基础设施成了累赘：Stark Industries 的覆灭

最近几起网络犯罪案件告诉我们一个道理：换个名字不等于重新开始。

2026 年 5 月 22 日，荷兰金融犯罪调查局（FIOD）突袭了多家公司，端掉了 Stark Industries Solutions Ltd. 这个壳公司。业内早知道，这家荷兰公司其实就是 PQ Hosting 的遮羞布，专门干「防弹主机」这门生意。

壳公司是怎么搭起来的

Stark Industries Solutions Ltd. 成立于 2022 年 2 月 10 日——正好是俄罗斯入侵乌克兰前 14 天。公司注册的理由听起来很合理：给转销商提供一个「中性名称」，避免 IP 地址被追溯到 PQ Hosting。

背后操盘的是两兄弟，Ivan 和 Iurie Neculiti。他们来自摩尔多瓦的德涅斯特河沿岸地区，那里亲俄。Ivan 早年在俄罗斯地下论坛用「dfyz」这个 ID 混，专门卖「防弹服务器」——也就是明知道客户要干坏事，还保证服务器不会轻易被关。

Stark Industries 其实没买新硬件。它只是 PQ Hosting 的一个中间层，把原来的服务器包装一下，对外换个名字卖。

两个 ASN 露了馅

2025 年 5 月欧盟制裁 Stark Industries 后，两兄弟马上注册了荷兰新公司 WorkTitans B.V.，对外叫「THE.Hosting」。新公司、新网站、新招牌，看起来干净利落。

但安全研究人员用 JA4T 指纹技术一比对，发现新旧两个 ASN 的网络流量特征几乎一模一样。硬件没换，IP 段也没动，只是换了张公司执照。

这给所有做主机的提了个醒：现在光改名字没用。网络指纹技术能直接看出服务器是不是同一批。想真正洗白，得把物理服务器都搬走才行。

这些服务器到底在干什么

被查封的 800 台服务器不是用来放正常网站的。调查发现上面跑着这些东西：

• NoName057(16)：亲俄的 DDoS 攻击组织
• Sandworm：俄罗斯军事情报局的网络部队
• Callisto Group：同样和俄方情报机构有关
• FIN7：专门针对金融机构的犯罪团伙
• Doppelganger 行动：向欧洲推送亲俄假新闻的造谣活动

CORRECTIV 的调查显示，荷兰的这些服务器直接参与了国家支持的虚假信息传播。这已经不是普通的违法托管，而是信息战的组成部分。

法律判例带来的变化

这次逮捕和起诉依据的是荷兰《制裁法》。这等于明确了一点：给被制裁实体提供基础设施，现在是刑事犯罪，不是灰色地带。

两名男子被捕：一名 57 岁的公司董事，一名 39 岁的网络运维负责人。另外一起与 Mirhosting 相关的逮捕也显示，荷兰检方认为提供基础设施本身就有直接责任。

对正规的主机商来说，这意味着客户身份核查和制裁名单筛查不再是形式，而是必须做的功课。

对你的主机生意意味着什么

如果你在做主机、域名或云服务，这起案件有三点值得注意：

1. 技术再强也得守法。 Neculiti 兄弟的网络覆盖几十个国家，客户过十万。他们懂 DNS、IP 分配和 ASN 管理，但这些都没能帮他们躲过现代取证技术。

2. 只换招牌没用。 改公司名、换注册商、换账单实体，都改变不了服务器的物理存在。网络级取证能跨 ASN 和公司识别出同一批硬件。正规运营商从来不玩这种把戏。

3. 管辖地越来越严。 荷兰已经明确反对防弹主机。如果你把服务器放在欧盟境内，就得接受更严格的审查。对做正经生意的来说，这其实是好消息。

更大的趋势

这起案件最有意思的地方在于，金融犯罪调查、网络取证、开源情报和传统警务手段结合在一起。突袭不是运气，而是欧盟制裁后一年跟踪的结果。

防弹主机运营商过去总觉得可以玩管辖权游戏——只要服务器不在同一个国家，执法部门就拿他们没办法。这套逻辑正在失效。

800 台服务器被扣，背后是数亿美元的犯罪基础设施。更重要的是，这些服务器支撑着影响数百万欧洲人的虚假信息、网络攻击和金融诈骗。

对正规的主机行业来说，这其实是利好。每抓一起防弹主机案，犯罪分子就少一个落脚点。法律把制裁执行得越严，犯罪成本就越高，最终转嫁到他们的客户身上。

Stark Industries 最终明白了一个道理：你骗不过取证技术。服务器记得它跑过什么，现代数字取证也不会让它「失忆」。