荷兰查封800台服务器，逮捕2人协助网络攻击Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks

荷兰当局逮捕了两家相关互联网托管公司的共同所有者，指控其运营的IT基础设施被俄罗斯用于在欧盟境内发动网络攻击、影响行动和虚假信息宣传。这两人是2025年KrebsOnSecurity报道的焦点，该报道称他们的托管公司接管了去年被欧盟制裁的俄罗斯情报机构频繁用作网络活动基地的Stark Industries Solutions的技术基础设施。

荷兰税务调查与侦查局（FIOD）一名调查人员在突袭行动中。图片：FIOD。

荷兰日报《人民报》报道，荷兰金融犯罪调查局FIOD于5月18日逮捕了一名来自阿姆斯特丹的57岁男子和来自海牙的39岁男子，指控他们直接或间接向受欧盟制裁实体提供经济资源，违反制裁法。

荷兰的调查聚焦于Stark Industries这家庞大的托管服务提供商，它在俄罗斯入侵乌克兰前两周突然出现。如今年5月的深度报道所述，Stark迅速成为针对欧洲目标的大规模分布式拒绝服务（DDoS）攻击的来源，并多次出现在与俄罗斯支持的黑客组织相关的网络攻击中，成为代理和匿名服务的顶级供应商。

该报告指出两名摩尔多瓦兄弟——伊万和尤里·内库利蒂及其公司PQHosting——为Stark提供了通往互联网的两种主要渠道之一。2025年5月，欧盟因协助俄罗斯的混合战行动对PQHosting和内库利蒂兄弟实施制裁。但正如KrebsOnSecurity在2025年9月观察到的，这些制裁未能切断Stark剩余的互联网连接——一家名为MIRhosting的荷兰互联网服务提供商。

MIRhosting由39岁的俄罗斯裔安德烈·内斯特伦科经营，他在荷兰运营此业务。去年欧盟即将对PQHosting和内库利蒂兄弟实施制裁的消息泄露近两周后，Stark的网络资产从PQHosting转移至名为[.]托管的新实体，由荷兰企业WorkTitans BV控制。

我们2025年9月的报告显示，WorkTitans由内斯特伦科和阿姆斯特丹一名57岁的尤瑟夫·齐纳德控制。此外，WorkTitans仅通过齐纳德此前任职的MIRhosting接入互联网。

5月18日，荷兰金融犯罪调查人员逮捕了内斯特伦科和齐纳德，并在恩斯赫德和阿默弗勒搜查了三家企业，在德鲁滕和史基浦-里克搜查了两个数据中心。荷兰当局声明称，他们还没收了笔记本电脑、电话机和超过800台服务器。

在被荷兰当局没收800台服务器后，[.]托管立即向其客户发送消息，称存储在服务器上的数据不幸丢失且无法恢复。

《人民报》称，其审查的数据显示，2025年11月13日至19日丹麦市政选举周期间，WorkTitans和MIRhosting是丹麦政府机构遭受亲俄攻击中最常使用的网络。

该报道称，在涅斯特罗科夫被捕前，MIRhosting创始人否认其服务器曾被亲俄黑客盗用用途。他称“自2025年5月欧盟制裁生效后已终止与Neculiti兄弟的所有服务”，并“保留对‘不实有害报道’采取法律行动的权利”，《人民报》如此写道。

MIRhosting发表声明称，已针对丹麦选举相关指控启动内部调查，并将暂缓对WorkTitans的服务作为审慎措施以待进一步审查。

声明称：“根据初步调查结果，我们未发现受控服务实际被用于干预丹麦选举的证据；报道所述期间网络流量无异常波动或激增——若发生大规模DDoS攻击，此类活动必然会被察觉。此外，媒体曝光前我们未收到任何关于可疑活动或网络滥用的投诉、举报或官方请求。当前常规运营持续正常，其他客户服务完全不受影响。”

涅斯特罗科夫出生于俄罗斯下诺夫哥罗德，自幼显露钢琴神童天赋。2004年，他创立了MIRhosting母公司创新IT解决方案公司，该公司因曾托管格鲁吉亚入侵期间（2008年俄军进攻前苏联国家）出现的黑客网站stopgeorgia[.]ru而广为人知——该网站策划了对格国的网络攻击。这场冲突被视为史上首次同时发生重大网络攻击与实体军事作战的战争。

涅斯特罗科夫通过邮件回应称，MIRhosting不支持网络犯罪、规避制裁及非法活动，荷兰当局指控对其个人和公司造成极大伤害。

“迁移至.the.hosting并非为规避制裁，”他写道。“硬件和客户资产在制裁出台前已转移至WorkTitans。关停或破坏一家合法的荷兰基础设施公司无法遏制网络犯罪，只会伤害无辜者。”

现年57岁的齐纳德鲜有公开露面，去年报道后一直保持低调。《人民报》称，他封锁了LinkedIn账户，数月未回复邮件、WhatsApp消息和电话，并向同事透露因病需隐居生活。

现已失效的齐纳德LinkedIn个人资料中满是推广MIRhosting服务的帖子。

涅斯特罗科夫声称齐纳德从未是MIRhosting员工。

“他以企业间正常合作身份协助我和MIRhosting处理部分业务任务，”他解释道。

但此前致KrebsOnSecurity的邮件中，涅斯特罗科夫抄送齐纳德（@mirhosting.com邮箱），称其为公司法务团队成员。此外，荷兰网站stagemarkt[.]nl将尤瑟夫·齐纳德列为阿尔默尔MIRhosting办公室的官方联系人。

齐纳德先生从未对评论请求作出回应。《人民报》也未能找到他。该媒体表示，他们多次联系齐纳德（文中简称“Z”），但他似乎避开了所有形式的接触。

《人民报》报道称：“2025年10月2日，WhatsApp上显示的自动回复写道‘我目前无法接听，但会尽快回复您的消息’——这是《人民报》数月来收到的唯一回复。他没有接电话，也未回拨。当一位熟人通过LinkedIn要求他联系记者时，他封锁了自己的LinkedIn页面。在阿尔默尔市注册齐纳德个人有限公司的地址处，4月时无人应答；临街房屋的百叶窗紧闭，几袋垃圾散落在集装箱旁，仿佛有人刚离开。邻居认识此人，但不知其去向。齐纳德后阿姆斯特丹的一处住所被捕。”