Când infrastructura devine o problemă: lecția Stark Industries

Recent, cazul Stark Industries a arătat clar că schimbarea numelui nu înseamnă automat și schimbarea modului de operare. Pe 22 mai 2026, autoritățile olandeze au ridicat serverele unei rețele de hosting despre care se știa de mult timp că deservește activități ilegale.

Ceea ce face cazul relevant pentru furnizorii legitimi de hosting și domain-uri este felul în care infractorii încearcă să-și ascundă identitatea — și cât de repede se destramă acea mască atunci când autoritățile aplică controalele corespunzătoare.

Cum a fost construită compania

Stark Industries Solutions Ltd. a fost înființată pe 10 februarie 2022, cu doar două săptămâni înainte de invazia Rusiei în Ucraina. Scopul declarat era să ofere un nume „neutru” pentru revânzători, astfel încât IP-urile să nu mai fie asociate direct cu PQ Hosting — o afacere mai veche a fraților Neculiti.

Ivan și Iurie Neculiti, originari din Transnistria, au construit de-a lungul anilor o rețea de infrastructură folosită pentru activități ilegale. Ivan a operat sub diverse pseudonime pe forumuri de cybercrime, vânzând ceea ce în industrie se numește „bulletproof servers” — servere concepute special pentru a găzdui conținut ilegal fără riscuri mari de închidere.

În loc să pornească hardware nou, frații au folosit infrastructura existentă de la PQ Hosting. Stark Industries a funcționat ca un strat intermediar: a ascuns proprietarii reali, dar a păstrat aceleași servere fizice.

De ce două ASNs i-au dat de gol

Când UE a impus sancțiuni Stark Industries în mai 2025, operatorii au mutat rapid totul într-o nouă entitate olandeză — WorkTitans B.V., sub brandul „THE.Hosting”. Nouă companie, nou site, același hardware.

Ceea ce nu au anticipat a fost JA4T fingerprinting, o tehnică folosită de cercetătorii de securitate pentru a identifica tipare de trafic și semnături hardware. Prin compararea amprentelor JA4T între cele două ASNs, s-a dovedit că serverele fizice erau identice. Rebranding-ul a fost doar pe hârtie.

Lecția pentru orice provider serios este clară: în era actuală, ascunderea infrastructurii nu se face doar prin înregistrarea unei noi companii. Fără migrarea reală a serverelor, amprentele de rețea și SSL/TLS te vor da de gol.

Ce rula pe acele servere

Cei 800 de servere confiscați nu găzduiau site-uri legitime. Printre utilizatorii documentați s-au numărat grupuri precum NoName057(16), Sandworm, Callisto Group și FIN7. Mai mult, infrastructura a susținut și campania de dezinformare Doppelganger — o operațiune sponsorizată de statul rus care a vizat publicul european.

Ce înseamnă asta pentru hosting providers

Cazul Stark Industries stabilește un precedent important: furnizarea de infrastructură către entități sancționate poate fi tratată ca infracțiune penală, nu doar ca o zonă gri.

Pentru companiile legitime de hosting, domain registry sau cloud, sunt trei puncte esențiale de reținut:

1. Cunoștințele tehnice nu înlocuiesc conformitatea legală. Chiar dacă ai înțeles DNS, IP allocation și managementul ASN-urilor, asta nu te protejează de investigații.

2. Rebranding-ul fără migrarea infrastructurii este inutil. Schimbarea numelui companiei sau a entității de facturare nu schimbă realitatea fizică a serverelor. Amprentele de rețea pot identifica hardware-ul identic indiferent de ASN sau companie.

3. Jurisdicția contează și devine din ce în ce mai strictă. Olanda s-a poziționat clar împotriva bulletproof hosting-ului. Dacă operezi în UE, așteaptă-te la controale mai riguroase.

Concluzie

Cazul Stark Industries demonstrează că investigațiile moderne combină mai multe discipline: investigații financiare, forensic de rețea, OSINT și acțiuni tradiționale ale poliției. Cei 800 de servere ridicați reprezentau infrastructura tehnică din spatele unor operațiuni care au afectat milioane de europeni.

Pentru industria legitimă de hosting, fiecare astfel de caz înseamnă un pas înainte. Cu cât devine mai dificil pentru infractori să găsească parteneri de hosting, cu atât mai puține resurse au la dispoziție.