Akcja przeciwko THE.Hosting nie zatrzymała rosyjskiego bulletproof hostingu

Wprowadzenie do problemu / definicja

Bulletproof hosting to model usług hostingowych, w którym operator świadomie toleruje działalność cyberprzestępczą, ignoruje zgłoszenia abuse i utrudnia działania organów ścigania. Tego typu infrastruktura bywa wykorzystywana do hostowania malware, serwerów C2, kampanii skanujących, botnetów, ataków DDoS oraz zaplecza operacyjnego grup przestępczych. Przypadek THE.Hosting pokazuje, że nawet szeroko zakrojona akcja służb i fizyczne przejęcie serwerów nie musi oznaczać realnego wygaszenia zagrożenia.

W skrócie

Holenderskie służby przejęły ponad 800 serwerów i zatrzymały dwie osoby powiązane z THE.Hosting. Mimo to aktywność sieci związanej z tym operatorem utrzymała się na poziomie zbliżonym do wcześniejszego, co wskazuje na wysoką odporność infrastruktury na klasyczne działania typu seizure-and-raid.

Źródłem problemu okazała się nie tylko fizyczna obecność serwerów w jednym kraju, ale przede wszystkim rozproszona architektura oparta na autonomicznych systemach, migracji zasobów pomiędzy podmiotami oraz wielojurysdykcyjnym modelu działania.

Kontekst / historia

Operacja przeprowadzona 18 maja 2026 r. była wymierzona w THE.Hosting, usługę łączoną z rosyjskim zapleczem cyberprzestępczym i operacjami wpływu wymierzonymi w Europę. Z dotychczasowych ustaleń wynika, że obecna struktura tej infrastruktury jest kolejną odsłoną wcześniejszych bytów organizacyjnych i sieciowych, które ewoluowały od 2022 r.

Według analiz infrastruktura była wcześniej wiązana z numerem ASN AS44477, następnie migrowała pomiędzy kolejnymi podmiotami, w tym Stark Industries Solution oraz PQ Hosting Plus, by później zostać przeorganizowaną pod marką THE.Hosting i osadzoną w sieci AS209847. Tego rodzaju zmiany utrudniają atrybucję, blokowanie zasobów i skuteczne odcięcie operatora od możliwości dalszego działania.

Znaczenie ma również wykorzystywanie struktur firmowych funkcjonujących formalnie na terenie Unii Europejskiej. Dzięki temu działalność hostingowa może sprawiać wrażenie legalnej usługi komercyjnej, mimo że infrastruktura pozostaje powiązana z aktywnością wysokiego ryzyka.

Analiza techniczna

Najważniejszy wniosek techniczny z tego incydentu jest prosty: przejęcie fizycznych serwerów nie oznacza automatycznego unieszkodliwienia całej infrastruktury operatora. Jeżeli podmiot zachowuje kontrolę nad przestrzenią adresową IP i może nadal rozgłaszać ją przez BGP, jest w stanie szybko odtworzyć operacje w innym centrum danych lub nawet w innym państwie.

W przypadku THE.Hosting badacze obserwowali dalszą aktywność skanującą mimo akcji organów ścigania. Oznacza to, że usunięcie sprzętu z wybranych lokalizacji nie przełożyło się na pełne wygaszenie aktywności źródłowej związanej z danym ASN i przypisanymi blokami adresowymi. Infrastruktura była wystarczająco elastyczna, aby przenieść obciążenia i zachować ciągłość działania.

Raportowane wzorce wskazują na szerokie, oportunistyczne skanowanie internetu. Obejmowało ono poszukiwanie słabo zabezpieczonych usług, rekrutację urządzeń IoT do botnetów, dystrybucję cryptominerów, przejmowanie poświadczeń chmurowych oraz próby wykorzystania wystawionych aplikacji webowych. Szczególnie istotne jest rozszerzenie zainteresowania o bazy danych oraz środowiska przemysłowe.

• MongoDB
• Redis
• PostgreSQL
• Oracle
• DNP3
• EtherNet/IP

Obecność protokołów kojarzonych z OT i infrastrukturą krytyczną sugeruje, że operatorzy lub ich klienci nie ograniczają się do typowego cybercrime wymierzonego w serwery internetowe. Sondowanie systemów mogących mieć znaczenie dla energetyki, wodociągów i innych sektorów przemysłowych podnosi wagę incydentu.

Ważny jest także aspekt geograficzny. Bloki adresowe przypisane do tej infrastruktury były geolokalizowane w wielu państwach, co oznacza, że obserwowany ruch nie musiał fizycznie pochodzić wyłącznie z Holandii. Taki model rozproszenia i resellingu VPS znacząco zwiększa odporność na lokalne działania egzekucyjne.

Konsekwencje / ryzyko

Dla obrońców i zespołów SOC sprawa THE.Hosting jest przypomnieniem, że bulletproof hosting pozostaje jednym z najtrudniejszych elementów ekosystemu zagrożeń. Nawet skuteczna operacja wobec części infrastruktury może przynieść jedynie ograniczony efekt, jeśli nie obejmuje również warstwy routingu, przestrzeni adresowej oraz współpracy między wieloma jurysdykcjami.

Ryzyko ma charakter wielowymiarowy. Taka infrastruktura wspiera masowe kampanie rozpoznawcze, które często stanowią pierwszy etap późniejszych włamań. Może również służyć do hostowania malware i komponentów C2, zwiększając trwałość kampanii prowadzonych przez grupy cyberprzestępcze. Wątek systemów OT i infrastruktury krytycznej sprawia dodatkowo, że zagrożenie wykracza poza wymiar czysto kryminalny.

Dodatkowym problemem jest łatwość rebrandingu i migracji pomiędzy kolejnymi podmiotami gospodarczymi. Jeśli operatorzy potrafią szybko zmieniać nazwy, ASN, spółki i lokalizacje centrów danych, tradycyjne listy blokad oraz punktowe działania prawne stają się mniej skuteczne. Dlatego organizacje powinny koncentrować się na zachowaniach i telemetryce, a nie wyłącznie na pojedynczych wskaźnikach kompromitacji.

Rekomendacje

Organizacje powinny traktować rozproszone kampanie skanujące pochodzące z sieci hostingowych wysokiego ryzyka jako realny sygnał przygotowania do ataku. W praktyce oznacza to potrzebę ciągłego monitorowania ekspozycji usług internetowych, szybkiego wykrywania nieautoryzowanych prób logowania oraz systematycznego ograniczania powierzchni ataku.

• Wyłączyć lub ograniczyć publiczny dostęp do zbędnych usług administracyjnych, takich jak SSH, FTP, RDP i interfejsy baz danych.
• Wymusić silne hasła oraz MFA wszędzie tam, gdzie jest to możliwe.
• Segmentować środowiska IT i OT oraz eliminować bezpośrednią ekspozycję systemów przemysłowych do internetu.
• Monitorować anomalie w ruchu przychodzącym, w szczególności masowe skanowanie wielu portów i usług z rozproszonych adresów IP.
• Regularnie aktualizować systemy i aplikacje webowe, aby ograniczyć ryzyko wykorzystania znanych podatności.
• Wdrażać zasadę least privilege i regularnie rotować poświadczenia.
• Korzystać z threat intelligence do korelacji aktywności skanującej z ASN, blokami adresowymi i infrastrukturą powiązaną z bulletproof hostingiem.

W środowiskach przemysłowych szczególnie ważne pozostaje pełne zinwentaryzowanie urządzeń komunikujących się przez DNP3, EtherNet/IP i inne protokoły OT, a następnie ich odseparowanie od sieci publicznych za pomocą zapór, brokerów dostępu i dedykowanych stref bezpieczeństwa.

Podsumowanie

Sprawa THE.Hosting pokazuje, że współczesna infrastruktura bulletproof hosting jest projektowana z myślą o przetrwaniu działań organów ścigania. Przejęcie setek serwerów i zatrzymanie operatorów może utrudnić działalność, ale nie musi oznaczać faktycznego wyłączenia całej platformy.

O skuteczności działań decyduje dziś nie tylko fizyczne zajęcie sprzętu, lecz również możliwość zablokowania przestrzeni adresowej, rozgłoszeń BGP oraz międzynarodowej warstwy operacyjnej. Dla zespołów bezpieczeństwa to wyraźny sygnał, że należy przygotowywać się na przeciwnika elastycznego, rozproszonego i zdolnego do szybkiej odbudowy.

Źródła

• Dark Reading — Dutch Raid Fails to Dent Russian Bulletproof Host — https://www.darkreading.com/cyber-risk/dutch-raid-russian-bulletproof-host
• ARIN — Autonomous System Numbers — https://www.arin.net/resources/guide/asn/
• CISA — Bulletproof Hosting Services Frequently Asked Questions — https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a