オランダ当局は、ロシアが欧州連合内でサイバー攻撃、影響工作、偽情報キャンペーンを実行するために使用するIT基盤を運営していたとして、関連する2つのインターネット・ホスティング企業の共同所有者を逮捕した。この2人は、2025年のKrebsOnSecurityの記事の焦点となった人物であり、彼らのホスティング企業がロシアの情報機関からのサイバー悪行の頻繁な舞台となっていた、昨年EU制裁を受けたStark Industries Solutionsというインターネット・サービス・プロバイダーの技術基盤を管理下に置いていた。
オランダの金融犯罪機関である税務調査サービス(FIOD)の調査官による家宅捜索。画像: FIOD。
オランダの日刊紙de Volkskrantは報じているところによると、オランダの金融犯罪機関FIODは5月18日にアムステルダムの57歳とハーグの39歳を逮捕し、EU制裁対象となっている団体に経済資源を直接または間接的に利用可能にすることで制裁法違反に問われている。
オランダの調査はStark Industriesに焦点を当てている。これは、ロシアがウクライナに侵攻してからわずか2週間前に現れた広大なホスティング・プロバイダーである。この2024年5月の詳細なレポートに詳述されているように、Starkはすぐにヨーロッパの目標に対する大規模な分散型サービス妨害(DDoS)攻撃の発信地となり、ロシア支援のハッキンググループに関連するサイバー攻撃に何度も現れたプロキシおよびプライバシーサービスの主要供給源として浮上した。
そのレポートは、Starkの2つの主要なインターネット経路の1つを提供していた2人のモルドバ人兄弟であるIvanとYuri Neculitiおよび彼らの企業PQHostingを特定した。2025年5月、EUはロシアのハイブリッド戦争を支援した罪でPQHostingとNeculiti兄弟に制裁を加えた。しかし、KrebsOnSecurityが2025年9月に指摘したように、これらの制裁はStarkの残りのインターネット接続──オランダに拠点を置くMIRhostingというインターネット・サービス・プロバイダー──を対象にしなかった。
MIRhostingはオランダからビジネスを運営している39歳のロシア系人物Andrey Nesterenkoによって運営されている。PQHostingとNeculiti兄弟がEUによって制裁されようとしているというニュースは、昨年制裁が発表される約2週間前にメディアでリークされた。その間に、Starkネットワーク資産はPQHostingからオランダのエンティティWorkTitans BVの管理下にあるthe[.]hostingという新しいエンティティに転送された。
そして、2025年9月のレポートが示したように、WorkTitansはNesterenkoと、アムステルダムからの57歳のYoussef Zinadという名前の人物によって管理されていた。その上、WorkTitansはより大きなインターネットへの接続性をMIRhostingのみを通じて取得していた。そこでZinadは以前働いていた。
5月18日、オランダの金融犯罪調査官はNesterenkoとZinadを逮捕し、Enschedeとalmereの3つのビジネスとDrontenおよびSchiphol-Rijkの2つのデータセンターを捜索した。オランダ当局からの声明は、彼らがラップトップ、携帯電話、および800台以上のサーバも押収したと述べた。
800台のサーバがオランダ当局に押収された直後の、the-hosting顧客へのメッセージ。このメッセージは、残念なことにサーバに保存されたデータが失われ、復旧できないことを示している。
de Volkskrantによると、2025年11月13日から19日までのデンマークの市町村選挙の週に、WorkTitansとMIRhostingはデンマーク政府機関に対するロシア親派の攻撃で最も使用されたネットワークであることを示すデータを確認した。
この出版物は、Nesterenkoの逮捕前に、MIRhostingの創設者は彼のサーバがロシア親派のサイバー犯罪者によって悪用されていることを知っていたことを否定したと書いた。彼は「2025年5月にEU制裁が発効した時点で、Neculiti兄弟とのすべてのサービスを終了した」と述べ、「有害で不正確な出版物」に対して「すべての権利を留保する」とde Volkskrantが述べた。
MIRhostingは声明を発表し、デンマークの選挙に関連する申し立てられた事実について内部調査を開始した、およびそれが問題がさらに検討されている間に予防措置としてWorkTitansへのサービスを一時的に一時停止したと述べた。
「予備的な調査に基づいて、私たちが管理下に置いているサービスが実際にデンマークの選挙に影響を与えるために使用された兆候はない。」という声明を読む。「出版物で言及された期間中、ネットワークトラフィックに異常またはスパイクは観察されなかった。大規模なDDoS攻撃が発生した場合、そのような活動は明らかだったはずである。さらに、メディア出版の前に、疑わしい活動やネットワークの悪用に関する苦情、虐待報告、または公式要請を受け取っていなかった。一方、当社の定期的な運用活動は継続され、他のクライアントへの当社のサービスは完全に機能している。」
ロシアのニジニ・ノヴゴロド生まれのNesterenko氏は、若い年齢で公開演奏をしたピアノの才能児として育った。2004年、Nesterenko は2008年にロシア軍がグルジアに侵攻した時と同じ時期に出現した、グルジアに対するサイバー攻撃を組織するためのハクティビストウェブサイトであるstopgeorgia[.]ruをホストする責任がある企業という注目すべき特徴を持つMIRhostingの親会社Innovation IT Solutions Corp.を設立した。その紛争は、注目すべきサイバー攻撃と実際の軍事交戦が同時に起こった最初の戦争だと考えられていた。
電子メール経由で共有された質問に対応して、Nesterenko氏は、MIRhostingはサイバー犯罪、制裁回避、または違法行為をサポートしていないこと、およびオランダ当局による申し立てと逮捕は彼と彼の企業に極めて有害であったと述べた。
「the.hostingへの移行は制裁を回避することを意図していなかった」とNesterenko氏は書いた。「ハードウェアとカスタマーポートフォリオは、制裁が出現する前にすでにWorkTitansに転送されていた。正当なオランダのインフラストラクチャ企業を閉鎖または損傷させることは、サイバー犯罪を停止することはありませんが、それは何もしていない多くの人々に害を与えるでしょう。」
57歳のZinad氏についてはるかに少ない公開情報があり、昨年の私たちのストーリー以来、低いプロファイルを保つことが報告されている。de Volkskrantは、ZinadがLinkedInアカウントへのアクセスをブロックし、数ヶ月間メール、WhatsAppメッセージと電話呼び出しに応答していなかった、そして彼は同僚にいくつかのより隠遁的な生活を強いられていると述べたと報告した。
Zinad氏の現在は廃止されたLinkedInプロフィール。これはMIRhostingのサービスの投稿で満杯だった。
Nesterenko氏はZinadはMIRhostingの従業員ではなかったと主張している。
「彼は、企業間の通常のビジネス契約の下で、MIRhostingとの特定のビジネスタスクを支援した」とNesterenko氏は説明した。
しかし、KrebsOnSecurityへの以前のメールで、Nesterenko氏はZinad氏(@ mirhosting.comメールを持っていた)をカーボンコピーし、彼が会社の法務チームの一部であると説明した。また、オランダのウェブサイトstagemarkt[.]nlはリストし、Youssef ZinadをAlmereのMIRhostingオフィスの公式な連絡先として。
Zinad氏はコメントの要求に応じたことはない。de Volkskrantも彼を追跡する幸運を持っていなかった。この出版物は、彼が何度もZinad氏(ここで単に「Z」と呼ばれる)に尋ねたと述べたが、彼はあらゆる形の接触を避けたと報告された。
「’利用できませんが、できるだけ早くメッセージに応答します、’は2025年10月2日のWhatsAppの自動返信を読む。」de Volkskrantが報告した。「これは、de Volkskrantが数ヶ月間受け取る唯一の応答である。彼は電話に出なかった、コールバックしなかった。知人がLinkedIn経由でレポーターに連絡するよう彼に頼んだとき、彼はLinkedInページへのアクセスをブロックした。Z.の個人有限会社が登録されているAlmereのアドレスでは、4月に誰もいなかった。コーナーハウスのブラインドが引かれていて、ゴミ袋のパイルがコンテナの横にあり、誰かが最近去ったかのようであった。隣人は、彼は男を知っていたが、彼がどこに泊まっていたか知らないと言った。Z.はその後、アムステルダムの住宅で逮捕された。」
