L’Union Européenne sanctionne l’hébergeur russe Stark Industries

Le 20 mai, le conseil de l’Union Européenne a rendu publique une liste de 21 personnes et 6 organisations visées par de nouvelles sanctions. Motif : elles sont présentées comme « responsables des actions de déstabilisation de la Russie à l’étranger ».

Dans un communiqué de presse, le conseil explique avoir « élargi le champ d'application pour permettre à l'UE de cibler les actifs tangibles liés aux activités déstabilisatrices de la Russie, tels que les navires, les avions, les biens immobiliers et les éléments physiques des réseaux numériques et de communication, ainsi que les transactions des établissements de crédit, des institutions financières et des entités fournissant des services de crypto-actifs qui facilitent directement ou indirectement les activités déstabilisatrices de la Russie ».

Les sanctions consistent en un gel des avoirs des entités visées, et l’interdiction de leur mettre des fonds à disposition – pour les entreprises et citoyens européens. Les individus visés sont en outre interdits d’entrer sur ou de transiter par le territoire de l’Union.

La surprise, pour beaucoup d’observateurs, est venu de la fin de la liste : y sont mentionnés l’hébergeur Stark Industries, ainsi que son Pdg Iurie Neculiti et son propriétaire Ivan Neculiti.

Sark Industries est bien connue des professionnels du renseignement sur les menaces. Fin septembre 2024, Dragos documentait la manière dont des acteurs malveillants utilisaient ses services pour attaquer en force brute des VPN du monde des infrastructures critiques.

Les données de la base Threatfox d’Abuse.ch font ressortir son utilisation pour l’infrastructure du cleptogiciel Vidar, pour des balises Cobalt Strike, ou encore DarkGate. Les services de Stark Industries ont aussi été utilisés pour conduire des cyberattaques impliquant Black Basta.

En fait, Stark Industries est vu comme « bulletproof hosting provider », un hébergeur ne répondant pas aux requêtes judiciaires occidentales. Toutefois, ses équipes ont coopéré avec celles de Team Cymru, l’an dernier, pour perturber l’infrastructure du groupe FIN7 (ou Sangria Tempest, et Carbon Spider, notamment).

Star Industries est apparu deux semaines avant l’invasion de l’Ukraine par la Russie en 2022. Son infrastructure s’est avérée omniprésente dans les attaques en déni de service distribué (DDoS) lancées par les hacktivistes pro-russes. Brian Krebs s’était longuement penché dessus, il y a tout juste un an, ainsi que sur les activités de Iurie et Ivan Neculiti.

Mais les services de Stark Industries ont également été largement utilisés dans le cadre de l’opération de désinformation et déstabilisation internationale Doppelganger.