Wanneer infrastructuur een risico wordt: het einde van Stark Industries

Uit recente rechtszaken rond cybercrime blijkt steeds weer dat een nieuwe naam geen nieuwe werkelijkheid creëert. Op 22 mei 2026 sloeg de FIOD toe bij wat in de security-wereld al langer bekend stond als Stark Industries Solutions Ltd. Onder die façade zat een bulletproof hosting-netwerk dat al jaren draaide.

Voor legitieme hostingbedrijven en domeinregistrars bevat dit verhaal een duidelijke les: hoe slim criminelen ook hun identiteit proberen te verbergen, goede opsporing haalt die laag er uiteindelijk af.

Een bedrijf zonder echte bestaansreden

Stark Industries Solutions Ltd. werd opgericht op 10 februari 2022. Twee weken later viel Rusland Oekraïne binnen. Toeval? Waarschijnlijk niet. Het bedrijf moest een neutrale naam zijn voor resellers, zodat IP-adressen niet meer te herleiden waren tot PQ Hosting — een eerder project van de Neculiti-broers.

Ivan en Iurie Neculiti komen uit Transnistrië, een pro-Russisch gebied in Moldavië. Al sinds 2008 bouwen ze infrastructuur voor cybercriminelen. Ivan verkocht onder de naam "dfyz" op Russische forums zogenaamde bulletproof servers: servers die illegale content kunnen hosten zonder dat iemand ingrijpt.

Technisch gezien deden ze niets nieuws. Ze gebruikten dezelfde hardware als bij PQ Hosting, dat op zijn hoogtepunt meer dan 120.000 klanten in 38 landen bediende. Stark Industries was alleen een extra laag tussen de klant en de fysieke servers.

Twee ASNs die hen verraadden

In mei 2025 legde de EU sancties op aan Stark Industries. De broers dachten slim te zijn en verhuisden alles naar een nieuw Nederlands bedrijf: WorkTitans B.V., onder de merknaam THE.Hosting. Nieuwe papieren, nieuw uiterlijk.

Maar de servers bleven dezelfde. Security-onderzoekers gebruikten JA4T-fingerprinting om netwerkverkeer en hardware-handtekeningen te vergelijken tussen de oude en nieuwe ASN. De vingerafdrukken kwamen overeen. De hardware was identiek. Alleen de juridische laag was veranderd.

Dat is de kern van het verhaal: in een tijd waarin netwerk-forensisch onderzoek steeds geavanceerder wordt, red je het niet met een nieuw KvK-nummer. Zonder echte migratie van de infrastructuur blijft de technische realiteit zichtbaar.

Wat er écht draaide op die servers

De 800 in beslag genomen servers hostten geen reguliere websites. Ze ondersteunden onder meer:

• NoName057(16) — pro-Russische DDoS-acties
• Sandworm — de cyber-eenheid van de Russische GRU
• Callisto Group — gelieerd aan Russische inlichtingendiensten
• FIN7 — een beruchte groep die financiële instellingen aanvalt
• De Doppelganger-campagne — desinformatie verspreid via nepnieuws aan Europese burgers

Het laatste punt raakt direct aan informatie-oorlog. Volgens onderzoek van CORRECTIV uit 2024 draaide de technische kant van deze Russische desinformatiecampagne deels op servers in Nederland.

Een juridische verschuiving

De aanklachten vielen onder de Nederlandse Sanctiewet. Dat is nieuw: het leveren van infrastructuur aan gesanctioneerde partijen wordt nu gezien als een strafbaar feit, geen grijs gebied meer.

Twee mannen werden gearresteerd: een 57-jarige directeur en een 39-jarige netwerkbeheerder. Een derde arrest bij Mirhosting onderstreept dat Nederlandse justitie infrastructuurleveranciers nu direct verantwoordelijk houdt.

Voor legitieme hostingbedrijven betekent dit dat due diligence en KYC geen bijzaak meer zijn. Ze worden een essentieel onderdeel van risicobeheer.

Drie lessen voor hostingbedrijven

1. Technische kennis beschermt niet tegen de wet. De Neculiti beheersten DNS, IP-toewijzing en ASN-beheer. Dat hield hen niet buiten de gevangenis.

2. Rebranding zonder migratie werkt niet. Nieuwe namen en websites veranderen niets aan de fysieke servers. Netwerk-forensisch onderzoek kijkt daar dwars doorheen.

3. Nederland wordt een moeilijke plek voor bulletproof hosting. Voor legitieme spelers is dat juist positief: minder concurrentie van criminele netwerken.

Wat dit betekent voor de sector

De zaak toont hoe verschillende disciplines samenkomen: financieel onderzoek, netwerkanalyse, open source intelligence en klassieke politiearbeid. De inval was geen toevalstreffer, maar het resultaat van een jaar surveillance na de EU-sancties.

Bulletproof hosting opereert vaak vanuit de aanname dat jurisdicties elkaar niet bereiken. Die aanname wordt steeds zwakker. De 800 servers vertegenwoordigden niet alleen technische capaciteit, maar ook de ruggengraat van operaties die miljoenen Europeanen raakten via desinformatie, aanvallen en fraude.

Voor eerlijke hostingbedrijven is elke succesvolle vervolging van bulletproof-operators goed nieuws. Het maakt het lastiger voor criminelen om onderdak te vinden — en duurder om te opereren.