荷兰扣押800台服务器，逮捕两名协助网络攻击者

# 荷兰扣押800台服务器，逮捕两名协助网络攻击者 来源：https://krebsonsecurity.com/2026/05/netherlands-seizes-800-servers-arrests-2-for-aiding-cyberattacks/ 荷兰当局逮捕了两家关联互联网托管公司的共同所有者，指控其运营被俄罗斯用于在欧盟境内实施网络攻击、影响行动和虚假信息宣传的IT基础设施。这两人是2025年KrebsOnSecurity一篇报道的核心人物——该报道揭示了他们的托管公司如何接管了**Stark Industries Solutions**的技术基础设施，这家互联网服务提供商去年因频繁充当俄罗斯情报机构网络恶意活动的跳板而被欧盟制裁。 荷兰金融犯罪调查机构（FIOD）的一名调查员在突击搜查中。图片来源：FIOD。 荷兰日报*de Volkskrant*报道（https://www.volkskrant.nl/binnenland/how-a-consultant-and-a-concert-pianist-from-the-netherlands-aided-pro-russian-hackers~b60acffb/），荷兰金融犯罪机构**FIOD**于5月18日逮捕了一名57岁的阿姆斯特丹居民和一名39岁的海牙居民，指控他们违反制裁法，直接或间接向欧盟制裁实体提供经济资源。 荷兰调查聚焦于Stark Industries，这是一家庞大的托管提供商，在俄罗斯入侵乌克兰前仅两周成立。正如今年5月发布的详细调查（https://krebsonsecurity.com/2024/05/stark-industries-solutions-an-iron-hammer-in-the-cloud/）所述，Stark迅速成为针对欧洲目标的大规模分布式拒绝服务（DDoS）攻击来源，并成为代理和匿名服务的主要供应商，这些服务反复出现在与俄罗斯支持的黑客组织相关的网络攻击中。 该报道指出，两名摩尔多瓦兄弟——**Ivan**和**Yuri Neculiti**及其公司**PQHosting**——提供了Stark连接更大互联网的两条主要通道之一。2025年5月，欧盟制裁了PQHosting和Neculiti兄弟，因其协助俄罗斯的混合战争行动。但正如KrebsOnSecurity在2025年9月的观察（https://krebsonsecurity.com/2025/09/bulletproof-host-stark-industries-evades-eu-sanctions/）中指出的，这些制裁未能触及Stark剩余的互联网连接——一家位于荷兰的互联网服务提供商**MIRhosting**。 MIRhosting由**Andrey Nesterenko**运营，他是一名39岁的俄罗斯裔，在荷兰经营该业务。关于PQHosting和Neculiti兄弟即将被欧盟制裁的消息，在去年制裁宣布前近两周就已泄露。在此期间，Stark网络资产从PQHosting转移至一个名为**the[.]hosting**的新实体，由荷兰实体**WorkTitans BV**控制。 正如我们2025年9月的报道所示，WorkTitans由Nesterenko和一名57岁的阿姆斯特丹居民**Youssef Zinad**控制。此外，WorkTitans仅通过MIRhosting获得更大互联网的连接，而Zinad此前曾在MIRhosting工作。 5月18日，荷兰金融犯罪调查人员逮捕了Nesterenko和Zinad，并搜查了恩斯赫德和阿尔梅勒的三家企业以及德龙滕和斯基浦-赖克的两个数据中心。荷兰当局的一份声明（https://www.fiod.nl/fiod-houdt-twee-verdachten-aan-wegens-overtreding-sanctiewetgeving/）称，他们还扣押了笔记本电脑、电话以及800多台服务器。 [](https://krebsonsecurity.com/wp-content/uploads/2026/05/the-hosting-outage.png) 在荷兰当局扣押其800台服务器后，the-hosting向客户发出的消息。消息称，不幸的是，服务器上存储的数据已丢失且无法恢复。 de Volkskrant称，其审查的数据显示，在2025年11月13日至19日（丹麦市政选举周）期间，WorkTitans和MIRhosting是亲俄攻击丹麦政府机构时使用最多的网络。 该报写道，在Nesterenko被捕前，MIRhosting创始人否认知道自己的服务器被亲俄网络犯罪分子滥用。“他说他在2025年5月欧盟制裁生效时终止了与Neculiti兄弟的所有服务”，并且他“保留对‘有害和不正确出版物’采取行动的所有权利”，de Volkskrant写道。 MIRhosting发布了一份声明（https://www.linkedin.com/company/mirhosting/），称已针对涉及丹麦选举的指控事实启动内部调查，并作为预防措施暂停了对WorkTitans的服务，以待进一步审查。 “根据我们的初步调查结果，没有任何迹象表明我们控制的服务被实际用于影响丹麦选举，”声明称。“在出版物提及的期间内，未观察到我们网络流量出现异常或激增；如果发生了大规模DDoS攻击，此类活动本应显而易见。此外，在媒体报道之前，我们未收到任何关于可疑活动或滥用我们网络的投诉、滥用报告或官方请求。与此同时，我们的常规运营活动继续进行，对其他客户的服务完全保持正常。” Nesterenko先生出生于俄罗斯下诺夫哥罗德，自幼是钢琴神童，年纪轻轻便公开演出。2004年，Nesterenko创立了MIRhosting的母公司**Innovation IT Solutions Corp.**，该公司有一个显著特点：曾托管stopgeorgia[.]ru，这是一个用于组织针对格鲁吉亚网络攻击的黑客活动网站，该网站与2008年俄罗斯军队入侵这个前苏联国家时同时出现。那场冲突被认为是历史上第一场重大网络攻击与实际军事交火同时发生的战争。 在通过电子邮件回复提问时，Nesterenko表示MIRhosting不支持网络犯罪、规避制裁或非法活动，荷兰当局的指控和逮捕对他及其公司造成了极大损害。 “转移到the.hosting并非为了规避制裁，”Nesterenko写道。“硬件和客户组合在制裁出现之前就已经转移给了WorkTitans。关闭或损害一家合法的荷兰基础设施公司不会阻止网络犯罪，但会伤害许多没有做错任何事的人。” 关于57岁的Zinad的公开信息则少得多，据报道，自去年我们的报道以来，他一直保持低调。de Volkskrant报道称，Zinad封锁了他的LinkedIn账户，数月未回复电子邮件、WhatsApp消息和电话，并告诉一位同事，疾病迫使他过上更隐居的生活。 Zinad先生现已失效的LinkedIn个人资料。上面全是推广MIRhosting服务的帖子。 Nesterenko先生声称Zinad从未是MIRhosting的员工。 “他在公司之间的正常企业对业务安排下，帮我处理了某些业务任务，”Nesterenko解释道。 然而，在之前给KrebsOnSecurity的电子邮件中，Nesterenko抄送了Zinad先生（他有一个@mirhosting.com的邮箱），解释说他是公司法律团队的一员。此外，荷兰网站stagemarkt[.]nl将Youssef Zinad列为MIRhosting阿尔梅勒办事处的官方联系人（https://krebsonsecurity.com/wp-content/uploads/2025/09/stage-mir-youssef.png）。 Zinad先生从未回应过置评请求。de Volkskrant也未能找到他。该报称，他们多次联系Zinad先生（此处仅称“Z”），但他避开了所有联系方式。 “‘我目前无法接听，但会尽快回复您的消息’，这是2025年10月2日WhatsApp上的一条自动回复，”de Volkskrant报道。“这是de Volkskrant数月内收到的唯一回复。他没有接电话，也没有回电。当一位熟人通过LinkedIn请他联系记者时，他封锁了LinkedIn页面的访问权限。在阿尔梅勒一个Z私人有限公司注册的地址，四月份无人居住。这栋转角房屋的百叶窗拉下了，外面一个容器旁放着一堆垃圾袋，像是有人刚离开。一位邻居说认识这名男子，但不知道他住在哪里。Z后来在阿姆斯特丹的一处住所被捕。”