坚不可摧的托管服务商Stark Industries如何规避欧盟制裁

本文深入揭露了臭名昭著的防弹托管服务商Stark Industries如何通过品牌重塑和资产转移规避欧盟制裁。该提供商与俄罗斯支持的网络攻击、大规模DDoS攻击和虚假信息活动密切相关,尽管受到制裁,仍通过荷兰实体WorkTitans BV和 Moldova的PQ Hosting Plus S.R.L.继续运营。

坚不可摧的托管服务商Stark Industries规避欧盟制裁

2025年5月,欧盟对防弹托管提供商Stark Industries Solutions Ltd.的所有者实施了金融制裁。该公司在俄罗斯入侵乌克兰前两周出现,并迅速成为与克里姆林宫相关的网络攻击和虚假信息活动的主要来源。但新发现显示,这些制裁收效甚微,Stark只需进行品牌重塑并将其资产转移至由其原始托管提供商控制的其他公司实体即可继续运营。

该公司在2022年俄罗斯入侵乌克兰前两周出现,成为大规模DDoS攻击、俄语代理和VPN服务、与俄罗斯支持的黑客组织相关的恶意软件以及假新闻的常见来源。像Stark这样的ISP被称为"防弹"提供商,因为它们以忽略任何关于其网络活动的滥用投诉或警方调查而闻名。

2025年5月,欧盟制裁了Stark通往更广泛互联网的两个主要渠道之一——位于摩尔多瓦的PQ Hosting——以及该公司的摩尔多瓦所有者Yuri和Ivan Neculiti。欧盟委员会表示,Neculiti兄弟和PQ Hosting与俄罗斯的混合战争行动有关联。

但Recorded Future的一份新报告发现,就在制裁宣布之前,Stark于2025年6月24日更名为the[.]hosting,由荷兰实体WorkTitans BV(AS209847)控制。据报道,Neculiti兄弟在制裁宣布前大约12天得到了风声,当时摩尔多瓦和欧盟媒体报道了Neculiti兄弟将被列入制裁方案的消息。

作为回应,Neculiti兄弟将Stark的大量地址空间和其他资源转移到了摩尔多瓦一家名为PQ Hosting Plus S.R.L.的新公司,据报道,由于重复使用了原始PQ Hosting的一个电话号码,该实体与Neculiti兄弟有关联。

“尽管大部分相关基础设施仍可归因于Stark Industries,但这些变化可能反映了试图混淆所有权并在新的法律和网络实体下维持托管服务的努力,“Recorded Future指出。

无论是Recorded Future的报告还是欧盟2025年5月的制裁,都没有提到KrebsOnSecurity在2024年5月对这家臭名昭著的防弹托管商的简介中确定的Stark网络的第二个关键支柱:位于荷兰的托管提供商MIRhosting。

MIRhosting由38岁的Andrey Nesterenko运营,他的个人网站称他是一位成就卓著的音乐会钢琴家,从小就开始公开表演。DomainTools表示,mirhosting[.]com注册在Nesterenko先生和Innovation IT Solutions Corp名下,该公司在伦敦和Nesterenko所述的家乡俄罗斯下诺夫哥罗德都有地址。

根据Jeffrey Carr的《内部网络战》一书,Innovation IT Solutions Corp.负责托管StopGeorgia[.]ru,这是一个在2008年俄罗斯军队入侵这个前苏联国家时出现的用于组织针对格鲁吉亚的网络攻击的黑客行动主义网站。那场冲突被认为是历史上第一次重大的网络攻击和实际军事交战同时发生的战争。

Nesterenko先生没有回应置评请求。2024年5月,Nesterenko先生表示,他无法核实StopGeorgia是否曾是客户,因为他们没有保存那么久远的记录。但他坚持认为Stark Industries Solutions只是众多客户之一,并声称MIRhosting没有收到任何关于Stark滥用的可操作投诉。

然而,MIRhosting似乎再次成为Stark Industries的新家,并且MIRhosting的员工正在管理the[.]hosting和WorkTitans——Stark资产的主要受益者。

从荷兰商会获得的WorkTitans BV成立文件副本显示,WorkTitans也以Misfits Media和WT Hosting的名义开展业务(考虑到Stark与俄罗斯虚假新闻网站的历史联系,“Misfits Media"这个名字有点过于直白)。

该成立文件称,该公司由y.zinad@worktitans.nl于2019年成立。该电子邮件地址对应一个名为Youssef Zinad的LinkedIn账户,该账户称其个人网站是worktitans[.]nl和custom-solution[.]nl。该个人资料还链接到一个网站(etripleasims dot nl),LinkedIn目前将其屏蔽为恶意网站。所有这些网站现在或曾经都托管在MIRhosting。

尽管Zinad先生的LinkedIn个人资料没有提及在MIRhosting的任何工作经历,但他在过去一年中几乎所有的LinkedIn帖子都是转发MIRhosting服务的广告。

搜索Youssef Zinad可以发现多个初创公司追踪网站将他列为the[.]hosting的创始人,而censys.io发现该网站由PQ Hosting Plus S.R.L.托管。

荷兰商会文件显示,WorkTitans的唯一股东是荷兰阿尔梅勒的一家名为Fezzy B.V.的公司。谁经营Fezzy?根据漏洞追踪服务Constella Intelligence,在谷歌搜索Fezzy B.V.时列出的电话号码31651079755也曾被用于注册一个来自同一城镇的Youssef Zinad的Facebook个人资料。

在KrebsOnSecurity于2024年5月对Stark进行深入调查之前的一系列电子邮件交流中,Nesterenko先生将Zinad先生(youssef@mirhosting.com)包含在邮件线程中,称其为公司法律团队的一部分。荷兰网站stagemarkt[.]nl将Youssef Zinad列为MIRhosting在阿尔梅勒办公室的官方联系人。Zinad先生没有回应置评请求。

鉴于上述情况,很难反驳Recorded Future关于Stark品牌重塑的报告,该报告总结道:“欧盟对Stark Industries的制裁基本上无效,因为相关基础设施仍在运行,服务在新品牌下迅速重建,没有造成重大或持久的中断。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次