Im Zentrum der niederländischen Ermittlungen steht Stark Industries, ein weit verzweigter Hosting-Anbieter, der nur zwei Wochen vor dem russischen Einmarsch in der Ukraine entstand. Nach einer ausführlichen Recherche vom Mai 2024 wurde Stark rasch zur Quelle massiver DDoS-Angriffe gegen europäische Ziele und zu einem führenden Anbieter von Proxy- und Anonymisierungsdiensten, die immer wieder in Cyberangriffen Russland-naher Hackergruppen auftauchten.

Jener Bericht benannte zwei moldauische Brüder, Ivan und Yuri Neculiti, sowie deren Firma PQHosting als einen der beiden Hauptzugänge von Stark zum übrigen Internet. Im Mai 2025 sanktionierte die EU PQHosting und die Brüder Neculiti wegen Unterstützung der hybriden Kriegsführung Russlands. Diese Sanktionen erfassten jedoch nicht Starks verbliebene Internetanbindung über einen niederländischen Internetdienstleister namens MIRhosting.

MIRhosting wird von Andrey Nesterenko betrieben, einem 39-jährigen gebürtigen Russen, der das Geschäft von den Niederlanden aus führt. Nachrichten über die bevorstehenden Sanktionen gegen PQHosting und die Neculitis gelangten fast zwei Wochen vor deren Verkündung an die Medien. In dieser Zeit wurden die Netzwerk-Ressourcen von Stark von PQHosting auf eine neue Einheit namens the[.]hosting übertragen, die unter der Kontrolle des niederländischen Unternehmens WorkTitans BV stand.

Laut dem Bericht vom September 2025 wurde WorkTitans von Nesterenko und einem 57-jährigen Amsterdamer namens Youssef Zinad kontrolliert. WorkTitans erhielt seine Internetanbindung ausschließlich über MIRhosting, wo Zinad zuvor gearbeitet hatte.

In diesem Monat nahmen die Ermittler Nesterenko und Zinad fest und durchsuchten drei Unternehmen in Enschede und Almere sowie zwei Rechenzentren in Dronten und Schiphol-Rijk. De Volkskrant berichtet, ausgewertete Daten zeigten, dass WorkTitans und MIRhosting die am häufigsten genutzten Netzwerke bei pro-russischen Angriffen auf dänische Regierungsstellen in der Woche der dänischen Kommunalwahlen im November 2025 gewesen seien.

Vor seiner Festnahme bestritt der MIRhosting-Gründer der Zeitung zufolge, von einem Missbrauch seiner Server durch pro-russische Cyberkriminelle gewusst zu haben. Er habe alle Leistungen für die Brüder Neculiti beendet, als die EU-Sanktionen im Mai 2025 in Kraft traten. MIRhosting erklärte, man habe eine interne Untersuchung eingeleitet und die Dienste für WorkTitans vorsorglich ausgesetzt. Nach den vorläufigen Erkenntnissen gebe es keine Hinweise darauf, dass die kontrollierten Dienste tatsächlich zur Beeinflussung der dänischen Wahlen genutzt worden seien; im Netzwerkverkehr seien keine Auffälligkeiten oder großflächigen DDoS-Angriffe festgestellt worden.

Nesterenko erklärte auf Anfrage, MIRhosting unterstütze weder Cyberkriminalität noch Sanktionsumgehung oder illegale Aktivitäten. Der Wechsel zu the.hosting sei nicht zur Umgehung von Sanktionen erfolgt: Hardware und Kundenstamm seien bereits vor dem Erlass der Sanktionen an WorkTitans übertragen worden. Über Zinad ist deutlich weniger bekannt; de Volkskrant zufolge mied er monatelang jeden Kontakt, sperrte den Zugang zu seinem LinkedIn-Profil und wurde schließlich an einem Wohnsitz in Amsterdam festgenommen.