Insikt Group (Recorded Future) publie le 27 août 2025 une analyse détaillée montrant comment Stark Industries Solutions a préempté les sanctions de l’UE du 20 mai 2025 via une réorganisation technique et légale, permettant la continuité opérationnelle de ses services d’hébergement liés à des activités malveillantes.

  • Contexte et constat principal. L’UE a sanctionné Stark Industries Solutions et ses dirigeants (Iurie et Ivan Neculiti) pour avoir « enablé » des opérations cyber étatiques russes et d’autres menaces. Insikt Group observe que, dès avril 2025, l’opérateur a entamé une migration d’infrastructure et un rebrand vers de nouvelles entités (PQ Hosting Plus S.R.L., UFO Hosting LLC, THE.Hosting/WorkTitans B.V.), rendant les sanctions largement inefficaces et assurant une continuité de service.

  • Pré‑sanctions (avril–mi‑mai 2025). Après des fuites médiatiques (8–9 mai) sur l’inclusion des frères Neculiti dans le prochain paquet de sanctions, Stark transfère l’ASN AS44477 et des plages IP vers une nouvelle organisation RIPE, ORG‑PHPS1‑RIPE (PQ Hosting Plus S.R.L.), et migre des ressources vers UFO Hosting LLC (AS33993). Des domaines associés (ex. russia[.]stark-industries[.]solutions, registry[.]pq[.]hosting) pointent vers des IP annoncées par UFO Hosting, indiquant un basculement opérationnel de l’infrastructure russe.

  • Post‑sanctions (fin mai–juin 2025). Le 29 mai, PQ.Hosting annonce un rebranding complet en THE.Hosting, opérant sous WorkTitans B.V. (NL). Des transferts de préfixes IP et des mises à jour de WHOIS/RIPE alignent les ressources sur la nouvelle entité (netname THE‑HOSTING). Un nouvel ASN AS209847 (THE) et une nouvelle LIR ORG‑WB96‑RIPE sont créés les 23–24 juin. Le site the[.]hosting a brièvement cité WorkTitans B.V. avant de retirer la mention.

  • Contrôle des ressources RIPE et liens opérateurs. Les objets « maintainer » PQHS‑MNT, UFO42‑MNT et THE‑HOSTING‑MNT partagent l’email jama**[@]gmail[.]com, attribué à Dmitrii Miasnikov, opérateur réseau russe lié à des LIRs (ORG‑DAM5‑RIPE, ORG‑DAM6‑RIPE) et à des services RIPE via virty[.]io. Ce contrôle coordonné des objets RIPE, LIRs, ASNs et préfixes a facilité la création/transfert et l’handover rapide d’actifs réseau.

  • Enjeux et portée. L’étude illustre la résilience structurelle des Threat Activity Enablers (TAEs) disposant d’un contrôle significatif sur des ressources RIPE (LIR, AS, préfixes IP), capables de rebrand, réallouer et maintenir leurs opérations malgré des sanctions régionales. L’impact opérationnel des sanctions UE contre Stark Industries s’avère limité, l’infrastructure étant rapidement rétablie sous de nouvelles identités.

IOCs (indicateurs)

  • ASNs / LIRs / ORGs:
    • AS44477 (Stark Industries Solutions)
    • AS33993 (UFO‑AS, UFO Hosting LLC)
    • AS209847 (THE)
    • ORG‑PHPS1‑RIPE (PQ HOSTING PLUS S.R.L., MD)
    • ORG‑UHL6‑RIPE (UFO Hosting LLC, RU)
    • ORG‑THE3‑RIPE (WorkTitans B.V.)
    • ORG‑WB96‑RIPE (WorkTitans B.V., LIR)
    • ORG‑DAM5‑RIPE / ORG‑DAM6‑RIPE (Dmitrii A. Miasnikov)
    • Maintainers: PQHS‑MNT, UFO42‑MNT, THE‑HOSTING‑MNT, MEREZHA‑MNT
  • Domaines clés:
    • pq[.]hosting, stark-industries[.]solutions, the[.]hosting, ufo[.]hosting
    • bill-migration-db[.]stark-industries[.]solutions
    • pq-ru[.]digitalvpn[.]org
    • pq[.]company
    • registry[.]pq[.]hosting
    • russia[.]stark-industries[.]solutions
  • Emails observés dans RIPE:
    • abuse[@]pq[.]hosting, noc[@]pq[.]hosting, police[@]pq[.]hosting
    • abuse[@]the[.]hosting, noc[@]the[.]hosting
    • jama**[@]gmail[.]com (lié aux maintainers)
    • admin[@]virty[.]io
  • Exemples de préfixes IP (sélection) — voir l’article pour la liste complète:
    • Annoncés par AS33993 (UFO‑AS): 45.67.230.0/24, 45.144.31.0/24, 94.131.113.0/24, 91.207.183.0/24, 193.201.126.0/24…
    • Annoncés par AS209847 (THE): 2.56.119.0/24, 5.182.39.0/24, 45.83.142.0/24, 94.131.10.0/24, 193.43.146.0/24, 2a09:7c43::/32, 2a0b:cf43::/32…

TTPs observées

  • Obfuscation juridique et technique: rebranding (PQ.Hosting → THE.Hosting), front company (WorkTitans B.V.).
  • Abus/contrôle de ressources RIPE: création de nouvelles ORGs/LIRs, transfert d’ASNs et de préfixes IP, maintainers partagés.
  • Évasion des sanctions: migration anticipée d’infrastructures vers UFO Hosting (RU), annonces BGP via AS tiers.
  • Résilience opérationnelle: continuité des services malgré les désignations UE; utilisation de protection DDoS (StormWall) en frontal.
  • Rôle de TAE: hébergement/VPS/VPN/proxy au bénéfice de multiples acteurs malveillants (ex. FIN7/GrayAlpha, hacktivistes, états).

Type d’article: analyse de menace visant à documenter une stratégie de contournement des sanctions et la résilience d’un TAE via le contrôle d’actifs RIPE.

🧠 TTPs et IOCs détectés

TTP

[‘Obfuscation juridique et technique: rebranding (PQ.Hosting → THE.Hosting), front company (WorkTitans B.V.)’, ‘Abus/contrôle de ressources RIPE: création de nouvelles ORGs/LIRs, transfert d’ASNs et de préfixes IP, maintainers partagés’, ‘Évasion des sanctions: migration anticipée d’infrastructures vers UFO Hosting (RU), annonces BGP via AS tiers’, ‘Résilience opérationnelle: continuité des services malgré les désignations UE; utilisation de protection DDoS (StormWall) en frontal’, ‘Rôle de TAE: hébergement/VPS/VPN/proxy au bénéfice de multiples acteurs malveillants (ex. FIN7/GrayAlpha, hacktivistes, états)’]

IOC

{‘asns_lirs_orgs’: [‘AS44477 (Stark Industries Solutions)’, ‘AS33993 (UFO-AS, UFO Hosting LLC)’, ‘AS209847 (THE)’, ‘ORG-PHPS1-RIPE (PQ HOSTING PLUS S.R.L., MD)’, ‘ORG-UHL6-RIPE (UFO Hosting LLC, RU)’, ‘ORG-THE3-RIPE (WorkTitans B.V.)’, ‘ORG-WB96-RIPE (WorkTitans B.V., LIR)’, ‘ORG-DAM5-RIPE / ORG-DAM6-RIPE (Dmitrii A. Miasnikov)’], ‘maintainers’: [‘PQHS-MNT’, ‘UFO42-MNT’, ‘THE-HOSTING-MNT’, ‘MEREZHA-MNT’], ‘domaines’: [‘pq.hosting’, ‘stark-industries.solutions’, ’the.hosting’, ‘ufo.hosting’, ‘bill-migration-db.stark-industries.solutions’, ‘pq-ru.digitalvpn.org’, ‘pq.company’, ‘registry.pq.hosting’, ‘russia.stark-industries.solutions’], ’emails’: [‘abuse@pq.hosting’, ’noc@pq.hosting’, ‘police@pq.hosting’, ‘abuse@the.hosting’, ’noc@the.hosting’, ‘jama**@gmail.com’, ‘admin@virty.io’], ‘prefixes_ip’: [‘45.67.230.0/24’, ‘45.144.31.0/24’, ‘94.131.113.0/24’, ‘91.207.183.0/24’, ‘193.201.126.0/24’, ‘2.56.119.0/24’, ‘5.182.39.0/24’, ‘45.83.142.0/24’, ‘94.131.10.0/24’, ‘193.43.146.0/24’, ‘2a09:7c43::/32’, ‘2a0b:cf43::/32’]}

🔗 Source originale : https://www.recordedfuture.com/research/one-step-ahead-stark-industries-solutions-preempts-eu-sanctions