Hà Lan tịch thu 800 máy chủ và bắt giữ 2 nghi phạm hỗ trợ các cuộc tấn công mạng

Cơ quan chức năng Hà Lan đã bắt giữ hai đồng sở hữu của các công ty lưu trữ internet liên quan vì vận hành hạ tầng kỹ thuật được Nga sử dụng để thực hiện các cuộc tấn công mạng và các chiến dịch gây ảnh hưởng cũng như tung tin giả trong Liên minh Châu Âu (EU). Hai người này là tâm điểm của một bài điều tra năm 2025 trên KrebsOnSecurity về việc công ty của họ đã nhận quyền kiểm soát cơ sở hạ tầng kỹ thuật của Stark Industries Solutions — một nhà cung cấp dịch vụ Internet bị EU trừng phạt vào năm ngoái vì thường xuyên trở thành bàn đạp cho các hoạt động phá hoại mạng từ các cơ quan tình báo Nga.

Một điều tra viên của FIOD tại cuộc đột kích. Ảnh: FIOD.

Theo báo cáo của tờ de Volkskrant (Hà Lan), Cơ quan Tình báo và Điều tra Thuế (FIOD) vào ngày 18/5 đã bắt giữ một người đàn ông 57 tuổi tại Amsterdam và một người 39 tuổi tại The Hague. Họ bị buộc tội vi phạm luật trừng phạt vì trực tiếp hoặc gián tiếp cung cấp nguồn lực kinh tế cho các thực thể bị EU chế tài.

Cuộc điều tra của Hà Lan tập trung vào Stark Industries, một nhà cung cấp dịch vụ lưu trữ quy mô lớn xuất hiện chỉ hai tuần trước khi Nga tấn công Ukraine. Đ như đã được mô tả chi tiết vào tháng 5/2024, Stark nhanh chóng trở thành nguồn gốc của các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn nhắm vào các mục tiêu tại châu Âu. Nó cũng nổi lên như một nhà cung cấp hàng đầu các dịch vụ proxy và ẩn danh, xuất hiện liên tục trong các cuộc tấn công mạng liên quan đến các nhóm hacker được Nga hậu thuẫn.

Báo cáo trước đó đã xác định hai anh em người Moldova — Ivan và Yuri Neculiti cùng công ty PQHosting của họ — đang cung cấp một trong hai đường dẫn chính của Stark ra Internet. Vào tháng 5/2025, EU đã áp đặt lệnh trừng phạt lên PQHosting và anh em nhà Neculiti vì hỗ trợ nỗ lực chiến tranh hỗn hợp của Nga. Tuy nhiên, như KrebsOnSecurity quan sát vào tháng 9/2025, các lệnh trừng phạt đó đã không nhắm vào kết nối Internet còn lại của Stark — một nhà cung cấp dịch vụ Internet có trụ sở tại Hà Lan gọi là MIRhosting.

MIRhosting do Andrey Nesterenko, một người gốc Nga 39 tuổi điều hành từ Hà Lan. Thông tin về việc PQHosting và anh em nhà Neculiti sắp bị EU trừng phạt đã bị rò rỉ trên truyền thông gần hai tuần trước khi lệnh trừng phạt được công bố năm ngoái. Trong thời gian đó, các tài sản mạng của Stark đã được chuyển từ PQHosting sang một thực thể mới gọi là the[.]hosting, dưới sự kiểm soát của thực thể Hà Lan WorkTitans BV.

Và như báo cáo của chúng tôi vào tháng 9/2025, WorkTitans do Nesterenko và một người 57 tuổi tên Youssef Zinad tại Amsterdam kiểm soát. Hơn nữa, WorkTitans chỉ nhận kết nối ra Internet lớn thông qua MIRhosting, nơi Zinad từng làm việc.

Ngày 18/5, các điều tra viên tội phạm tài chính của Hà Lan đã bắt giữ Nesterenko và Zinad, đồng thời lục soát ba doanh nghiệp tại Enschede và Almere cũng như hai trung tâm dữ liệu tại Dronten và Schiphol-Rijk. Một tuyên bố từ cơ quan chức năng Hà Lan cho biết họ cũng đã tịch thu máy tính xách tay, điện thoại và hơn 800 máy chủ.

Thông báo gửi tới khách hàng của the-hosting sau khi 800 máy chủ bị tịch thu. Ảnh: KrebsOnSecurity

De Volkskrant cho biết họ đã xem xét dữ liệu cho thấy WorkTitans và MIRhosting là hai mạng được sử dụng nhiều nhất trong các cuộc tấn công thân Nga nhắm vào các cơ quan chính phủ Đan Mạch trong giai đoạn từ 13 đến 19/11/2025, tuần diễn ra bầu cử hội đồng đô thị tại Đan Mạch.

Tờ báo viết rằng trước khi bị bắt, người sáng lập MIRhosting đã phủ nhận việc biết máy chủ của mình bị các tội phạm mạng thân Nga lạm dụng. "Ông ấy nói rằng đã chấm dứt tất cả dịch vụ với anh em nhà Neculiti khi lệnh trừng phạt của EU có hiệu lực vào tháng 5/2025", và ông ấy "giữ lại mọi quyền để hành động chống lại 'các bài báo gây hại và sai lệch'", de Volkskrant viết.

MIRhosting đã đưa ra một tuyên bố cho biết họ đã khởi động một cuộc điều tra nội bộ về các sự việc được cho là liên quan đến cuộc bầu cử tại Đan Mạch, và tạm dừng dịch vụ đối với WorkTitans như một biện pháp phòng ngừa trong khi vấn đề đang được xem xét thêm.

"Dựa trên những phát hiện sơ bộ của chúng tôi, không có dấu hiệu cho thấy các dịch vụ dưới sự kiểm soát của chúng tôi thực sự được sử dụng để gây ảnh hưởng đến cuộc bầu cử của Đan Mạch", tuyên bố viết. "Không có bất thường hoặc đỉnh lưu nào được quan sát thấy trong lưu lượng mạng của chúng tôi trong giai đoạn được đề cập trong bài báo; nếu các cuộc tấn công DDoS quy mô lớn xảy ra, hoạt động như vậy sẽ rõ ràng. Hơn nữa, trước khi bài báo được công bố, chúng tôi chưa nhận được bất kỳ khiếu nại, báo cáo lạm dụng hay yêu cầu chính thức nào về các hoạt động đáng ngờ hoặc việc lạm dụng mạng của chúng tôi. Trong lúc đó, các hoạt động kinh doanh thường xuyên của chúng tôi vẫn tiếp tục, và dịch vụ dành cho các khách hàng khác vẫn hoàn toàn nguyên vẹn."

Sinh ra tại Nizhny Novgorod, Nga, ông Nesterenko lớn lên như một thần đồng piano và đã biểu diễn công khai từ khi còn nhỏ. Năm 2004, Nesterenko founded công ty mẹ của MIRhosting là Innovation IT Solutions Corp., công ty có distinction đặc biệt là đơn vị chịu trách nhiệm lưu trữ stopgeorgia[.]ru — một trang web hacktivist để tổ chức các cuộc tấn công mạng vào Georgia xuất hiện cùng lúc với việc lực lượng Nga xâm lược quốc gia thuộc Liên Xô cũ này vào năm 2008. Cuộc xung đột đó được coi là cuộc chiến đầu tiên mà một cuộc tấn công mạng đáng chú ý và một cuộc giao tranh quân sự thực tế diễn ra đồng thời.

Trả lời các câu hỏi được chia sẻ qua email, ông Nesterenko nói rằng MIRhosting không hỗ trợ tội phạm mạng, trốn tránh trừng phạt hoặc hoạt động bất hợp pháp, và rằng các cáo buộc cũng như việc bị bắt giữ bởi cơ quan chức năng Hà Lan đã gây tổn hại cực kỳ lớn cho ông và công ty của mình.

"Sự chuyển đổi sang the.hosting không có ý định trốn tránh các lệnh trừng phạt", ông Nesterenko viết. "Phần cứng và danh mục khách hàng đã được chuyển sang WorkTitans trước khi các lệnh trừng phạt xuất hiện. Việc đóng cửa hoặc làm hỏng một công ty cơ sở hạ tầng hợp pháp của Hà Lan sẽ không ngăn chặn tội phạm mạng, nhưng nó sẽ gây hại cho nhiều người không làm gì sai".

Rất ít thông tin công khai về ông Zinad, người reportedly đã giữ mộtprofile thấp kể từ câu chuyện của chúng tôi năm ngoái. De Volkskrant báo cáo rằng Zinad đã chặn quyền truy cập vào tài khoản LinkedIn của mình, đã hàng tháng không phản hồi email, tin nhắn WhatsApp và cuộc gọi điện thoại, và nói với một đồng nghiệp rằng bệnh tật đang buộc ông phải sống hơi khép kín hơn.

Ông Nesterenko tuyên bố ông Zinad chưa bao giờ là nhân viên của MIRhosting.

"Ông ấy đã giúp tôi và MIRhosting với một số nhiệm vụ kinh doanh trong một thỏa thuận doanh nghiệp với doanh nghiệp bình thường giữa các công ty", ông Nesterenko giải thích.

Tuy nhiên, trong các email trước đó gửi cho KrebsOnSecurity, ông Nesterenko đã carbon copy (CC) cho ông Zinad (người có email @mirhosting.com), giải thích rằng ông ấy là một phần của đội ngũ pháp lý của công ty. Ngoài ra, trang web Hà Lan stagemarkt[.]nl liệt kê Youssef Zinad là người liên hệ chính thức cho văn phòng của MIRhosting tại Almere.

Ông Zinad chưa bao giờ phản hồi các yêu cầu bình luận. De Volkskrant cũng không may mắn trong việc truy tìm ông ấy. Tờ báo cho biết họ đã nhiều lần yêu cầu ông Zinad (được gọi ở đây đơn giản là "Z"), nhưng ông ấy reportedly đã tránh mọi hình thức liên lạc.

"'Tôi hiện không có mặt nhưng sẽ trả lời tin nhắn của bạn càng sớm càng tốt', đó là nội dung trả lời tự động trên WhatsApp vào ngày 2/10/2025", de Volkskrant báo cáo. "Đó là phản hồi duy nhất mà de Volkskrant nhận được trong nhiều tháng. Ông ấy không nhấc điện thoại và không gọi lại. Khi một người quen nhờ ông ấy liên hệ với phóng viên qua LinkedIn, ông ấy đã chặn quyền truy cập vào trang LinkedIn của mình. Tại một địa chỉ ở Almere nơi công ty TNHH cá nhân của Z. được đăng ký, không có ai vào tháng 4. Các tấm rèm của ngôi nhà góc đã bị hạ xuống, và một đống túi rác nằm bên cạnh thùng chứa, như thể ai đó vừa mới rời đi. Một người hàng xóm nói rằng ông ấy biết người đàn ông này nhưng không biết ông ấy đang ở đâu. Z. sau đó đã bị bắt tại một nơi ở ở Amsterdam."