防弹主机Stark Industries规避欧盟制裁

背景概述

2025年5月，欧盟对防弹主机提供商Stark Industries Solutions Ltd.的所有者实施金融制裁。该公司在俄罗斯入侵乌克兰前两周突然出现，迅速成为与克里姆林宫相关的网络攻击和虚假宣传活动的主要来源。但最新调查显示，这些制裁收效甚微，Stark通过简单更名并将资产转移至原始托管提供商控制的其他公司实体继续运营。

业务模式与威胁活动

Stark Industries Solutions自2022年出现以来，一直是以下活动的重要源头：

• 大规模DDoS攻击
• 俄语代理和VPN服务
• 与俄罗斯支持的黑客组织相关的恶意软件
• 虚假新闻传播

这类ISP被称为“防弹”提供商，因为它们以忽略任何关于其网络活动的滥用投诉或警方调查而闻名。

制裁与规避手段

初始制裁

2025年5月，欧盟制裁了Stark通往更广泛互联网的两个主要通道之一——位于摩尔多瓦的PQ Hosting，以及该公司的摩尔多瓦所有者Yuri和Ivan Neculiti兄弟。欧盟委员会表示，Neculiti兄弟和PQ Hosting与俄罗斯的混合战争行动有关。

规避策略

Recorded Future的新报告发现，就在制裁宣布前，Stark于2025年6月24日更名为the[.]hosting，由荷兰实体WorkTitans BV（AS209847）控制。据报道，Neculiti兄弟在制裁宣布前约12天获得预警，当时摩尔多瓦和欧盟媒体报道了即将对Neculiti兄弟实施制裁的消息。

作为回应，Neculiti兄弟将Stark的大量地址空间和其他资源转移至摩尔多瓦一家名为PQ Hosting Plus S.R.L.的新公司。该实体通过重复使用原始PQ Hosting的电话号码与Neculiti兄弟建立关联。

网络架构分析

MIRhosting的关键作用

Recorded Future的报告和欧盟2025年5月的制裁均未提及Stark网络的第二个关键支柱：位于荷兰的托管提供商MIRhosting。

MIRhosting由38岁的Andrey Nesterenko运营，其个人网站称他是一位成就卓著的音乐会钢琴家。DomainTools显示mirhosting[.]com注册在Nesterenko先生和Innovation IT Solutions Corp名下。

根据Jeffrey Carr的《内部网络战》一书，Innovation IT Solutions Corp.负责托管StopGeorgia[.]ru，这是一个在2008年俄罗斯军队入侵前苏联国家格鲁吉亚时出现的黑客行动主义网站。

所有权模糊化

WorkTitans BV的注册文件显示，该公司由y.zinad@worktitans.nl于2019年成立。该电子邮件地址对应一个名为Youssef Zinad的LinkedIn账户。虽然Zinad先生的LinkedIn个人资料未提及在MIRhosting的任何就业情况，但他在过去一年中几乎所有的LinkedIn帖子都是MIRhosting服务的广告重发。

荷兰商会文件显示，WorkTitans的唯一股东是位于荷兰阿尔梅勒的Fezzy B.V.公司。根据违规跟踪服务Constella Intelligence的数据，Google搜索Fezzy B.V.列出的电话号码也用于注册来自同一城镇的Youssef Zinad的Facebook个人资料。

持续运营证据

在KrebsOnSecurity 2024年5月对Stark进行深入调查前的一系列电子邮件交流中，Nesterenko先生将Zinad先生包含在邮件线程中（youssef@mirhosting.com），称其为公司法律团队的一部分。荷兰网站stagemarkt[.]nl将Youssef Zinad列为MIRhosting在阿尔梅勒办公室的官方联系人。

结论

Recorded Future关于Stark品牌重塑的报告得出结论：“欧盟对Stark Industries的制裁基本上无效，相关基础设施仍保持运行，服务在新品牌下迅速重建，没有造成重大或持久的中断。”现有证据很难反驳这一结论。

WorkTitans的注册文件显示，该公司还以Misfits Media和WT Hosting的名义开展业务（考虑到Stark与俄罗斯虚假宣传网站的历史联系，“Misfits Media”这个名字颇有些明目张胆）。