Der niederländische Finanzinformations- und Ermittlungsdienst (FIOD) durchsuchte am 18. Mai zwei Rechenzentren und drei Bürostandorte in Dronten und Schiphol-Rijk, beschlagnahmte über 800 Server und nahm einen 57-jährigen Mann aus Amsterdam und einen 39-jährigen Mann aus Den Haag fest. Die beiden Männer sind die Gründer der Hosting-Unternehmen WorkTitans und MIRhosting und werden verdächtigt, gegen EU-Sanktionsgesetze verstoßen zu haben, indem sie sanktionierten Einrichtungen indirekt wirtschaftliche Ressourcen und Dienstleistungen zur Verfügung stellten. Nach Angaben der Ermittlungen war das Hauptziel der Operation Stark Industries Solutions – ein Hosting-Anbieter, der am 10. Februar 2022 gegründet wurde, genau zwei Wochen vor der groß angelegten russischen Invasion in der Ukraine. Das Unternehmen wird tatsächlich von den beiden moldawischen Brüdern Iurie Neculiti und Ivan Neculiti kontrolliert, die im Mai 2025 auf die EU-Sanktionsliste gesetzt wurden. Die niederländische Zeitung Volkskrant berichtet unter Berufung auf Daten, dass WorkTitans und MIRhosting im November 2025 während der dänischen Kommunalwahlen das Netzwerk waren, von dem aus die häufigsten pro-russischen Cyberangriffe auf dänische Regierungsbehörden ausgingen.
Laut Krebs on Security kam es zu dieser Razzia erst ein Jahr nach der Verhängung der Sanktionen, weil die Neculiti-Brüder etwa 12 Tage vorher von den Sanktionen erfuhren und noch vor deren Inkrafttreten ihre Vermögenswerte transferierten, die Infrastruktur von Stark umgestalteten und unter dem Namen WorkTitans weiterbetrieben. Nach der Beschlagnahmung der Server informierte der Hosting-Anbieter seine Kunden, dass die „Daten nicht wiederhergestellt werden könnten“. Der FIOD erklärte in einer Stellungnahme, das Netzwerk sei genutzt worden, um Cyberangriffe gegen EU-Mitgliedstaaten durchzuführen, Interventionsaktionen zu starten und Desinformation zu verbreiten, mit dem Ziel, „Demokratie und Sicherheit zu untergraben“.