Autoridades da Holanda prenderam dois empresários do setor de tecnologia suspeitos de fornecer infraestrutura utilizada em operações cibernéticas pró-Rússia, incluindo ataques DDoS, anonimização de tráfego e campanhas de desinformação associadas ao ecossistema digital russo. A ação foi conduzida pelo FIOD, serviço holandês de investigação fiscal e financeira, que também realizou buscas em empresas e data centers, apreendendo mais de 800 servidores, além de notebooks, celulares e registros administrativos.

Segundo os investigadores, os suspeitos — um homem de 57 anos de Amsterdã e outro de 39 anos de Haia — operavam empresas responsáveis por fornecer hospedagem, conectividade e infraestrutura de internet utilizada em atividades consideradas desestabilizadoras pela União Europeia. Embora os nomes não tenham sido oficialmente divulgados pelas autoridades, investigações do grupo jornalístico alemão Correctiv e do jornal holandês de Volkskrant apontam que o caso envolve Andrey N., operador da empresa de hospedagem MIRhosting, e Youssef Z., proprietário da WorkTitans.

O caso gira em torno da Stark Industries, provedora de infraestrutura digital sancionada pela União Europeia em maio de 2025 por supostamente facilitar operações conduzidas por agentes ligados ao governo russo. A empresa teria fornecido serviços usados em campanhas de manipulação de informação, ataques cibernéticos e ocultação de identidade online por meio de VPNs e proxies.

De acordo com a investigação, a empresa alvo da operação foi criada em fevereiro de 2022, apenas duas semanas antes do início da invasão russa em larga escala contra a Ucrânia. Após as sanções europeias impostas em 2025, parte da infraestrutura técnica teria sido transferida para uma nova companhia registrada na Holanda, em uma tentativa de contornar as restrições econômicas e operacionais impostas pela União Europeia.

As autoridades afirmam que o suspeito de 57 anos atuava como diretor e acionista indireto da empresa utilizada para manter a operação ativa, enquanto o segundo suspeito teria fornecido conectividade de internet necessária para sustentar os serviços.

Os relatórios do Correctiv indicam que a MIRhosting prestava serviços aos irmãos moldavos Ivan e Juri Neculiti, responsáveis pela Stark Industries. A empresa teria oferecido infraestrutura de anonimização para clientes operarem de forma oculta na internet, incluindo dezenas de conexões VPN e serviços proxy.

Segundo os investigadores, essa infraestrutura foi utilizada para hospedar sites ligados ao Reliable Recent News, uma rede associada à campanha Doppelgänger, operação de desinformação atribuída a interesses russos e conhecida por criar páginas falsas que imitam veículos de imprensa legítimos para disseminar narrativas pró-Kremlin.

Além da desinformação, a estrutura também teria sido utilizada em ataques distribuídos de negação de serviço (DDoS) atribuídos ao grupo hacker pró-Rússia NoName057(16). O grupo ficou conhecido nos últimos anos por atingir órgãos governamentais, instituições políticas e infraestruturas críticas em diversos países europeus em retaliação ao apoio ocidental à Ucrânia.

A investigação sugere que Andrey N. continuou fornecendo serviços à rede ligada aos irmãos Neculiti mesmo após as sanções entrarem em vigor. Já Youssef Z. é suspeito de auxiliar na evasão das restrições europeias por meio da criação de uma empresa de fachada utilizada para manter parte da operação funcionando.

Em comunicado divulgado anteriormente, a MIRhosting negou as acusações e afirmou estar cooperando com as autoridades enquanto conduz uma investigação interna. A empresa declarou ainda que apenas fornecia espaço físico para servidores, energia e conectividade de rede por meio de um data center terceirizado, alegando não possuir acesso aos dados ou aplicações dos clientes.

A companhia também informou que suspendeu temporariamente os serviços prestados à WorkTitans e afirmou que suas operações seguem normalmente, sem impacto para outros clientes.

Em declarações citadas pelo de Volkskrant, Andrey N. negou ter facilitado conscientemente operações cibernéticas pró-Rússia e afirmou que interrompeu a colaboração com os irmãos Neculiti após a aplicação das sanções europeias.

O caso evidencia como provedores de infraestrutura digital passaram a ocupar um papel central no ecossistema de operações cibernéticas modernas. Serviços de hospedagem, VPNs, proxies e conectividade são frequentemente utilizados para ocultar origens de ataques, sustentar campanhas de desinformação e dificultar a atribuição de operações conduzidas por grupos patrocinados por Estados ou alinhados a interesses geopolíticos.