背景:追踪一条俄罗斯网络攻击链
2026年5月18日,荷兰金融犯罪调查局(FIOD)逮捕了两名互联网托管公司的共同所有人,并查封了超过800台服务器。这两人被指控违反制裁法,为欧盟制裁实体提供经济资源。这一行动是追踪俄罗斯网络攻击基础设施的长期调查的最新成果。
在Hacker News上,相关讨论获得 260分和 69条评论。知名安全记者Brian Krebs的调查报道详细还原了这条从摩尔多瓦延伸到荷兰、直通俄罗斯情报机构的网络攻击供应链。
Stark Industries:俄罗斯的网络战前哨
故事的核心是Stark Industries——一家在俄罗斯入侵乌克兰前两周凭空出现的托管服务提供商。这家公司迅速成为针对欧洲目标的大规模DDoS攻击源头,并成为与俄罗斯支持的黑客组织关联的代理和匿名服务的顶级供应商。
2024年5月,Krebs的调查发现Stark Industries的两条互联网连接中,一条由摩尔多瓦兄弟Ivan和Yuri Neculiti及其公司PQHosting提供。2025年5月,欧盟制裁了PQHosting和Neculiti兄弟。但制裁漏掉了Stark的另一条命脉——荷兰的MIRhosting。
制裁绕过:从PQHosting到WorkTitans
在欧盟制裁消息提前泄露的两周空窗期内,Stark的网络资产被从PQHosting转移到了一个名为the.hosting的新实体,受荷兰公司WorkTitans BV控制。WorkTitans由39岁的俄罗斯裔Andrey Nesterenko(MIRhosting创始人)和57岁的阿姆斯特丹居民Youssef Zinad控制。
荷兰媒体de Volkskrant审查的数据显示,WorkTitans和MIRhosting是2025年11月丹麦市政选举期间亲俄攻击中使用最多的网络。Nesterenko声称没有迹象表明服务被用于影响丹麦选举,但荷兰当局显然不买账。
历史纵深:从格鲁吉亚到丹麦
Nesterenko的背景耐人寻味。他2004年创办的Innovation IT Solutions Corp.曾托管stopgeorgia.ru——一个在2008年俄罗斯入侵格鲁吉亚时组织网络攻击的黑客网站。那场冲突被视为史上第一场网络攻击与军事行动同时发生的战争。
面对质询,Nesterenko坚称向the.hosting的转移并非为了规避制裁,硬件和客户组合在制裁出现之前就已经转移给了WorkTitans。但荷兰当局在其数据中心查获了笔记本电脑、手机和800多台服务器,并以实际行动表明态度。
社区反响:网络犯罪的灰色基础设施
HN社区讨论揭示了一个令人不安的现实。一位经验丰富的用户指出:这些甚至算不上勉强合规的托管公司。它们直接就是俄罗斯情报机构的前台公司——他们不做任何其他业务,即使你想用他们也不会为你提供常规托管服务。
另一位安全从业者表达了困惑:我整个职业生涯都站在防御者一方。我知道在某些市场,犯罪比合法工作更赚钱,但这些人投入了如此多的思想、精力、规划和工程来为网络犯罪分子提供IT基础设施服务——他们明明有技能从事合法且盈利的工作。
还有用户分享了个人经验:我在搭建家庭实验室时,发现来自荷兰的扫描/攻击流量与俄罗斯和中国相当。是什么让荷兰对这些攻击者如此有吸引力?——这个问题直指欧洲网络托管生态中长期存在的监管灰色地带。
📎 原文:KrebsOnSecurity | HN讨论:260 points, 69 comments