Skip to content
hacker_posts

Pays-Bas : la FIOD saisit 800 serveurs de l'hébergeur successeur de Stark Industries

La FIOD démonte WorkTitans BV (THE.Hosting), rebrand post-sanctions de Stark Industries, utilisée par NoName057(16) pour ses DDoS contre l'Europe.

Publié le 4 min de lecture
fuitepays-basddosnoname057sanctions

Le 18 mai 2026, le service néerlandais d'enquête sur la criminalité financière (FIOD) a perquisitionné cinq sites aux Pays-Bas et saisi plus de 800 serveurs appartenant à l'hébergeur WorkTitans BV, qui opère sous la marque THE.Hosting. Deux dirigeants — un homme de 57 ans à Amsterdam et un de 39 ans à La Haye — ont été interpellés. L'opération vise le successeur direct de Stark Industries Solutions, sanctionné par l'Union européenne le 20 mai 2025 pour avoir hébergé des opérations cyber et d'ingérence russes contre des États membres.

La couverture publique du dossier est arrivée le 25 mai : voir Krebs on Security et l'enquête de fond de Recorded Future sur la mécanique de la rebranding.

Ce qui a été saisi

Cinq adresses ont été visitées : trois sites d'entreprise à Enschede et Almere, et deux datacenters à Dronten et Schiphol-Rijk. Au total : 800 serveurs, des dossiers comptables, des disques durs et des téléphones. Selon la FIOD, l'infrastructure servait à conduire des cyberattaques, des opérations d'ingérence étrangère et des campagnes de désinformation à l'encontre d'États membres de l'UE.

Les deux interpellés sont décrits comme les opérateurs de WorkTitans BV et de MIRhosting, deux entités néerlandaises qui se partageaient l'infrastructure et la connectivité.

Le contournement de sanctions

L'enchaînement documenté par Recorded Future :

  • 10 février 2022. Stark Industries Solutions est créée — deux semaines avant l'invasion russe à grande échelle de l'Ukraine.
  • 20 mai 2025. L'UE sanctionne Stark Industries Solutions Ltd, son PDG Iurie Neculiti et son propriétaire Ivan Neculiti, pour avoir activé des opérations cyber étatiques russes.
  • Avant l'annonce officielle. Selon les documents reconstitués par Recorded Future, les frères Neculiti — Moldaves — auraient eu environ douze jours d'avance grâce à des documents fuités dans la presse moldave. Pendant cette fenêtre, ils ont transféré les actifs réseau de Stark vers WorkTitans BV, rebaptisée THE.Hosting, MIRhosting assurant la connectivité.

Résultat : les serveurs physiques n'ont pas bougé. Seule la coquille juridique a changé. Les sanctions, conçues pour viser une entité moldovo-britannique, n'ont pas immédiatement attrapé son équivalent néerlandais. Il a fallu un an d'enquête de la FIOD pour reprendre la main.

NoName057(16) et la France

L'infrastructure démantelée hébergeait en routine les opérations de NoName057(16), collectif hacktiviste pro-russe créé en mars 2022, spécialisé dans le DDoS politique. Pour le contexte français — qui rend ce dossier directement pertinent — voici les jalons documentés des 18 derniers mois :

  • Décembre 2025. Plusieurs campagnes DDoS contre des aéroports français dans le cadre de #OpeFrance, lancée en réaction à l'accord d'achat de 100 Rafale par l'Ukraine.
  • 22 décembre 2025. Première offensive DDoS de grande ampleur contre La Poste et La Banque Postale, plusieurs milliards de tentatives de connexion par seconde, sites inaccessibles.
  • 1er janvier 2026. Deuxième vague contre La Poste.

Selon les données rapportées par Europol et Check Point, NoName057(16) revendique plus de 74 000 attaques depuis sa création, 4 900 victimes documentées en Europe et plus de 4 000 utilisateurs actifs de son outil DDoSia. Check Point indique une hausse de 411 % de l'activité du groupe contre la France sur un an.

Ce que ça change

  1. Reroutage de l'infrastructure DDoS. Le démantèlement crée une discontinuité opérationnelle pour NoName057(16). À court terme, attendez-vous à une migration vers d'autres hébergeurs bulletproof — Hong Kong, Russie, Biélorussie — et à une période de réorganisation des nœuds C2.
  2. Listes de réputation à mettre à jour. Les ranges IP historiques de Stark Industries / THE.Hosting / WorkTitans peuvent être déclassés des feeds de menace dans les jours qui viennent, mais les plages voisines restent à surveiller : la rebranding a déjà servi une fois, elle resservira.
  3. Détection DDoS. Les équipes opérationnelles confrontées aux outils de NoName057(16) — DDoSia en tête — doivent garder les signatures comportementales actives. Le démantèlement de l'hébergeur n'arrête pas le botnet client.
  4. Volet judiciaire. L'instruction est ouverte. Les opérateurs français qui ont subi des attaques attribuées à NoName057(16) ces 18 derniers mois peuvent demander à leur point de contact CERT national si leur dossier est susceptible d'être enrichi par les éléments saisis.

Contexte

La logique de la FIOD prolonge la séquence européenne entamée avec l'opération Saffron sur First VPN les 19 et 20 mai. Même schéma : viser les infrastructures mutualisées plutôt que les groupes individuels. Un seul démantèlement met simultanément en difficulté des dizaines d'opérateurs en aval — ici, le hosting d'un collectif DDoS étatique russe.

C'est aussi un signal méthodologique : un an entre le contournement des sanctions et la riposte judiciaire, c'est court pour ce type de dossier. Le précédent invite à parier que les futurs réacheminements post-sanction seront détectés plus vite — et que les structures juridiques de remplacement seront pré-identifiées avant même d'être activées.

Articles liés