Когда бренд уже не спасает: как голландцы уничтожили «неубиваемый» хостинг
Когда инфраструктура становится проблемой: история Stark Industries
Недавние судебные дела по киберпреступлениям показали: смена названия не делает бизнес легитимным. В мае 2026 года голландские следователи провели серию обысков и фактически ликвидировали Stark Industries Solutions Ltd. — компанию, которая на деле обслуживала «непотопляемый» хостинг.
Для легальных провайдеров и регистраторов доменов этот кейс интересен тем, как преступники пытаются скрыть реальных владельцев и насколько быстро их вычисляют при должной проверке.
Как устроена компания-прокладка
Stark Industries Solutions Ltd. зарегистрировали в феврале 2022 года — буквально за две недели до начала войны в Украине. Официально компания якобы помогала реселлерам спрятать IP-адреса от PQ Hosting, предыдущего проекта братьев Некулич.
Иван и Юрий Некулич из Приднестровья давно занимались подобным бизнесом. Ещё с 2008 года Иван под ником dfyz продавал на русских форумах «буллетпруф-сервера» — инфраструктуру, заточенную под нелегальный контент. PQ Hosting в пике обслуживал больше 120 тысяч клиентов из 38 стран. Stark Industries просто стала ещё одним слоем между клиентами и реальными серверами.
Два ASN выдали операторов
В мае 2025 года ЕС ввёл санкции против Stark Industries. Братья попытались уйти от них, переведя операции на новую голландскую компанию WorkTitans B.V. под брендом THE.Hosting. Новый сайт, новые реквизиты, но та же инфраструктура.
Исследователи применили JA4T-фиingerprinting — метод, который выявляет характерные паттерны сетевого трафика. Сравнив отпечатки старого и нового ASN, они подтвердили: оборудование не менялось. Переезд оказался только на бумаге.
Для легальных хостеров это важный вывод: в эпоху сетевой криминалистики и fingerprinting'а смена названия ничего не даёт. Нужно физически переносить инфраструктуру, а не просто регистрировать новую компанию.
Что размещали на серверах
На 800 изъятых серверах размещались не обычные сайты. Инфраструктура Stark Industries использовалась:
- NoName057(16) — для DDoS-атак пророссийской направленности
- Sandworm — подразделением ГРУ
- Callisto Group — ещё одной российской разведывательной группой
- FIN7 — одной из самых активных хакерских группировок, атакующих банки
- Doppelganger — кампанией по распространению дезинформации в Европе
CORRECTIV в 2024 году задокументировал, что голландские серверы братьев напрямую поддерживали техническую часть государственной кампании по дезинформации.
Новый правовой прецедент
Аресты по Dutch Sanctions Act показали: предоставление инфраструктуры подсанкционным лицам теперь считается уголовным преступлением. Задержали 57-летнего директора и 39-летнего специалиста по сетевой инфраструктуре. Отдельный арест по делу Mirhosting подтвердил — голландские следователи не считают хостинг нейтральной услугой.
Для легального бизнеса это означает, что KYC и проверка клиентов по санкционным спискам становятся обязательными практиками, а не бюрократической формальностью.
Три вывода для хостинг-провайдеров
Техническая сложность не заменяет соблюдение закона. Братья управляли сетью в десятках стран, понимали DNS и ASN, но это не спасло их от современных методов расследования.
Ребрендинг без миграции инфраструктуры бесполезен. Смена названия или регистратора не меняет физические серверы. Сетевой fingerprinting легко выявляет одинаковое оборудование под разными ASN.
Юрисдикция ужесточается. Нидерланды активно борются с bulletproof-хостингом. Если вы работаете в ЕС, готовьтесь к проверкам.
Что это значит для отрасли
Дело Stark Industries показало, как работают современные расследования: финансовый мониторинг, сетевой анализ, OSINT и традиционные следственные действия. Это не случайный успех, а результат годового наблюдения после введения санкций.
800 серверов представляли собой инфраструктуру, которая обслуживала миллионы европейцев через дезинформацию, атаки и финансовое мошенничество. Каждое такое изъятие усложняет жизнь криминальным операторам и делает рынок чище для легальных провайдеров.