{"id":121,"date":"2026-06-17T08:58:30","date_gmt":"2026-06-17T08:58:30","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/17\/holanda-800-servidores-bulletproof-2026\/"},"modified":"2026-06-17T08:59:53","modified_gmt":"2026-06-17T08:59:53","slug":"holanda-800-servidores-bulletproof-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/17\/holanda-800-servidores-bulletproof-2026\/","title":{"rendered":"Holanda Apreende 800 Servidores Bulletproof [2026]"},"content":{"rendered":"\n

A 22 de maio de 2026, investigadores financeiros neerlandeses entraram em dois centros de dados e desligaram mais de 800 servidores. Em poucas horas, parte da espinha dorsal t\u00e9cnica que sustentava ataques de nega\u00e7\u00e3o de servi\u00e7o, campanhas de desinforma\u00e7\u00e3o e opera\u00e7\u00f5es de comando e controlo contra alvos europeus ficou \u00e0s escuras. A opera\u00e7\u00e3o, conduzida pelo Servi\u00e7o de Informa\u00e7\u00e3o e Investiga\u00e7\u00e3o Fiscal dos Pa\u00edses Baixos (FIOD), terminou com duas deten\u00e7\u00f5es e voltou a colocar o bulletproof hosting<\/strong> no centro da pol\u00edtica de ciberseguran\u00e7a da Uni\u00e3o Europeia.<\/p>\n\n\n\n

Esta an\u00e1lise re\u00fane os n\u00fameros confirmados, as empresas e pessoas envolvidas, a liga\u00e7\u00e3o \u00e0 infraestrutura sancionada da Stark Industries e o que a apreens\u00e3o revela sobre uma guerra silenciosa pela camada f\u00edsica da Internet. Para Portugal e para o resto da UE, o caso \u00e9 mais do que uma not\u00edcia t\u00e9cnica: \u00e9 um teste \u00e0 capacidade das autoridades de atacar n\u00e3o os criminosos individuais, mas a infraestrutura que os mant\u00e9m online.<\/p>\n\n\n\n

O que aconteceu: 800 servidores apreendidos a 22 de maio de 2026<\/h2>\n\n\n\n

O FIOD executou buscas coordenadas em dois centros de dados, em Dronten e em Schiphol-Rijk, e em tr\u00eas instala\u00e7\u00f5es empresariais em Enschede e Almere. Segundo o comunicado divulgado pelas autoridades neerlandesas<\/a>, os agentes apreenderam mais de 800 servidores, al\u00e9m de registos administrativos, computadores port\u00e1teis, telem\u00f3veis e outro equipamento.<\/p>\n\n\n\n

As deten\u00e7\u00f5es reca\u00edram sobre dois homens: um cidad\u00e3o de 57 anos de Amesterd\u00e3o e um de 39 anos da Haia. Ambos respondem por suspeita de viola\u00e7\u00e3o das leis de san\u00e7\u00f5es neerlandesas e europeias, ao disponibilizarem recursos econ\u00f3micos a entidades inclu\u00eddas na lista de san\u00e7\u00f5es da Uni\u00e3o Europeia. O FIOD descreveu a infraestrutura como tendo sido usada, entre outros fins, “para facilitar atividades desestabilizadoras dirigidas contra a Uni\u00e3o Europeia”.<\/p>\n\n\n\n

A escala distingue esta a\u00e7\u00e3o. Apreens\u00f5es anteriores de bulletproof hosting<\/strong> nos Pa\u00edses Baixos envolveram dezenas ou poucas centenas de m\u00e1quinas. Os 800 servidores de maio de 2026 representam a maior opera\u00e7\u00e3o neerlandesa conhecida deste tipo, e o n\u00famero coloca o caso entre as maiores apreens\u00f5es de infraestrutura cibercriminosa registadas na Europa nos \u00faltimos dois anos.<\/p>\n\n\n\n

Quem s\u00e3o os detidos: WorkTitans e MIRhosting<\/h2>\n\n\n\n

A reportagem que mais detalhou a identidade dos detidos aponta para dois operadores ligados a empresas de alojamento relacionadas. De acordo com o The Next Web<\/a>, os homens detidos foram Youssef Zinad, de 57 anos, propriet\u00e1rio da WorkTitans, e Andrey Nesterenko, de 39 anos, fundador da MIRhosting. O FIOD acredita que a empresa rec\u00e9m-criada serviu de fachada para entidades sancionadas, com o suspeito de 57 anos a atuar como diretor e acionista \u00fanico indireto.<\/p>\n\n\n\n

A cobertura noticiosa n\u00e3o \u00e9 totalmente consistente nos nomes. Alguns meios identificaram o alvo como THE.Hosting, outros como Stark Industries Solutions, e outros ainda referiram a WorkTitans e a MIRhosting. Esta sobreposi\u00e7\u00e3o reflete uma realidade comum no ecossistema de bulletproof hosting<\/strong>: as mesmas m\u00e1quinas e blocos de endere\u00e7os IP migram entre entidades legais para escapar a san\u00e7\u00f5es e a ordens de cessa\u00e7\u00e3o. O fio condutor \u00e9 a infraestrutura, n\u00e3o a marca corporativa.<\/p>\n\n\n\n

A MIRhosting reagiu publicamente. Numa atualiza\u00e7\u00e3o de junho de 2026, a empresa publicou uma an\u00e1lise t\u00e9cnica dos seus dados de rede de outubro e novembro de 2025, afirmando que as 4.468 anomalias de DDoS que detetou eram todas de tr\u00e1fego de entrada, dirigido a endere\u00e7os que transporta, e que nenhum tr\u00e1fego de ataque saiu da sua rede no per\u00edodo. A MIRhosting sustenta que \u00e9 um fornecedor de infraestrutura e de rede e que a gest\u00e3o operacional do hardware, software e dados continua a cargo dos seus clientes. Os dados da empresa n\u00e3o foram verificados de forma independente e a investiga\u00e7\u00e3o do FIOD continua em curso.<\/p>\n\n\n\n

A liga\u00e7\u00e3o \u00e0 Stark Industries e \u00e0s san\u00e7\u00f5es da UE<\/h2>\n\n\n\n

O elemento central da acusa\u00e7\u00e3o \u00e9 a san\u00e7\u00e3o. A empresa de alojamento no centro do caso foi inclu\u00edda na lista de san\u00e7\u00f5es da Uni\u00e3o Europeia a 20 de maio de 2025. A apreens\u00e3o chegou quase exatamente doze meses depois, sinal de uma investiga\u00e7\u00e3o longa e deliberada, e n\u00e3o de uma rea\u00e7\u00e3o a um \u00fanico incidente.<\/p>\n\n\n\n

A empresa foi constitu\u00edda a 10 de fevereiro de 2022, duas semanas antes de a R\u00fassia lan\u00e7ar a invas\u00e3o em larga escala da Ucr\u00e2nia. Para os investigadores, o calend\u00e1rio n\u00e3o \u00e9 coincid\u00eancia. A infraestrutura passou a ser associada a ciberataques, opera\u00e7\u00f5es de interfer\u00eancia e campanhas de desinforma\u00e7\u00e3o dirigidas \u00e0 UE. O jornalista de seguran\u00e7a Brian Krebs, da KrebsOnSecurity<\/a>, documentou em 2025 como estas empresas de alojamento assumiram o controlo da infraestrutura t\u00e9cnica da Stark Industries Solutions, um fornecedor de servi\u00e7os de Internet sancionado pela UE por servir de plataforma de lan\u00e7amento para opera\u00e7\u00f5es ligadas aos servi\u00e7os de informa\u00e7\u00e3o russos.<\/p>\n\n\n\n

Este \u00e9 o padr\u00e3o que define o caso. Quando a Stark Industries foi sancionada, a infraestrutura n\u00e3o desapareceu. Migrou para entidades neerlandesas que continuaram a oper\u00e1-la, transferindo o risco legal sem interromper o servi\u00e7o. A deten\u00e7\u00e3o dos operadores tenta quebrar precisamente esse ciclo de reconstitui\u00e7\u00e3o.<\/p>\n\n\n\n

NoName057(16): o grupo hacktivista pr\u00f3-russo por tr\u00e1s dos DDoS<\/h2>\n\n\n\n

Entre os clientes que usavam a infraestrutura apreendida estava o NoName057(16), um coletivo hacktivista pr\u00f3-russo conhecido por ataques de nega\u00e7\u00e3o de servi\u00e7o contra infraestrutura cr\u00edtica ocidental. O grupo encenou ataques DDoS contra uma empresa de \u00e1guas dinamarquesa e contra outros alvos cr\u00edticos no Ocidente, usando capacidade de servidor alugada \u00e0 rede agora desmantelada.<\/p>\n\n\n\n

O NoName057(16) opera de forma descentralizada, recrutando volunt\u00e1rios atrav\u00e9s de canais de mensagens e distribuindo ferramentas de ataque a quem queira participar. Para um grupo assim, o alojamento \u00e0 prova de bala \u00e9 o ponto \u00fanico de falha: sem servidores est\u00e1veis que ignorem queixas de abuso, a infraestrutura de coordena\u00e7\u00e3o e de lan\u00e7amento dos ataques colapsa. Ao atacar o fornecedor em vez dos volunt\u00e1rios dispersos, o FIOD apontou ao elo mais fr\u00e1gil da cadeia.<\/p>\n\n\n\n

Os ataques DDoS deste tipo raramente provocam danos permanentes, mas t\u00eam valor pol\u00edtico e psicol\u00f3gico. Derrubar temporariamente o site de uma autarquia, de um banco ou de um operador de \u00e1guas gera manchetes, demonstra capacidade e testa as defesas. Em Portugal, institui\u00e7\u00f5es p\u00fablicas e operadoras de servi\u00e7os essenciais t\u00eam sido alvo recorrente deste tipo de campanha, como detalh\u00e1mos na an\u00e1lise sobre os ciberataques em Portugal em 2026<\/a>.<\/p>\n\n\n\n

O que \u00e9 bulletproof hosting e porque importa<\/h2>\n\n\n\n

Como funciona o modelo de neg\u00f3cio<\/h3>\n\n\n\n

O bulletproof hosting<\/strong>, ou alojamento \u00e0 prova de bala, \u00e9 um servi\u00e7o que ignora deliberadamente queixas de abuso, pedidos de remo\u00e7\u00e3o e ordens das autoridades. O modelo de neg\u00f3cio assenta numa promessa: o cliente pode executar opera\u00e7\u00f5es ilegais ou nocivas com risco m\u00ednimo de ser encerrado. Os fornecedores publicitam o anonimato dos propriet\u00e1rios dos servidores, aceitam pagamentos em criptomoeda e prometem n\u00e3o cooperar com pedidos de investiga\u00e7\u00e3o fora da sua pr\u00f3pria jurisdi\u00e7\u00e3o.<\/p>\n\n\n\n

Tecnicamente, o servi\u00e7o \u00e9 indistingu\u00edvel de qualquer alojamento leg\u00edtimo. A diferen\u00e7a est\u00e1 na pol\u00edtica. Um fornecedor normal suspende um cliente quando recebe provas de phishing, distribui\u00e7\u00e3o de malware ou comando e controlo de uma botnet. Um fornecedor \u00e0 prova de bala arquiva a queixa e continua a faturar. \u00c9 essa indiferen\u00e7a que transforma servidores comuns em armas.<\/p>\n\n\n\n

Porque \u00e9 t\u00e3o dif\u00edcil de derrubar<\/h3>\n\n\n\n

A resili\u00eancia do bulletproof hosting<\/strong> vem de tr\u00eas fontes. Primeiro, a deslocaliza\u00e7\u00e3o: as empresas registam-se em jurisdi\u00e7\u00f5es permissivas e alugam capacidade em v\u00e1rios pa\u00edses, fragmentando a responsabilidade legal. Segundo, a reconstitui\u00e7\u00e3o r\u00e1pida: quando uma entidade \u00e9 sancionada, os mesmos operadores criam uma nova empresa e migram os blocos de IP. Terceiro, a zona cinzenta legal: alojar dados n\u00e3o \u00e9 crime, e provar que o fornecedor sabia da atividade criminosa exige meses de investiga\u00e7\u00e3o. A pr\u00f3pria lentid\u00e3o de doze meses entre a san\u00e7\u00e3o de maio de 2025 e a apreens\u00e3o de maio de 2026 ilustra o esfor\u00e7o necess\u00e1rio.<\/p>\n\n\n\n

Cronologia das apreens\u00f5es de bulletproof hosting (2024-2026)<\/h2>\n\n\n\n

A opera\u00e7\u00e3o de maio de 2026 n\u00e3o \u00e9 um caso isolado. Insere-se numa sequ\u00eancia de a\u00e7\u00f5es cada vez mais ambiciosas das autoridades europeias e dos seus parceiros internacionais contra a camada de infraestrutura do cibercrime.<\/p>\n\n\n\n

Data<\/th>Opera\u00e7\u00e3o \/ Alvo<\/th>Autoridade<\/th>Servidores<\/th>Resultado<\/th><\/tr><\/thead>
Fev. 2024<\/td>Opera\u00e7\u00e3o Cronos (LockBit)<\/td>NCA, FBI, Europol<\/td>Infraestrutura central<\/td>Desmantelamento do painel; deten\u00e7\u00f5es e san\u00e7\u00f5es subsequentes<\/td><\/tr>
Fev. 2025<\/td>ZServers \/ XHost<\/td>Pol\u00edcia neerlandesa<\/td>127<\/td>Sem deten\u00e7\u00f5es; liga\u00e7\u00f5es a LockBit e Conti<\/td><\/tr>
Mai. 2025<\/td>Stark Industries (san\u00e7\u00e3o)<\/td>Conselho da UE<\/td>Lista de san\u00e7\u00f5es<\/td>Empresa inclu\u00edda na lista de san\u00e7\u00f5es da UE<\/td><\/tr>
Nov. 2025<\/td>Host “\u00e0 prova de bala” n\u00e3o nomeado<\/td>Politie (Leste dos Pa\u00edses Baixos)<\/td>250<\/td>Ligado a 80+ investiga\u00e7\u00f5es desde 2022<\/td><\/tr>
Mai. 2026<\/td>WorkTitans \/ MIRhosting<\/td>FIOD<\/td>800+<\/td>2 detidos; ligado ao NoName057(16)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

A progress\u00e3o \u00e9 clara: de 127 servidores em fevereiro de 2025 para 250 em novembro e 800 em maio de 2026. As autoridades neerlandesas tornaram-se o epicentro europeu deste combate, em parte porque o pa\u00eds concentra uma fatia desproporcional da capacidade de centros de dados do continente.<\/p>\n\n\n\n

Compara\u00e7\u00e3o: como esta opera\u00e7\u00e3o se mede face \u00e0 ZServers e \u00e0 CrazyRDP<\/h2>\n\n\n\n

Comparar as tr\u00eas grandes apreens\u00f5es neerlandesas recentes revela uma mudan\u00e7a de estrat\u00e9gia. A a\u00e7\u00e3o contra a ZServers, em fevereiro de 2025, assentou em san\u00e7\u00f5es internacionais coordenadas pelos Estados Unidos, Reino Unido e Austr\u00e1lia, mas n\u00e3o produziu deten\u00e7\u00f5es. A opera\u00e7\u00e3o de maio de 2026 combinou a base legal das san\u00e7\u00f5es com a captura f\u00edsica dos operadores.<\/p>\n\n\n\n

M\u00e9trica<\/th>ZServers (Fev. 2025)<\/th>Host n\u00e3o nomeado (Nov. 2025)<\/th>WorkTitans\/MIRhosting (Mai. 2026)<\/th><\/tr><\/thead>
Servidores apreendidos<\/td>127<\/td>250<\/td>800+<\/td><\/tr>
Deten\u00e7\u00f5es<\/td>0<\/td>0<\/td>2<\/td><\/tr>
Autoridade l\u00edder<\/td>Pol\u00edcia neerlandesa<\/td>Politie Leste dos PB<\/td>FIOD<\/td><\/tr>
Grupos associados<\/td>LockBit, Conti<\/td>80+ investiga\u00e7\u00f5es<\/td>NoName057(16)<\/td><\/tr>
Base legal<\/td>San\u00e7\u00f5es EUA\/RU\/Austr\u00e1lia<\/td>Atividade criminosa<\/td>Viola\u00e7\u00e3o de san\u00e7\u00f5es da UE<\/td><\/tr>
Localiza\u00e7\u00e3o<\/td>Amesterd\u00e3o<\/td>Haia<\/td>Dronten + Schiphol-Rijk<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

A diferen\u00e7a mais significativa \u00e9 a base legal. Ao enquadrar o caso como viola\u00e7\u00e3o de san\u00e7\u00f5es da UE, e n\u00e3o apenas como cumplicidade em crimes inform\u00e1ticos, o FIOD criou um caminho de acusa\u00e7\u00e3o mais robusto. As san\u00e7\u00f5es imp\u00f5em uma proibi\u00e7\u00e3o clara de disponibilizar recursos econ\u00f3micos a entidades listadas, o que facilita a prova face \u00e0 exig\u00eancia de demonstrar conhecimento de cada crime alojado. Os detalhes da apreens\u00e3o de 127 servidores da ZServers foram documentados pelo The Record<\/a>.<\/p>\n\n\n\n

Contexto hist\u00f3rico: da Opera\u00e7\u00e3o Cronos \u00e0 guerra de infraestrutura<\/h2>\n\n\n\n

O combate ao bulletproof hosting<\/strong> faz parte de uma mudan\u00e7a estrat\u00e9gica mais ampla. Durante anos, as autoridades perseguiram operadores de ransomware e autores de malware individualmente, com resultados modestos: prendiam um, surgiam dois. A Opera\u00e7\u00e3o Cronos, em fevereiro de 2024, marcou a viragem ao atacar a infraestrutura do LockBit, o painel de afiliados e os servidores de fuga de dados, em vez de apenas os indiv\u00edduos.<\/p>\n\n\n\n

A l\u00f3gica \u00e9 a de cortar o oxig\u00e9nio. O ransomware, as botnets, o phishing e as campanhas de desinforma\u00e7\u00e3o dependem todos de uma camada f\u00edsica: servidores que recebem dados roubados, hospedam p\u00e1ginas falsas e coordenam ataques. Ao desmantelar essa camada, as autoridades aumentam o custo operacional de toda a economia do cibercrime. A an\u00e1lise da Europol<\/a> no relat\u00f3rio IOCTA de 2026 confirma que o ransomware persiste como amea\u00e7a dominante na UE, com um n\u00famero significativo de fam\u00edlias ativas ao longo de 2025.<\/p>\n\n\n\n

A guerra na Ucr\u00e2nia acelerou esta converg\u00eancia. A fronteira entre cibercrime com fins lucrativos e opera\u00e7\u00f5es estatais de desestabiliza\u00e7\u00e3o esbateu-se. Grupos como o NoName057(16) misturam hacktivismo, propaganda e capacidade t\u00e9cnica alugada, e operam a partir da mesma infraestrutura que alimenta o crime financeiro. Por isso, sancionar fornecedores de alojamento tornou-se um instrumento de pol\u00edtica externa, e n\u00e3o apenas de aplica\u00e7\u00e3o da lei.<\/p>\n\n\n\n

A apreens\u00e3o pode n\u00e3o ter funcionado por completo<\/h2>\n\n\n\n

Nem toda a an\u00e1lise foi celebrat\u00f3ria. Reportagem especializada apontou uma falha potencial: a opera\u00e7\u00e3o apreendeu 800 servidores e deteve dois operadores, mas ter\u00e1 deixado intacto o n\u00facleo do espa\u00e7o de endere\u00e7os IP do fornecedor de alojamento. Sem o controlo desses blocos de IP, a infraestrutura pode ser reconstitu\u00edda noutro centro de dados, com hardware novo, em quest\u00e3o de semanas.<\/p>\n\n\n\n

Este \u00e9 o calcanhar de Aquiles das apreens\u00f5es de bulletproof hosting<\/strong>. O valor real de um fornecedor \u00e0 prova de bala n\u00e3o est\u00e1 nas m\u00e1quinas, que s\u00e3o substitu\u00edveis e baratas, mas na reputa\u00e7\u00e3o junto dos clientes, nas rela\u00e7\u00f5es com os centros de dados e, sobretudo, no controlo dos blocos de endere\u00e7os IP que conferem estabilidade e continuidade. Apreender servidores sem capturar esses ativos equivale a confiscar os cami\u00f5es de uma rede de contrabando sem tocar nas rotas nem nos contactos.<\/p>\n\n\n\n

A hist\u00f3ria d\u00e1 raz\u00e3o aos c\u00e9ticos. A ZServers foi sancionada e perdeu 127 servidores em 2025, e a infraestrutura migrou. A Stark Industries foi sancionada em maio de 2025, e os seus ativos passaram para entidades neerlandesas que continuaram a oper\u00e1-los at\u00e9 maio de 2026. A pergunta verdadeira n\u00e3o \u00e9 se a apreens\u00e3o fez mossa, mas durante quanto tempo.<\/p>\n\n\n\n

O que dizem os especialistas e as autoridades<\/h2>\n\n\n\n

O FIOD foi expl\u00edcito quanto \u00e0 natureza do alvo. Em comunicado, a ag\u00eancia afirmou que a empresa de alojamento foi “usada, entre outras coisas, para facilitar atividades desestabilizadoras dirigidas contra a Uni\u00e3o Europeia”, enquadrando o caso como uma quest\u00e3o de seguran\u00e7a nacional e n\u00e3o apenas de crime inform\u00e1tico.<\/p>\n\n\n\n

Brian Krebs, da KrebsOnSecurity, cuja reportagem de 2025 antecipou grande parte desta opera\u00e7\u00e3o, descreveu os fornecedores \u00e0 prova de bala como a camada f\u00edsica que mant\u00e9m em funcionamento o phishing por correio eletr\u00f3nico, o comando e controlo de malware e a infraestrutura de desinforma\u00e7\u00e3o. A sua investiga\u00e7\u00e3o mostrou como os operadores neerlandeses assumiram o controlo da infraestrutura da Stark Industries depois das san\u00e7\u00f5es, um padr\u00e3o de continuidade que as autoridades tentam agora travar.<\/p>\n\n\n\n

Do lado da defesa, Andrey Nesterenko e a MIRhosting argumentam que um fornecedor de rede n\u00e3o deve ser responsabilizado pela atividade dos clientes que transporta. Numa declara\u00e7\u00e3o de junho de 2026, a empresa insistiu que a gest\u00e3o operacional do hardware, software e dados pertence aos clientes e que a atividade na sua rede n\u00e3o deve ser atribu\u00edda \u00e0 empresa. Esta tens\u00e3o, entre a responsabilidade do fornecedor e a do cliente, est\u00e1 no cerne de todos os casos de bulletproof hosting<\/strong>.<\/p>\n\n\n\n

Os analistas da Europol, no relat\u00f3rio IOCTA de 2026, descrevem o ataque \u00e0 infraestrutura como uma das alavancas mais eficazes contra o cibercrime organizado, precisamente porque eleva o custo e o risco de toda a cadeia. A dificuldade, reconhecem, est\u00e1 em sustentar a press\u00e3o sem deixar janelas de reconstitui\u00e7\u00e3o.<\/p>\n\n\n\n

Impacto no mercado: alojamento, seguros e cadeia de fornecimento<\/h2>\n\n\n\n

A apreens\u00e3o tem efeitos que v\u00e3o al\u00e9m do cibercrime. Os Pa\u00edses Baixos concentram uma das maiores densidades de centros de dados da Europa, e a opera\u00e7\u00e3o obriga os operadores leg\u00edtimos a apertar os controlos de “conhe\u00e7a o seu cliente”. Centros de dados que alojam revendedores de capacidade enfrentam agora a possibilidade de responderem por viola\u00e7\u00e3o de san\u00e7\u00f5es se n\u00e3o verificarem a quem alugam espa\u00e7o.<\/p>\n\n\n\n

Para as empresas portuguesas, a li\u00e7\u00e3o pr\u00e1tica \u00e9 a cadeia de fornecimento. A reportagem especializada recomendou que qualquer organiza\u00e7\u00e3o identifique rela\u00e7\u00f5es comerciais, diretas ou atrav\u00e9s de fornecedores a jusante, com a Stark Industries, a WorkTitans ou as entidades associadas. Uma empresa pode estar a usar, sem saber, uma rede de distribui\u00e7\u00e3o de conte\u00fados ou um fornecedor de IP que assenta em infraestrutura agora sob investiga\u00e7\u00e3o. Este risco de exposi\u00e7\u00e3o indireta \u00e9 precisamente o que o Cyber Resilience Act<\/a> e a diretiva NIS2 em Portugal<\/a> procuram mitigar, ao exigir transpar\u00eancia sobre depend\u00eancias de terceiros.<\/p>\n\n\n\n

O mercado dos ciberseguros tamb\u00e9m acompanha o caso. As seguradoras analisam cada vez mais a higiene da infraestrutura de um segurado, e a associa\u00e7\u00e3o a fornecedores sancionados pode anular a cobertura. O custo de operar num alojamento barato e sem perguntas come\u00e7a a incluir a recusa de indemniza\u00e7\u00e3o ap\u00f3s um incidente.<\/p>\n\n\n\n

Impacto para Portugal e para a UE<\/h2>\n\n\n\n

Portugal n\u00e3o foi alvo direto desta opera\u00e7\u00e3o, mas o seu tecido empresarial e as suas infraestruturas cr\u00edticas partilham o mesmo espa\u00e7o de amea\u00e7a. Os ataques DDoS atribu\u00eddos a grupos como o NoName057(16) j\u00e1 atingiram servi\u00e7os p\u00fablicos portugueses, e a infraestrutura desmantelada nos Pa\u00edses Baixos servia alvos por toda a UE. A apreens\u00e3o reduz, ainda que temporariamente, a capacidade ofensiva dispon\u00edvel para esses grupos.<\/p>\n\n\n\n

No plano regulat\u00f3rio, o caso refor\u00e7a a l\u00f3gica da NIS2 e do Cyber Resilience Act. Ambos os regimes obrigam as organiza\u00e7\u00f5es a mapear depend\u00eancias, a reportar incidentes e a responder por falhas na cadeia de fornecimento. Uma empresa portuguesa que aloje servi\u00e7os cr\u00edticos num revendedor opaco arrisca-se a coimas e a responsabilidade acrescida. A tend\u00eancia europeia, confirmada por esta opera\u00e7\u00e3o, \u00e9 a de tratar a infraestrutura como uma quest\u00e3o de seguran\u00e7a coletiva, e n\u00e3o apenas de escolha comercial. O padr\u00e3o de extors\u00e3o e desestabiliza\u00e7\u00e3o que financia parte desta atividade foi abordado na nossa an\u00e1lise sobre a extors\u00e3o de dados em 2026<\/a>.<\/p>\n\n\n\n

Para os respons\u00e1veis de seguran\u00e7a em Portugal, a a\u00e7\u00e3o recomenda tr\u00eas medidas imediatas: auditar fornecedores de alojamento e de IP, exigir transpar\u00eancia sobre subcontrata\u00e7\u00f5es e preparar planos de continuidade para ataques DDoS, que tendem a aumentar quando uma infraestrutura ofensiva \u00e9 desmantelada e os grupos procuram demonstrar resili\u00eancia.<\/p>\n\n\n\n

5 previs\u00f5es para o resto de 2026<\/h2>\n\n\n\n
  1. Reconstitui\u00e7\u00e3o em semanas, n\u00e3o meses.<\/strong> Se o n\u00facleo do espa\u00e7o de IP ficou intacto, a infraestrutura associada \u00e0 Stark Industries dever\u00e1 reaparecer noutro centro de dados europeu ainda em 2026, com nova marca e os mesmos clientes.<\/li>
  2. Mais apreens\u00f5es com base em san\u00e7\u00f5es.<\/strong> O sucesso do enquadramento jur\u00eddico do FIOD, viola\u00e7\u00e3o de san\u00e7\u00f5es em vez de cumplicidade criminosa, vai inspirar opera\u00e7\u00f5es semelhantes noutros Estados-Membros, sobretudo na Alemanha e na Rom\u00e9nia.<\/li>
  3. Onda de DDoS de retalia\u00e7\u00e3o.<\/strong> O NoName057(16) e grupos afins dever\u00e3o responder com campanhas de nega\u00e7\u00e3o de servi\u00e7o contra alvos europeus, incluindo a possibilidade de institui\u00e7\u00f5es portuguesas, para demonstrar que continuam operacionais.<\/li>
  4. Press\u00e3o sobre os centros de dados.<\/strong> Os operadores leg\u00edtimos v\u00e3o refor\u00e7ar a verifica\u00e7\u00e3o de clientes, e os reguladores dever\u00e3o propor regras mais estritas de “conhe\u00e7a o seu cliente” para revendedores de capacidade at\u00e9 ao final de 2026.<\/li>
  5. Converg\u00eancia crime-Estado mais vis\u00edvel.<\/strong> A linha entre cibercrime e opera\u00e7\u00f5es estatais continuar\u00e1 a esbater-se, e mais apreens\u00f5es revelar\u00e3o infraestrutura partilhada entre grupos de ransomware e atores alinhados com Estados.<\/li><\/ol>\n\n\n\n

    Perguntas Frequentes (FAQ)<\/h2>\n\n\n\n

    O que \u00e9 bulletproof hosting?<\/h3>\n\n\n\n

    \u00c9 um servi\u00e7o de alojamento que ignora deliberadamente queixas de abuso, pedidos de remo\u00e7\u00e3o e ordens das autoridades. Permite aos clientes executar opera\u00e7\u00f5es ilegais, como phishing, distribui\u00e7\u00e3o de malware e ataques DDoS, com risco m\u00ednimo de serem encerrados. Tecnicamente \u00e9 igual a qualquer alojamento; a diferen\u00e7a est\u00e1 na recusa de cooperar.<\/p>\n\n\n\n

    Quantos servidores foram apreendidos a 22 de maio de 2026?<\/h3>\n\n\n\n

    O FIOD apreendeu mais de 800 servidores em buscas nos centros de dados de Dronten e Schiphol-Rijk, al\u00e9m de equipamento em instala\u00e7\u00f5es empresariais em Enschede e Almere. Foram detidos dois homens, de 57 e 39 anos.<\/p>\n\n\n\n

    Qual a liga\u00e7\u00e3o \u00e0 R\u00fassia?<\/h3>\n\n\n\n

    A infraestrutura era usada pelo grupo hacktivista pr\u00f3-russo NoName057(16) para ataques DDoS contra alvos ocidentais, e estava associada \u00e0 Stark Industries, sancionada pela UE em maio de 2025 por servir opera\u00e7\u00f5es ligadas aos servi\u00e7os de informa\u00e7\u00e3o russos. A empresa foi constitu\u00edda duas semanas antes da invas\u00e3o da Ucr\u00e2nia, em fevereiro de 2022.<\/p>\n\n\n\n

    Porque \u00e9 t\u00e3o dif\u00edcil acabar com estes fornecedores?<\/h3>\n\n\n\n

    Porque alojam-se em jurisdi\u00e7\u00f5es permissivas, reconstituem-se rapidamente sob novas empresas e operam numa zona cinzenta legal. Alojar dados n\u00e3o \u00e9 crime, e provar que o fornecedor sabia da atividade criminosa exige meses de investiga\u00e7\u00e3o. Apreender servidores sem capturar os blocos de IP permite a reconstru\u00e7\u00e3o noutro local.<\/p>\n\n\n\n

    Esta apreens\u00e3o acaba com a amea\u00e7a?<\/h3>\n\n\n\n

    Provavelmente n\u00e3o de forma definitiva. Reportagem especializada nota que o n\u00facleo do espa\u00e7o de endere\u00e7os IP ter\u00e1 ficado intacto, o que permite a reconstitui\u00e7\u00e3o da infraestrutura. O valor real est\u00e1 nos blocos de IP e nas rela\u00e7\u00f5es com clientes, n\u00e3o nas m\u00e1quinas, que s\u00e3o facilmente substitu\u00edveis.<\/p>\n\n\n\n

    Que impacto tem para empresas em Portugal?<\/h3>\n\n\n\n

    O risco principal \u00e9 a exposi\u00e7\u00e3o indireta na cadeia de fornecimento. As empresas devem auditar fornecedores de alojamento e de IP, exigir transpar\u00eancia sobre subcontrata\u00e7\u00f5es e preparar-se para ataques DDoS de retalia\u00e7\u00e3o. Os regimes NIS2 e Cyber Resilience Act tornam esta dilig\u00eancia uma obriga\u00e7\u00e3o legal, n\u00e3o apenas uma boa pr\u00e1tica.<\/p>\n\n\n\n

    Que diferen\u00e7a teve esta opera\u00e7\u00e3o face \u00e0s anteriores?<\/h3>\n\n\n\n

    Foi a maior em escala (800 servidores face a 127 da ZServers e 250 de novembro de 2025) e a primeira a combinar a base legal das san\u00e7\u00f5es da UE com a deten\u00e7\u00e3o f\u00edsica dos operadores. O enquadramento como viola\u00e7\u00e3o de san\u00e7\u00f5es facilita a acusa\u00e7\u00e3o face \u00e0 exig\u00eancia de provar cumplicidade em cada crime.<\/p>\n\n\n\n

    Cobertura Relacionada<\/h3>\n\n\n\n