Die niederländischen Behörden führten Durchsuchungen in drei Unternehmen in Enschede und Almere sowie zwei Rechenzentren in Dronten und Schiphol-Rijk durch. Neben den 800 beschlagnahmten Servern wurden auch Laptops und Mobiltelefone sichergestellt. Der Fall zeigt ein Muster organisierter Sanktionsumgehung: Nachdem die EU die moldauischen Brüder Ivan und Yuri Neculiti sowie deren Unternehmen PQHosting im Mai 2025 sanktionierte — sie waren eine der beiden Hauptverbindungen von Stark Industries ins Internet — verlegten die Betreiber ihre Operationen schnell auf neue Entitäten.
Der 39-jährige Andrey Nesterenko, Gründer von MIRhosting, und der 57-jährige Youssef Zinad kontrollierten daraufhin das neue Unternehmen “the[.]hosting” über die niederländische Gesellschaft WorkTitans BV. Diese Konstruktion ermöglichte es ihnen, die Sanktionen faktisch zu umgehen und die Infrastruktur weiterhin für russische Operationen nutzbar zu machen.
Besonders brisant: Die niederländische Zeitung De Volkskrant dokumentierte, dass WorkTitans und MIRhosting die am häufigsten genutzten Netzwerke in pro-russischen Angriffen auf dänische Regierungsbehörden waren — ausgerechnet in der Woche der dänischen Kommunalwahlen im November 2025. Dies unterstreicht das hybride Bedrohungsszenario, vor dem europäische Institutionen warnen.
Nesterenko behauptet, die Übertragung zu “the[.]hosting” sei nicht zur Sanktionsumgehung erfolgt, und der Hardwareumzug habe bereits vor den Sanktionen stattgefunden. Allerdings zeigen Recherchen, dass die Sanktionen gegen PQHosting etwa zwei Wochen vor ihrer offiziellen Ankündigung in Medien durchgesickert waren — genau in dem Zeitfenster, in dem Stark-Vermögenswerte zu WorkTitans transferiert wurden.
Zinad, über den wenig öffentlich bekannt ist, hielt sich seit der journalistischen Recherche bedeckt. Laut De Volkskrant war er monatelang nicht erreichbar, blockierte später seinen LinkedIn-Account und mied jeden Kontakt. Seine verhaftung erfolgte schließlich in Amsterdam.
Interessanterweise gründete Nesterenko 2004 die Muttergesellschaft Innovation IT Solutions Corp. — ein Unternehmen mit düsterer Geschichte: Es hostete 2008 die Website stopgeorgia[.]ru, eine Hacktivist-Plattform zur Koordination von Cyberangriffen während der russischen Invasion Georgiens. Dieser Konflikt gilt als der erste Krieg, in dem Cyberangriffe und militärische Operationen zeitgleich stattfanden.
Der Fall verdeutlicht die Persistenz russischer Cyberinfrastruktur und die Raffinesse bei deren Verschleierung — ein Problem, das direkt europäische und damit auch deutsche Sicherheitsinteressen betrifft.