防弹主机商Stark Industries规避欧盟制裁的技术内幕

本文深入分析了防弹主机提供商Stark Industries如何通过资产转移、品牌重塑和技术架构调整来规避欧盟制裁。文章揭示了其与俄罗斯网络攻击的关联,以及通过荷兰实体WorkTitans BV和MIRhosting维持运营的技术细节,包括AS号变更和基础设施迁移策略。

防弹主机商Stark Industries规避欧盟制裁

2025年5月,欧盟对防弹主机提供商Stark Industries Solutions Ltd.的所有者实施了金融制裁。该公司在俄罗斯入侵乌克兰前两周成立,迅速成为与克里姆林宫相关的网络攻击和虚假宣传活动的主要来源。但最新调查显示,这些制裁收效甚微,Stark通过品牌重塑和资产转移至原提供商控制的其他公司实体继续运营。

背景与制裁

Stark Industries Solutions在2022年俄罗斯入侵乌克兰前两周出现,频繁发起大规模DDoS攻击、提供俄语代理和VPN服务、传播与俄罗斯支持的黑客组织相关的恶意软件以及虚假新闻。像Stark这样的ISP被称为“防弹”提供商,因为它们以忽略任何滥用投诉或警方对其网络活动的调查而闻名。

2025年5月,欧盟制裁了Stark通往互联网的两个主要通道之一——位于摩尔多瓦的PQ Hosting,以及该公司的摩尔多瓦所有者Yuri和Ivan Neculiti兄弟。欧盟委员会表示,Neculiti兄弟和PQ Hosting与俄罗斯的混合战争行动有关。

规避制裁的技术手段

Recorded Future的新报告发现,就在制裁宣布前,Stark于2025年6月24日更名为the[.]hosting,由荷兰实体WorkTitans BV(AS209847)控制。据报道,Neculiti兄弟在制裁宣布前约12天得到风声,当时摩尔多瓦和欧盟媒体报道了即将对Neculiti兄弟实施制裁的消息。

作为回应,Neculiti兄弟将Stark的大量地址空间和其他资源转移至摩尔多瓦的新公司PQ Hosting Plus S.R.L.,该公司因重复使用原始PQ Hosting的电话号码而与Neculiti兄弟关联。

Recorded Future指出:“尽管大部分相关基础设施仍可归因于Stark Industries,这些变化可能试图模糊所有权,并通过新的法律和网络实体维持托管服务。”

隐藏的网络支柱

Recorded Future的报告和欧盟2025年5月的制裁均未提及Stark网络的第二个关键支柱:荷兰托管提供商MIRhosting。MIRhosting由38岁的Andrey Nesterenko运营,其个人网站称他是一位成就卓越的音乐会钢琴家。DomainTools显示,mirhosting[.]com注册在Nesterenko先生和Innovation IT Solutions Corp名下,后者在伦敦和Nesterenko的家乡俄罗斯下诺夫哥罗德设有地址。

根据Jeffrey Carr的《内部网络战》一书,Innovation IT Solutions Corp.曾负责托管StopGeorgia[.]ru,这是一个在2008年俄罗斯入侵格鲁吉亚期间协调网络攻击的黑客行动主义网站。该冲突被认为是首次网络攻击与实际军事行动同时发生的战争。

Nesterenko先生未回应置评请求。在2024年5月,他表示无法验证StopGeorgia是否曾是客户,因为公司没有保留那么久远的记录。但他坚称Stark Industries Solutions只是众多客户之一,并声称MIRhosting未收到任何关于Stark滥用的可操作投诉。

然而,MIRhosting似乎再次成为Stark Industries的新家,且MIRhosting员工管理着the[.]hosting和WorkTitans——Stark资产的主要受益者。

公司结构与关联

从荷兰商会获得的WorkTitans BV成立文件显示,该公司还以Misfits Media和WT Hosting名义运营(考虑到Stark与俄罗斯虚假新闻网站的历史关联,“Misfits Media”一名颇为直白)。

成立文件称,该公司由y.zinad@worktitans.nl于2019年成立。该邮箱对应一个名为Youssef Zinad的LinkedIn账户,其个人网站为worktitans[.]nl和custom-solution[.]nl。个人资料还链接到一个被LinkedIn标记为恶意的网站(etripleasims dot nl)。所有这些网站都或曾托管在MIRhosting。

尽管Zinad先生的LinkedIn个人资料未提及在MIRhosting工作,但过去一年他几乎所有的LinkedIn帖子都是MIRhosting服务的广告。

谷歌搜索Youssef Zinad显示,多个初创公司追踪网站将他列为the[.]hosting的创始人,而censys.io发现该网站托管在PQ Hosting Plus S.R.L.。

荷兰商会文件称,WorkTitans的唯一股东是荷兰阿尔默勒的一家公司Fezzy B.V.。Constella Intelligence的漏洞追踪服务显示,谷歌搜索Fezzy B.V.列出的电话号码31651079755也曾用于注册同一城镇的Youssef Zinad的Facebook个人资料。

在KrebsOnSecurity 2024年5月对Stark的深度调查中,Nesterenko先生将Zinad先生(youssef@mirhosting.com)纳入邮件线程,称其为公司法律团队的一部分。荷兰网站stagemarkt[.]nl将Youssef Zinad列为MIRhosting阿尔默勒办公室的官方联系人。Zinad先生未回应置评请求。

结论

鉴于以上情况,很难反驳Recorded Future关于Stark品牌重塑的报告,其结论是“欧盟对Stark Industries的制裁 largely 无效,因为相关基础设施仍可运作,服务在新品牌下迅速重建,未造成重大或持久的中断。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次