När infrastrukturen blir en belastning: fallet Stark Industries

Cyberbrottslingar tror ibland att ett nytt bolagsnamn räcker för att starta om. Så var det inte den 22 maj 2026 när nederländsk finanspolis slog till mot Stark Industries Solutions Ltd. – ett skalbolag skapat för att dölja en bulletproof hosting-verksamhet.

Fallet visar hur snabbt en omsorgsfullt uppbyggd fasad kan rasa när myndigheterna granskar både juridik och teknik på allvar.

Ett skalbolag med tydlig agenda

Stark Industries registrerades den 10 februari 2022 – bara två veckor före Rysslands invasion av Ukraina. Bolagets uppgift var att ge återförsäljare ett "neutralt" namn så att IP-adresser inte kunde spåras tillbaka till PQ Hosting, bröderna Neculitis tidigare projekt.

Ivan och Iurie Neculiti kommer från Transnistrien och har drivit cyberkriminell infrastruktur sedan åtminstone 2008. De sålde så kallade bulletproof-servrar – servrar som är designade för att klara av olagligt innehåll utan att stängas ner.

Istället för att bygga nytt använde de samma fysiska infrastruktur som låg bakom PQ Hosting, som som mest hade över 120 000 kunder i 38 länder. Stark Industries blev bara ett nytt lager mellan kunderna och servrarna.

Två ASNs avslöjade dem

När EU sanktionerade Stark Industries i maj 2025 flyttade bröderna verksamheten till ett nytt nederländskt bolag – WorkTitans B.V. – under namnet THE.Hosting. Nytt bolag, ny webbplats, samma servrar.

Säkerhetsforskare använde JA4T-fingeravtryck för att jämföra nätverkstrafik mellan de två ASNs. Fingeravtrycken matchade. Det var samma hårdvara som låg bakom båda bolagen.

Lektionen är tydlig: du kan inte dölja infrastruktur med bara ett nytt registreringsbevis. Utan att fysiskt flytta servrarna syns sambandet direkt i nätverksdata.

Vad servrarna faktiskt användes till

De 800 beslagtagna servrarna stod inte bakom vanliga webbplatser. De användes av flera grupper med koppling till rysk underrättelsetjänst och organiserad brottslighet:

• NoName057(16) – DDoS-attacker
• Sandworm – rysk militär cyberenhet
• Callisto Group – kopplad till GRU
• FIN7 – finansiella attacker mot banker
• Doppelganger – desinformationskampanj riktad mot Europa

CORRECTIV har visat hur brödernas servrar i Nederländerna utgjorde teknisk bas för en statligt stödd desinformationskampanj.

Nytt rättsligt prejudikat

Åtalen väcktes under den nederländska sanktionslagen. Det innebär att den som tillhandahåller infrastruktur till sanktionerade aktörer nu kan dömas för brott.

Två personer greps: en bolagsdirektör och en teknisk ansvarig. En tredje person kopplad till Mirhosting greps också. Nederländska åklagare ser alltså inte hosting som en neutral tjänst – utan som direkt medverkan.

Vad betyder det för seriösa aktörer?

För den som driver hosting, domänregistrering eller molntjänster finns tre tydliga lärdomar:

1. Teknisk kompetens räddar inte från juridiskt ansvar. Att förstå DNS och ASN hjälper inte om du medvetet hjälper kriminella.

2. Ombranding utan flytt av infrastruktur är meningslös. Nätverksfingeravtryck avslöjar samma hårdvara oavsett bolagsnamn.

3. Jurisdiktionen stramas åt. Nederländerna har tydligt visat att bulletproof hosting inte tolereras inom EU.

Ett större mönster

Det som gör fallet intressant är hur flera utredningsmetoder kombinerades: finansiell brottsutredning, nätverksanalys och open source-intelligens. Razziaerna var inte slumpmässiga – de följde ett års övervakning efter sanktionsbeslutet.

För den seriösa hosting-branschen är det här positivt. Varje beslagtagen server blir en server mindre för kriminella att hyra. Och varje framgångsrikt åtal gör det dyrare och svårare att driva olaglig infrastruktur.