THE.Hosting ist nach Darstellung der Forscher die jüngste Ausprägung eines Bulletproof-Hosting-Netzwerks, dessen Ursprünge sie bis zu einer 2022 von einer russischen Einzelperson kontrollierten Infrastruktur zurückverfolgen. Kurz nach dem russischen Einmarsch in die Ukraine im Februar 2022 übertrug diese Person die Autonomous-System-Nummer (ASN) des Netzwerks, AS44477, an eine neu gegründete Firma namens Stark Industries Solution. Eine ASN ist eine Kennziffer für den IP-Adressblock eines Netzwerks, die dem übrigen Internet mitteilt, wie Datenverkehr zu diesen Adressen geroutet wird.

Als die EU Stark Industries 2025 sanktionierte, übertrugen die Betreiber AS44477 an eine weitere neu geschaffene Einheit namens PQ Hosting Plus S.R.L. Später benannten sie diese erneut in THE.Hosting um und verlagerten den Betrieb auf ein neues Netzwerk, AS209847, unter der niederländischen Firma WorkTitans B.V. Im Ergebnis sitzt damit ein russisches Bulletproof-Hosting-Netzwerk in EU-Rechenzentren, dessen Datenverkehr über ein legitimes niederländisches statt ein russisches Unternehmen ins Internet gelangt. ELLIO beschreibt die Firmenhistorie als „Staffellauf, um den Sanktionen voraus zu bleiben".

Das alte Stark/PQ-Netzwerk trieb die Scan-Aktivität nach ELLIOs Angaben über den Sommer 2025 an und „landete am 30. August einen letzten gewaltigen Schlag". Danach übernahm THE.Hosting und erzeugte im November und Dezember 2025 jeweils mehr als zwei Millionen Scan-Sitzungen pro Monat.

Bulletproof-Hosting-Dienste stellen ihre Infrastruktur wissentlich Cyberkriminellen, Ransomware-Betreibern und anderen Akteuren zur Verfügung. Sie operieren typischerweise über mehrere Rechtsräume hinweg, ignorieren Missbrauchsbeschwerden und kooperieren nicht mit den Strafverfolgungsbehörden.

Während Akteure im alten Stark/PQ-Netzwerk laut ELLIO vor allem Systeme mit schwachen oder Standardpasswörtern bei Diensten wie Webservern, SSH, FTP und Windows-Dateifreigaben suchten, ist die Aktivität von THE.Hosting breiter und besorgniserregender. Die Forscher beobachteten Sondierungen offen erreichbarer MongoDB-, Redis-, PostgreSQL- und Oracle-Datenbanken sowie Scans nach den Protokollen DNP3 und EtherNet/IP, die häufig in Stromnetzen, Wasserversorgungen und anderen Industrieanlagen zum Einsatz kommen.

Vlad Iliushin, CEO von ELLIO, erklärt, die Betreiber von Stark Industries, PQ Hosting und THE.Hosting seien öffentlich mit wiederholten DDoS-Angriffen auf europäische kritische Infrastruktur in Verbindung gebracht worden. Sie würden zudem mit Desinformationskampagnen verknüpft, darunter Aktivitäten der prorussischen Gruppe NoName057(16) und Angriffe auf dänische Regierungssysteme während der Wahlen im November 2025.

Iliushin nennt zwei Gründe, warum die Razzia kaum Wirkung zeigte: Das Abräumen physischer Server entziehe dem Betreiber nicht den genutzten Adressraum. Die Blöcke seien dem Betreiber weiterhin vom zuständigen Regional Internet Registry für Europa zugewiesen und würden weiter über BGP angekündigt; sobald neue Hardware in einem anderen Rechenzentrum hinter diese Adressen gestellt werde, laufe das Scannen weiter. Ein BGP-Blackholing habe es nicht gegeben.

Zudem seien die unter WorkTitans B.V. registrierten Adressblöcke geografisch über die Niederlande, die USA, Deutschland, Finnland, die Türkei, Großbritannien, Frankreich, Moldau, Polen, Kasachstan, Tschechien und Lettland verteilt. Die beobachteten Scans stammten aus den AS209847 zugewiesenen Blöcken, nicht zwingend aus den Niederlanden. Als bestmögliches Szenario nennt Iliushin eine Zusammenarbeit von Strafverfolgungsbehörden in EU und USA, um sämtliche Adressräume von AS209847 per Blackholing stillzulegen.