A 22 de maio de 2026, investigadores financeiros neerlandeses entraram em dois centros de dados e desligaram mais de 800 servidores. Em poucas horas, parte da espinha dorsal técnica que sustentava ataques de negação de serviço, campanhas de desinformação e operações de comando e controlo contra alvos europeus ficou às escuras. A operação, conduzida pelo Serviço de Informação e Investigação Fiscal dos Países Baixos (FIOD), terminou com duas detenções e voltou a colocar o bulletproof hosting no centro da política de cibersegurança da União Europeia.
Esta análise reúne os números confirmados, as empresas e pessoas envolvidas, a ligação à infraestrutura sancionada da Stark Industries e o que a apreensão revela sobre uma guerra silenciosa pela camada física da Internet. Para Portugal e para o resto da UE, o caso é mais do que uma notícia técnica: é um teste à capacidade das autoridades de atacar não os criminosos individuais, mas a infraestrutura que os mantém online.
O que aconteceu: 800 servidores apreendidos a 22 de maio de 2026
O FIOD executou buscas coordenadas em dois centros de dados, em Dronten e em Schiphol-Rijk, e em três instalações empresariais em Enschede e Almere. Segundo o comunicado divulgado pelas autoridades neerlandesas, os agentes apreenderam mais de 800 servidores, além de registos administrativos, computadores portáteis, telemóveis e outro equipamento.
As detenções recaíram sobre dois homens: um cidadão de 57 anos de Amesterdão e um de 39 anos da Haia. Ambos respondem por suspeita de violação das leis de sanções neerlandesas e europeias, ao disponibilizarem recursos económicos a entidades incluídas na lista de sanções da União Europeia. O FIOD descreveu a infraestrutura como tendo sido usada, entre outros fins, “para facilitar atividades desestabilizadoras dirigidas contra a União Europeia”.
A escala distingue esta ação. Apreensões anteriores de bulletproof hosting nos Países Baixos envolveram dezenas ou poucas centenas de máquinas. Os 800 servidores de maio de 2026 representam a maior operação neerlandesa conhecida deste tipo, e o número coloca o caso entre as maiores apreensões de infraestrutura cibercriminosa registadas na Europa nos últimos dois anos.
Quem são os detidos: WorkTitans e MIRhosting
A reportagem que mais detalhou a identidade dos detidos aponta para dois operadores ligados a empresas de alojamento relacionadas. De acordo com o The Next Web, os homens detidos foram Youssef Zinad, de 57 anos, proprietário da WorkTitans, e Andrey Nesterenko, de 39 anos, fundador da MIRhosting. O FIOD acredita que a empresa recém-criada serviu de fachada para entidades sancionadas, com o suspeito de 57 anos a atuar como diretor e acionista único indireto.
A cobertura noticiosa não é totalmente consistente nos nomes. Alguns meios identificaram o alvo como THE.Hosting, outros como Stark Industries Solutions, e outros ainda referiram a WorkTitans e a MIRhosting. Esta sobreposição reflete uma realidade comum no ecossistema de bulletproof hosting: as mesmas máquinas e blocos de endereços IP migram entre entidades legais para escapar a sanções e a ordens de cessação. O fio condutor é a infraestrutura, não a marca corporativa.
A MIRhosting reagiu publicamente. Numa atualização de junho de 2026, a empresa publicou uma análise técnica dos seus dados de rede de outubro e novembro de 2025, afirmando que as 4.468 anomalias de DDoS que detetou eram todas de tráfego de entrada, dirigido a endereços que transporta, e que nenhum tráfego de ataque saiu da sua rede no período. A MIRhosting sustenta que é um fornecedor de infraestrutura e de rede e que a gestão operacional do hardware, software e dados continua a cargo dos seus clientes. Os dados da empresa não foram verificados de forma independente e a investigação do FIOD continua em curso.
A ligação à Stark Industries e às sanções da UE
O elemento central da acusação é a sanção. A empresa de alojamento no centro do caso foi incluída na lista de sanções da União Europeia a 20 de maio de 2025. A apreensão chegou quase exatamente doze meses depois, sinal de uma investigação longa e deliberada, e não de uma reação a um único incidente.
A empresa foi constituída a 10 de fevereiro de 2022, duas semanas antes de a Rússia lançar a invasão em larga escala da Ucrânia. Para os investigadores, o calendário não é coincidência. A infraestrutura passou a ser associada a ciberataques, operações de interferência e campanhas de desinformação dirigidas à UE. O jornalista de segurança Brian Krebs, da KrebsOnSecurity, documentou em 2025 como estas empresas de alojamento assumiram o controlo da infraestrutura técnica da Stark Industries Solutions, um fornecedor de serviços de Internet sancionado pela UE por servir de plataforma de lançamento para operações ligadas aos serviços de informação russos.
Este é o padrão que define o caso. Quando a Stark Industries foi sancionada, a infraestrutura não desapareceu. Migrou para entidades neerlandesas que continuaram a operá-la, transferindo o risco legal sem interromper o serviço. A detenção dos operadores tenta quebrar precisamente esse ciclo de reconstituição.
NoName057(16): o grupo hacktivista pró-russo por trás dos DDoS
Entre os clientes que usavam a infraestrutura apreendida estava o NoName057(16), um coletivo hacktivista pró-russo conhecido por ataques de negação de serviço contra infraestrutura crítica ocidental. O grupo encenou ataques DDoS contra uma empresa de águas dinamarquesa e contra outros alvos críticos no Ocidente, usando capacidade de servidor alugada à rede agora desmantelada.
O NoName057(16) opera de forma descentralizada, recrutando voluntários através de canais de mensagens e distribuindo ferramentas de ataque a quem queira participar. Para um grupo assim, o alojamento à prova de bala é o ponto único de falha: sem servidores estáveis que ignorem queixas de abuso, a infraestrutura de coordenação e de lançamento dos ataques colapsa. Ao atacar o fornecedor em vez dos voluntários dispersos, o FIOD apontou ao elo mais frágil da cadeia.
Os ataques DDoS deste tipo raramente provocam danos permanentes, mas têm valor político e psicológico. Derrubar temporariamente o site de uma autarquia, de um banco ou de um operador de águas gera manchetes, demonstra capacidade e testa as defesas. Em Portugal, instituições públicas e operadoras de serviços essenciais têm sido alvo recorrente deste tipo de campanha, como detalhámos na análise sobre os ciberataques em Portugal em 2026.
O que é bulletproof hosting e porque importa
Como funciona o modelo de negócio
O bulletproof hosting, ou alojamento à prova de bala, é um serviço que ignora deliberadamente queixas de abuso, pedidos de remoção e ordens das autoridades. O modelo de negócio assenta numa promessa: o cliente pode executar operações ilegais ou nocivas com risco mínimo de ser encerrado. Os fornecedores publicitam o anonimato dos proprietários dos servidores, aceitam pagamentos em criptomoeda e prometem não cooperar com pedidos de investigação fora da sua própria jurisdição.
Tecnicamente, o serviço é indistinguível de qualquer alojamento legítimo. A diferença está na política. Um fornecedor normal suspende um cliente quando recebe provas de phishing, distribuição de malware ou comando e controlo de uma botnet. Um fornecedor à prova de bala arquiva a queixa e continua a faturar. É essa indiferença que transforma servidores comuns em armas.
Porque é tão difícil de derrubar
A resiliência do bulletproof hosting vem de três fontes. Primeiro, a deslocalização: as empresas registam-se em jurisdições permissivas e alugam capacidade em vários países, fragmentando a responsabilidade legal. Segundo, a reconstituição rápida: quando uma entidade é sancionada, os mesmos operadores criam uma nova empresa e migram os blocos de IP. Terceiro, a zona cinzenta legal: alojar dados não é crime, e provar que o fornecedor sabia da atividade criminosa exige meses de investigação. A própria lentidão de doze meses entre a sanção de maio de 2025 e a apreensão de maio de 2026 ilustra o esforço necessário.
Cronologia das apreensões de bulletproof hosting (2024-2026)
A operação de maio de 2026 não é um caso isolado. Insere-se numa sequência de ações cada vez mais ambiciosas das autoridades europeias e dos seus parceiros internacionais contra a camada de infraestrutura do cibercrime.
| Data | Operação / Alvo | Autoridade | Servidores | Resultado |
|---|---|---|---|---|
| Fev. 2024 | Operação Cronos (LockBit) | NCA, FBI, Europol | Infraestrutura central | Desmantelamento do painel; detenções e sanções subsequentes |
| Fev. 2025 | ZServers / XHost | Polícia neerlandesa | 127 | Sem detenções; ligações a LockBit e Conti |
| Mai. 2025 | Stark Industries (sanção) | Conselho da UE | Lista de sanções | Empresa incluída na lista de sanções da UE |
| Nov. 2025 | Host “à prova de bala” não nomeado | Politie (Leste dos Países Baixos) | 250 | Ligado a 80+ investigações desde 2022 |
| Mai. 2026 | WorkTitans / MIRhosting | FIOD | 800+ | 2 detidos; ligado ao NoName057(16) |
A progressão é clara: de 127 servidores em fevereiro de 2025 para 250 em novembro e 800 em maio de 2026. As autoridades neerlandesas tornaram-se o epicentro europeu deste combate, em parte porque o país concentra uma fatia desproporcional da capacidade de centros de dados do continente.
Comparação: como esta operação se mede face à ZServers e à CrazyRDP
Comparar as três grandes apreensões neerlandesas recentes revela uma mudança de estratégia. A ação contra a ZServers, em fevereiro de 2025, assentou em sanções internacionais coordenadas pelos Estados Unidos, Reino Unido e Austrália, mas não produziu detenções. A operação de maio de 2026 combinou a base legal das sanções com a captura física dos operadores.
| Métrica | ZServers (Fev. 2025) | Host não nomeado (Nov. 2025) | WorkTitans/MIRhosting (Mai. 2026) |
|---|---|---|---|
| Servidores apreendidos | 127 | 250 | 800+ |
| Detenções | 0 | 0 | 2 |
| Autoridade líder | Polícia neerlandesa | Politie Leste dos PB | FIOD |
| Grupos associados | LockBit, Conti | 80+ investigações | NoName057(16) |
| Base legal | Sanções EUA/RU/Austrália | Atividade criminosa | Violação de sanções da UE |
| Localização | Amesterdão | Haia | Dronten + Schiphol-Rijk |
A diferença mais significativa é a base legal. Ao enquadrar o caso como violação de sanções da UE, e não apenas como cumplicidade em crimes informáticos, o FIOD criou um caminho de acusação mais robusto. As sanções impõem uma proibição clara de disponibilizar recursos económicos a entidades listadas, o que facilita a prova face à exigência de demonstrar conhecimento de cada crime alojado. Os detalhes da apreensão de 127 servidores da ZServers foram documentados pelo The Record.
Contexto histórico: da Operação Cronos à guerra de infraestrutura
O combate ao bulletproof hosting faz parte de uma mudança estratégica mais ampla. Durante anos, as autoridades perseguiram operadores de ransomware e autores de malware individualmente, com resultados modestos: prendiam um, surgiam dois. A Operação Cronos, em fevereiro de 2024, marcou a viragem ao atacar a infraestrutura do LockBit, o painel de afiliados e os servidores de fuga de dados, em vez de apenas os indivíduos.
A lógica é a de cortar o oxigénio. O ransomware, as botnets, o phishing e as campanhas de desinformação dependem todos de uma camada física: servidores que recebem dados roubados, hospedam páginas falsas e coordenam ataques. Ao desmantelar essa camada, as autoridades aumentam o custo operacional de toda a economia do cibercrime. A análise da Europol no relatório IOCTA de 2026 confirma que o ransomware persiste como ameaça dominante na UE, com um número significativo de famílias ativas ao longo de 2025.
A guerra na Ucrânia acelerou esta convergência. A fronteira entre cibercrime com fins lucrativos e operações estatais de desestabilização esbateu-se. Grupos como o NoName057(16) misturam hacktivismo, propaganda e capacidade técnica alugada, e operam a partir da mesma infraestrutura que alimenta o crime financeiro. Por isso, sancionar fornecedores de alojamento tornou-se um instrumento de política externa, e não apenas de aplicação da lei.
A apreensão pode não ter funcionado por completo
Nem toda a análise foi celebratória. Reportagem especializada apontou uma falha potencial: a operação apreendeu 800 servidores e deteve dois operadores, mas terá deixado intacto o núcleo do espaço de endereços IP do fornecedor de alojamento. Sem o controlo desses blocos de IP, a infraestrutura pode ser reconstituída noutro centro de dados, com hardware novo, em questão de semanas.
Este é o calcanhar de Aquiles das apreensões de bulletproof hosting. O valor real de um fornecedor à prova de bala não está nas máquinas, que são substituíveis e baratas, mas na reputação junto dos clientes, nas relações com os centros de dados e, sobretudo, no controlo dos blocos de endereços IP que conferem estabilidade e continuidade. Apreender servidores sem capturar esses ativos equivale a confiscar os camiões de uma rede de contrabando sem tocar nas rotas nem nos contactos.
A história dá razão aos céticos. A ZServers foi sancionada e perdeu 127 servidores em 2025, e a infraestrutura migrou. A Stark Industries foi sancionada em maio de 2025, e os seus ativos passaram para entidades neerlandesas que continuaram a operá-los até maio de 2026. A pergunta verdadeira não é se a apreensão fez mossa, mas durante quanto tempo.
O que dizem os especialistas e as autoridades
O FIOD foi explícito quanto à natureza do alvo. Em comunicado, a agência afirmou que a empresa de alojamento foi “usada, entre outras coisas, para facilitar atividades desestabilizadoras dirigidas contra a União Europeia”, enquadrando o caso como uma questão de segurança nacional e não apenas de crime informático.
Brian Krebs, da KrebsOnSecurity, cuja reportagem de 2025 antecipou grande parte desta operação, descreveu os fornecedores à prova de bala como a camada física que mantém em funcionamento o phishing por correio eletrónico, o comando e controlo de malware e a infraestrutura de desinformação. A sua investigação mostrou como os operadores neerlandeses assumiram o controlo da infraestrutura da Stark Industries depois das sanções, um padrão de continuidade que as autoridades tentam agora travar.
Do lado da defesa, Andrey Nesterenko e a MIRhosting argumentam que um fornecedor de rede não deve ser responsabilizado pela atividade dos clientes que transporta. Numa declaração de junho de 2026, a empresa insistiu que a gestão operacional do hardware, software e dados pertence aos clientes e que a atividade na sua rede não deve ser atribuída à empresa. Esta tensão, entre a responsabilidade do fornecedor e a do cliente, está no cerne de todos os casos de bulletproof hosting.
Os analistas da Europol, no relatório IOCTA de 2026, descrevem o ataque à infraestrutura como uma das alavancas mais eficazes contra o cibercrime organizado, precisamente porque eleva o custo e o risco de toda a cadeia. A dificuldade, reconhecem, está em sustentar a pressão sem deixar janelas de reconstituição.
Impacto no mercado: alojamento, seguros e cadeia de fornecimento
A apreensão tem efeitos que vão além do cibercrime. Os Países Baixos concentram uma das maiores densidades de centros de dados da Europa, e a operação obriga os operadores legítimos a apertar os controlos de “conheça o seu cliente”. Centros de dados que alojam revendedores de capacidade enfrentam agora a possibilidade de responderem por violação de sanções se não verificarem a quem alugam espaço.
Para as empresas portuguesas, a lição prática é a cadeia de fornecimento. A reportagem especializada recomendou que qualquer organização identifique relações comerciais, diretas ou através de fornecedores a jusante, com a Stark Industries, a WorkTitans ou as entidades associadas. Uma empresa pode estar a usar, sem saber, uma rede de distribuição de conteúdos ou um fornecedor de IP que assenta em infraestrutura agora sob investigação. Este risco de exposição indireta é precisamente o que o Cyber Resilience Act e a diretiva NIS2 em Portugal procuram mitigar, ao exigir transparência sobre dependências de terceiros.
O mercado dos ciberseguros também acompanha o caso. As seguradoras analisam cada vez mais a higiene da infraestrutura de um segurado, e a associação a fornecedores sancionados pode anular a cobertura. O custo de operar num alojamento barato e sem perguntas começa a incluir a recusa de indemnização após um incidente.
Impacto para Portugal e para a UE
Portugal não foi alvo direto desta operação, mas o seu tecido empresarial e as suas infraestruturas críticas partilham o mesmo espaço de ameaça. Os ataques DDoS atribuídos a grupos como o NoName057(16) já atingiram serviços públicos portugueses, e a infraestrutura desmantelada nos Países Baixos servia alvos por toda a UE. A apreensão reduz, ainda que temporariamente, a capacidade ofensiva disponível para esses grupos.
No plano regulatório, o caso reforça a lógica da NIS2 e do Cyber Resilience Act. Ambos os regimes obrigam as organizações a mapear dependências, a reportar incidentes e a responder por falhas na cadeia de fornecimento. Uma empresa portuguesa que aloje serviços críticos num revendedor opaco arrisca-se a coimas e a responsabilidade acrescida. A tendência europeia, confirmada por esta operação, é a de tratar a infraestrutura como uma questão de segurança coletiva, e não apenas de escolha comercial. O padrão de extorsão e desestabilização que financia parte desta atividade foi abordado na nossa análise sobre a extorsão de dados em 2026.
Para os responsáveis de segurança em Portugal, a ação recomenda três medidas imediatas: auditar fornecedores de alojamento e de IP, exigir transparência sobre subcontratações e preparar planos de continuidade para ataques DDoS, que tendem a aumentar quando uma infraestrutura ofensiva é desmantelada e os grupos procuram demonstrar resiliência.
5 previsões para o resto de 2026
- Reconstituição em semanas, não meses. Se o núcleo do espaço de IP ficou intacto, a infraestrutura associada à Stark Industries deverá reaparecer noutro centro de dados europeu ainda em 2026, com nova marca e os mesmos clientes.
- Mais apreensões com base em sanções. O sucesso do enquadramento jurídico do FIOD, violação de sanções em vez de cumplicidade criminosa, vai inspirar operações semelhantes noutros Estados-Membros, sobretudo na Alemanha e na Roménia.
- Onda de DDoS de retaliação. O NoName057(16) e grupos afins deverão responder com campanhas de negação de serviço contra alvos europeus, incluindo a possibilidade de instituições portuguesas, para demonstrar que continuam operacionais.
- Pressão sobre os centros de dados. Os operadores legítimos vão reforçar a verificação de clientes, e os reguladores deverão propor regras mais estritas de “conheça o seu cliente” para revendedores de capacidade até ao final de 2026.
- Convergência crime-Estado mais visível. A linha entre cibercrime e operações estatais continuará a esbater-se, e mais apreensões revelarão infraestrutura partilhada entre grupos de ransomware e atores alinhados com Estados.
Perguntas Frequentes (FAQ)
O que é bulletproof hosting?
É um serviço de alojamento que ignora deliberadamente queixas de abuso, pedidos de remoção e ordens das autoridades. Permite aos clientes executar operações ilegais, como phishing, distribuição de malware e ataques DDoS, com risco mínimo de serem encerrados. Tecnicamente é igual a qualquer alojamento; a diferença está na recusa de cooperar.
Quantos servidores foram apreendidos a 22 de maio de 2026?
O FIOD apreendeu mais de 800 servidores em buscas nos centros de dados de Dronten e Schiphol-Rijk, além de equipamento em instalações empresariais em Enschede e Almere. Foram detidos dois homens, de 57 e 39 anos.
Qual a ligação à Rússia?
A infraestrutura era usada pelo grupo hacktivista pró-russo NoName057(16) para ataques DDoS contra alvos ocidentais, e estava associada à Stark Industries, sancionada pela UE em maio de 2025 por servir operações ligadas aos serviços de informação russos. A empresa foi constituída duas semanas antes da invasão da Ucrânia, em fevereiro de 2022.
Porque é tão difícil acabar com estes fornecedores?
Porque alojam-se em jurisdições permissivas, reconstituem-se rapidamente sob novas empresas e operam numa zona cinzenta legal. Alojar dados não é crime, e provar que o fornecedor sabia da atividade criminosa exige meses de investigação. Apreender servidores sem capturar os blocos de IP permite a reconstrução noutro local.
Esta apreensão acaba com a ameaça?
Provavelmente não de forma definitiva. Reportagem especializada nota que o núcleo do espaço de endereços IP terá ficado intacto, o que permite a reconstituição da infraestrutura. O valor real está nos blocos de IP e nas relações com clientes, não nas máquinas, que são facilmente substituíveis.
Que impacto tem para empresas em Portugal?
O risco principal é a exposição indireta na cadeia de fornecimento. As empresas devem auditar fornecedores de alojamento e de IP, exigir transparência sobre subcontratações e preparar-se para ataques DDoS de retaliação. Os regimes NIS2 e Cyber Resilience Act tornam esta diligência uma obrigação legal, não apenas uma boa prática.
Que diferença teve esta operação face às anteriores?
Foi a maior em escala (800 servidores face a 127 da ZServers e 250 de novembro de 2025) e a primeira a combinar a base legal das sanções da UE com a detenção física dos operadores. O enquadramento como violação de sanções facilita a acusação face à exigência de provar cumplicidade em cada crime.
Cobertura Relacionada
- Ciberataques em Portugal: 2.437/Semana, +32% UE [2026]
- NIS2 Portugal: Coimas de €10M e 60 Dias para Registo [2026]
- Ransomware Sem Encriptação: 44% das Falhas [2026]
- Extorsão de Dados: Resgate Médio de $1,5M [2026]
- Cyber Resilience Act: Coima €15M e Prazo 11 Set [2026]
- Fuga de Dados Odido: 6,39M Afetados, Resgate €1M [2026]
- Segurança Online Explicada (guia completo)
A apreensão de maio de 2026 mostra que a guerra de infraestrutura entrou numa nova fase. As autoridades europeias já não se limitam a perseguir criminosos: atacam a camada física que os mantém online, usam sanções como arma jurídica e detêm os operadores. Resta saber se a velocidade da resposta consegue acompanhar a velocidade da reconstituição. Para já, 800 servidores estão offline, e essa é uma vitória concreta, ainda que possivelmente temporária.
