🗓️ Contexte

Article publié le 25 mai 2026 sur KrebsOnSecurity, relatant une opération judiciaire néerlandaise menée le 18 mai 2026 contre deux hébergeurs liés à l’infrastructure cyber russe.

🚔 Opération judiciaire

Le 18 mai 2026, l’agence néerlandaise de lutte contre la criminalité financière FIOD a arrêté deux individus :

  • Andrey Nesterenko, 39 ans, ressortissant russe, fondateur de MIRhosting, basé aux Pays-Bas
  • Youssef Zinad, 57 ans, d’Amsterdam, co-dirigeant de WorkTitans BV

Les deux suspects sont inculpés de violation de la législation sur les sanctions pour avoir mis des ressources économiques à disposition d’entités sanctionnées par l’UE.

Les autorités ont perquisitionné trois entreprises (Enschede, Almere) et deux centres de données (Dronten, Schiphol-Rijk), saisissant laptops, téléphones et plus de 800 serveurs.

🕸️ Infrastructure impliquée

L’enquête se concentre sur Stark Industries Solutions, un hébergeur apparu deux semaines avant l’invasion russe de l’Ukraine, devenu source de :

  • Attaques DDoS massives contre des cibles européennes
  • Services proxy et d’anonymisation utilisés dans des cyberattaques liées à des groupes soutenus par la Russie

La chaîne d’infrastructure identifiée :

  1. PQHosting (frères Neculiti, Moldavie) → sanctionné par l’UE en mai 2025
  2. Avant les sanctions, les actifs réseau de Stark ont été transférés vers the[.]hosting, sous contrôle de WorkTitans BV
  3. WorkTitans obtenait sa connectivité exclusivement via MIRhosting

Innovation IT Solutions Corp., société mère de MIRhosting fondée en 2004 par Nesterenko, a hébergé stopgeorgia[.]ru, site hacktivist utilisé pour organiser des cyberattaques contre la Géorgie lors de l’invasion russe de 2008.

🎯 Activités malveillantes documentées

  • WorkTitans et MIRhosting identifiés comme réseaux les plus utilisés dans les attaques pro-russes contre des organismes gouvernementaux danois entre le 13 et le 19 novembre 2025 (semaine des élections municipales danoises)
  • Infrastructure utilisée pour des opérations d’influence et de désinformation au sein de l’UE

📋 Type d’article

Article de presse spécialisée à visée investigative, documentant une opération de police néerlandaise et retraçant l’historique de l’infrastructure cyber liée à la Russie, en s’appuyant sur des investigations antérieures de KrebsOnSecurity (2024, 2025).

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Stark Industries Solutions (state-sponsored) —
  • PQHosting (cybercriminal) —
  • MIRhosting (cybercriminal) —
  • WorkTitans BV (cybercriminal) —

TTP

  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1583.008 — Acquire Infrastructure: Malvertising (Resource Development)
  • T1498 — Network Denial of Service (Impact)
  • T1090 — Proxy (Command and Control)
  • T1036 — Masquerading (Defense Evasion)

IOC

🟢 Indice de vérification factuelle : 69/100 (haute)

  • ✅ krebsonsecurity.com — source reconnue (liste interne) (20pts)
  • ✅ 9419 chars — texte complet (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ✅ 1/2 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Stark Industries Solutions, PQHosting, MIRhosting (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • the.hosting (domain) → ThreatFox (Unknown Stealer)

🔗 Source originale : https://krebsonsecurity.com/2026/05/netherlands-seizes-800-servers-arrests-2-for-aiding-cyberattacks/

🖴 Archive : https://web.archive.org/web/20260528073929/https://krebsonsecurity.com/2026/05/netherlands-seizes-800-servers-arrests-2-for-aiding-cyberattacks/