5 月 18 日,荷兰金融犯罪调查机构 FIOD 动手查了一批主机基础设施。
两名相关负责人被逮捕,地点涉及 Enschede、Almere、Dronten 和 Schiphol-Rijk。执法人员查扣了笔记本、手机,以及 800 多台服务器。
这件事的重点,不是“又有两个黑产帮凶被抓”。目前也不能这么写。两人只是被逮捕、被指控,案件还在调查。
真正有意思的是,欧洲这次没有只盯着攻击者的名字,而是顺着服务器、上游接入、公司迁移路径往下查。制裁开始碰到网线了。
被查的是谁,链条怎么连上
FIOD 的指控是:两名嫌疑人涉嫌违反制裁法,直接或间接向欧盟制裁实体提供经济资源。
核心信息压缩一下:
| 问题 | 目前已知信息 |
|---|---|
| 谁被逮捕 | 39 岁 Andrey Nesterenko,57 岁 Youssef Zinad |
| 关联实体 | MIRhosting、WorkTitans、the.hosting |
| 查扣物 | 笔记本、手机、800 多台服务器 |
| 涉及地点 | Enschede、Almere、Dronten、Schiphol-Rijk |
| 指控方向 | 涉嫌向被欧盟制裁实体提供资源、规避制裁 |
| 法律状态 | 调查中,不能视为已定罪 |
这条线要从 Stark Industries Solutions 说起。
Stark 在俄乌战争前两周出现,后来被指为俄方 DDoS、代理服务和匿名基础设施提供节点。它的上游之一,是 PQHosting,以及 Moldovan 兄弟 Ivan、Yuri Neculiti。
2025 年 5 月,PQHosting 和 Neculiti 兄弟被欧盟制裁。
制裁之后,基础设施据称转向 the.hosting。the.hosting 又与荷兰实体 WorkTitans 相关,而 WorkTitans 的互联网接入主要依赖 MIRhosting。
FIOD 盯上的,就是这段“制裁后业务是否继续供血”的链条。
这和传统抓黑客不一样。不是抓某个论坛账号,也不是追某段恶意代码。执法机构看的是:机器还在不在线,谁给它接入,谁收钱,谁让它继续跑。
丹麦那条线也很敏感。
据 de Volkskrant 报道,2025 年 11 月 13 日至 19 日,也就是丹麦地方选举那一周,WorkTitans 和 MIRhosting 被称为亲俄攻击丹麦政府机构时最常用的网络之一。
这里必须压住边界。报道说的是相关网络被频繁使用,不等于 MIRhosting 操纵了丹麦选举。MIRhosting 也否认存在影响选举的证据。
受影响的不只是一批嫌疑服务器
MIRhosting 和 Nesterenko 的反驳不能跳过。
他们否认有意规避制裁,也否认支持网络犯罪。公司称,没有观察到异常流量或峰值,也没有收到投诉、滥用报告或官方请求。MIRhosting 还表示,已暂停 WorkTitans 服务,并启动内部调查。
Nesterenko 的说法更直接:关闭一家合法荷兰基础设施公司,挡不住网络犯罪,只会伤到无辜客户。
这句话不能当结论,但它点中了执行制裁的代价。
800 多台服务器不可能天然等同于“俄方攻击服务器”。里面可能有普通客户、合法业务和无辜数据。the.hosting 给客户的通知已经显示,有些服务器数据无法恢复。
受影响最直接的是两类人。
一类是云服务、IDC、代理服务商。过去合规可能只是客户 KYC、滥用投诉处理、付款审查。现在还要看客户背后的控制关系、制裁名单、业务迁移路径。只说“我只是卖服务器”,在战争和制裁语境下越来越不够用。
另一类是企业客户,尤其是把业务放在小型主机商、转售商、代理网络上的团队。
它们接下来最现实的动作,不是研究国际法,而是补三件事:异地备份、供应商制裁筛查、迁移预案。采购可能会延后,安全团队会要求供应商说明上游接入和数据恢复能力。对合规要求高的公司,会减少使用来路不清的廉价主机。
这不是道德洁癖,是业务连续性问题。服务器被扣时,客户通常不会先拿到一份温柔的解释。
制裁真正难的,是拔掉供血管
我更在意的,是欧洲把网络战重新放回了物理世界。
很多人谈网络战,脑子里还是黑客、漏洞、木马、0day。那些当然重要。但攻击能规模化、持续化、可复用,靠的是更平淡的东西:机房、IP 段、ASN、路由、上游接入、付款关系、客服工单。
还有一句老话:“天下熙熙,皆为利来。”
放到主机行业,就是有人愿意把自己说成中立管道。客户干什么,我不知道;上游只负责连接,不审内容;公司换个名字,资产转一圈,服务继续跑。
这套话术过去很有用。因为制裁如果只停在名单上,执行成本很低,规避成本也不高。
制裁 Stark,资产可以迁走。制裁 PQHosting,业务可以换壳。只看公司名,实际控制关系可以绕开。执法机构不碰机房,制裁就容易变成一份 PDF。
荷兰这次的价值,在于把问题变成了刑事调查:你是否在制裁之后继续给受制裁对象提供资源?你是否知道,或者本应知道?你有没有尽到审查、切断和响应义务?
这会逼基础设施公司重新算账。
以前的风险,是客户欠费、滥用投诉、IP 被拉黑。现在多了一层:客户背后的制裁风险可能把整批服务器拖下水。合规不再是法务贴在墙上的流程图,而是机房会不会被查、客户数据会不会丢、业务会不会断。
也要承认限制。
断网不是魔法。攻击者会迁到更不透明的地区,合法客户会被误伤,司法上也会争。欧洲如果执行得粗糙,会把一部分灰色基础设施赶出视野,而不是消灭它。
所以接下来最该看的,不是口号,而是四个变量:
- FIOD 能否拿出足够证据,证明制裁后仍有资源供给;
- MIRhosting、WorkTitans、the.hosting 之间的控制和服务关系如何被法院认定;
- 被扣服务器中的普通客户数据如何处理、能否恢复;
- 欧洲是否会把同样标准推向更多上游接入商和主机商。
这四点决定此案是一次重拳,还是一次容易被质疑的过度执法。
但方向已经变了。
网络战不是飘在云上的战争。它有电费,有合同,有路由表,也有一群人靠“看不见”赚钱。荷兰这次查的,正是这层灰色现实。