige til å gå for å skjule identiteten sin, og hvor raskt det kollapser når myndighetene begynner å grave.

Et selskap bygget for å skjule eierskap

Stark Industries Solutions Ltd. ble registrert i februar 2022, bare uker før Russland gikk inn i Ukraina. Formålet var å gi videreselgere et nøytralt navn, slik at IP-adresser ikke kunne spores tilbake til PQ Hosting – et tidligere prosjekt fra de samme aktørene.

Bak selskapet sto brødrene Ivan og Iurie Neculiti fra Transnistria. De hadde drevet med det som kalles bulletproof hosting siden 2008. Ivan hadde tidligere brukt navnet «dfyz» på russiske undergrunnsforum, der han solgte servere som skulle tåle å huse ulovlig innhold uten å bli stengt ned.

Det tekniske trikset var enkelt: de flyttet ikke serverne. De opprettet bare et nytt lag mellom kundene og infrastrukturen som allerede eksisterte. PQ Hosting hadde på det meste over 120 000 kunder i 38 land. Stark Industries ble bare et mellomledd.

Fingeravtrykk avslørte svindelen

Da EU innførte sanksjoner mot Stark Industries i 2025, forsøkte brødrene å omgå dem. De opprettet et nytt nederlandsk selskap kalt WorkTitans B.V., med merkevaren «THE.Hosting». Ny nettside, nytt navn, ny logo.

Problemet var at de ikke flyttet serverne. Sikkerhetsforskere brukte JA4T-fingerprinting – en teknikk som analyserer trafikkmønstre og maskinvare-signaturer – og kunne vise at de samme serverne fortsatt var i bruk. To forskjellige ASNs, samme maskinvare. Rebrandingen var bare papirarbeid.

For seriøse hosting-leverandører er poenget klart: det holder ikke å endre firmanavn. Hvis infrastrukturen er den samme, vil moderne nettverksanalyse avsløre det.

Hva serverne ble brukt til

De 800 serverne som ble beslaglagt, var ikke vert for vanlige nettsider. Blant kundene fantes:

• NoName057(16) – en pro-russisk DDoS-gruppe
• Sandworm – en russisk GRU-enhet
• Callisto Group – knyttet til russisk etterretning
• FIN7 – en stor cyberkriminell gruppe som angriper finansinstitusjoner
• Doppelganger-kampanjen – en desinformasjonsoperasjon rettet mot europeiske lesere

CORRECTIVs undersøkelse i 2024 viste at serverne i Nederland direkte støttet en statlig påvirkningskampanje. Dette var ikke bare kriminell hosting – det var infrastruktur for informasjonskrig.

En ny juridisk standard

Påtalemyndigheten i Nederland brukte sanksjonsloven som grunnlag for tiltale. Det sender et klart signal: å tilby infrastruktur til sanksjonerte aktører er ikke lenger en gråsone. To menn ble arrestert, og en tredje i forbindelse med Mirhosting. Myndighetene ser ikke lenger på hosting som passiv tjeneste.

For seriøse aktører betyr dette at KYC og sanksjonssjekker ikke er byråkrati. Det er grunnleggende sikkerhetsarbeid.

Tre lærdommer for hosting-bransjen

1. Teknisk kunnskap erstatter ikke lovlig drift. Brødrene forsto DNS, IP-allokering og ASN-håndtering. Det hjalp ikke når myndighetene hadde moderne verktøy.

2. Rebranding uten flytting av servere er meningsløst. Endrer du bare navn, vil nettverksfingeravtrykk avsløre deg.

3. Jurisdiksjon strammes inn. Nederland har tatt en hard linje mot bulletproof hosting. Opererer du innenfor EU, må du regne med tilsyn.

Hva dette betyr fremover

Saken viser hvordan flere disipliner – finansetterforskning, nettverksanalyse og åpen etterretning – jobber sammen. Det var ikke tilfeldig at razziaen kom. Den fulgte etter et år med overvåking.

For den lovlige hosting-bransjen er dette positivt. Hver gang en bulletproof-operatør tas, blir det vanskeligere for kriminelle å finne et sted å være. Og det blir dyrere å drive ulovlig virksomhet – noe som til syvende og sist rammer kundene deres.

Stark Industries-saken viser én ting klart: du kan ikke skjule deg bak et nytt firmanavn når serverne fortsatt står der de sto.