Нидерландские силовики изъяли более 800 серверов и задержали двух человек, связанных с THE.Hosting, но сама схема bulletproof hosting от этого, похоже, не рассыпалась. Для IT-команд это неприятно знакомый сюжет: можно вынести железо из стойки, но если у оператора остаются адресное пространство и маршрутизация, атаки быстро возвращаются в строй.
Об этом сообщает Dark Reading со ссылкой на данные нидерландской службы FIOD и исследование пражской threat intelligence-компании ELLIO. Операция прошла 18 мая 2026 года и была направлена против THE.Hosting, которую связывают с российской киберпреступной инфраструктурой и операциями влияния в Евросоюзе. Формально новость звучит громко: сотни серверов изъяты, двое операторов арестованы. На практике эффект оказался куда скромнее.
По данным ELLIO, более чем через неделю после рейда активность сканирования со стороны сети почти не изменилась. Исследователи описывают этот трафик без романтики: массовый оппортунистический поиск уязвимых систем, набор устройств в ботнеты, развёртывание криптомайнеров и самораспространяющихся ботов, кража облачных учётных данных, эксплуатация открытых веб-приложений и использование прокси-мощностей для атак на третьих лиц. Иными словами, речь не о точечной кампании, а об инфраструктуре, которая работает как сервисная платформа для самого разного вредоносного трафика.
Ключевая причина, почему рейд не дал того эффекта, на который обычно рассчитывает внешний наблюдатель, лежит в сетевой архитектуре. ELLIO и её CEO Влад Илюшин указывают: физическое изъятие серверов не означает автоматического отключения IP-блоков и автономной системы. Если адресное пространство по-прежнему закреплено за оператором и продолжает анонсироваться через BGP, достаточно перевесить его на новое оборудование в другом дата-центре и в другой стране. Тогда сканирование и прочая активность продолжаются почти без паузы. Нидерландские власти, по сути, забрали то, что могли забрать юридически, но не «выключили» саму сетевую оболочку бизнеса.
Здесь важны и конкретные идентификаторы. Текущую деятельность THE.Hosting исследователи связывают с автономной системой AS209847, оформленной через нидерландскую компанию WorkTitans B.V. До этого та же инфраструктурная линия проходила через AS44477. По версии ELLIO, в 2022 году сеть контролировалась российским частным регистрантом, а вскоре после начала полномасштабного вторжения России в Украину, в феврале 2022-го, AS44477 была передана новой компании Stark Industries Solution. Когда Евросоюз ввёл санкции против Stark Industries в 2025 году, операторы переоформили сеть на ещё одну структуру, PQ Hosting Plus S.R.L. Позже последовал новый ребрендинг, уже в THE.Hosting, и миграция на AS209847. Если убрать корпоративную мишуру, картина простая: операторы последовательно меняли юрлица и сетевые оболочки, чтобы не выпадать из европейской инфраструктуры и не терять рабочие мощности.
Для рынка это важнее самого факта рейда. История THE.Hosting показывает, что bulletproof hosting давно перестал быть экзотикой из старых форумов про кардинг и «теневой интернет». Это вполне рациональная модель инфраструктурного бизнеса: несколько юрисдикций, адресные блоки, арендованные VPS в разных странах, готовность игнорировать abuse-жалобы и способность переживать точечные удары. В таком устройстве дата-центр в Нидерландах, Германии или США может быть лишь одной из площадок, а не центром всей операции. Именно поэтому, как отмечает Илюшин, адресные блоки AS209847 геолоцируются не только в Нидерландах, но и в США, Германии, Финляндии, Турции, Великобритании, Франции, Молдове, Польше, Казахстане, Чехии и Латвии. Иначе говоря, сканирование, которое видят исследователи, связано с адресами этой сети, но физически может исходить вовсе не из Нидерландов.
Есть и ещё один неприятный сдвиг. Если прежняя инфраструктура Stark/PQ, по наблюдениям ELLIO, в основном искала системы со слабыми или дефолтными паролями на веб-серверах, SSH, FTP и Windows-шарах, то THE.Hosting действует шире. Исследователи фиксировали интерес к открытым MongoDB, Redis, PostgreSQL и Oracle, а также к промышленным протоколам DNP3 и EtherNet/IP, которые встречаются в энергетике, водоснабжении и другой критической инфраструктуре. Для разработчиков и DevOps это звучит как напоминание, что банальная публикация «внутренней» базы наружу всё ещё остаётся рабочим приглашением для злоумышленников. Для промышленного сектора вывод ещё неприятнее: массовое фоновое сканирование ICS-сегмента стало не исключением, а нормой.
ELLIO также связывает операторов Stark Industries, PQ Hosting и THE.Hosting с повторяющимися DDoS-атаками на европейскую критическую инфраструктуру и с дезинформационными операциями, включая активность группы NoName057(16). Отдельно упоминаются атаки на государственные системы Дании во время выборов в ноябре 2025 года. Это важная деталь: речь идёт не просто о «грязном» хостинге для спама и ботнетов, а об инфраструктуре, которая может обслуживать и киберпреступность, и политически мотивированные кампании. Для regulators и операторов связи это уже не вопрос локального abuse, а вопрос трансграничной устойчивости сетей.
Для русскоязычной IT-аудитории история полезна хотя бы тем, что снимает иллюзии о простых победах. Изъять 800 серверов и задержать двух операторов можно за один день. Вычистить автономную систему, адресное пространство, реселлерскую сетку и международную арендную модель куда сложнее. Поэтому главный вопрос теперь не в том, был ли рейд успешным на бумаге, а в том, готовы ли европейские и американские регуляторы, регистратуры и провайдеры действовать синхронно против самой сетевой ткани bulletproof hosting, а не только против её очередной стойки с серверами.
The post Налёт в Нидерландах изъял 800 серверов, но не остановил THE.Hosting appeared first on iTech News.