Who Runs the Ransomware Group ‘The Gentlemen?’Who Runs the Ransomware Group ‘The Gentlemen?’

一个名为 The Gentlemen 的网络犯罪团伙按受害者数量计算，已成为第二大最活跃的勒索软件团伙。该团伙通过一项激进的招募策略迅速吸引了大量有才华的黑客，承诺向附属成员支付受害者所付赎金的 90%。本文探讨了指向 The Gentlemen 勒索软件团伙管理员真实身份的线索。

The Gentlemen 勒索软件团伙管理员 Hastalamuerte 于 2026 年 5 月在 Breachforums 上创建并分享的一张图片。图片来源：ke-la.com。

安全公司 Check Point Software 的专家一直在密切追踪 The Gentlemen 的攻击活动。这是一种所谓的“勒索软件即服务”（RaaS）产品，通过向附属成员支付丰厚报酬来帮助传播该团伙的恶意软件。

研究人员在 4 月份写道：“与行业标准的 80/20 分成相比，90/10 的附属成员收益分成正在吸引来自竞争对手项目的经验丰富的运营者，从而加速了该团伙的发展。”

Check Point 发现，按受害者数量计算，The Gentlemen 是今年迄今为止第二活跃的勒索软件团伙。该团伙自称自 2025 年中旬成立以来，至少有 332 名公开的受害者，仅 2026 年就有 240 多名。

据 Check Point 表示，该团伙将面向互联网的设备（VPN、防火墙）作为切入点，一旦进入网络，便会在几小时内迅速加密整个网络。

Check Point 表示，该勒索软件团伙的管理员和主要运营者在俄语网络犯罪论坛上使用昵称 Zeta88，并且此人此前以 Hastalamuerte 的化名为人所知。Check Point 指出，对该团伙后端基础设施的一次泄露事件清楚地表明，Hastalamuerte/Zeta88 就是组装加密锁定程序和 RaaS 面板、管理支付的人，实质上也就是整个项目的管理员，并收取所有赎金的 10%。

HASTALAMUERTE 是谁？

网络情报公司 Intel 471 的数据显示，用户 Hastalamuerte 是一名讲俄语和英语的人，在 2019 年至今期间注册了十几个网络犯罪论坛，包括 Exploit、Breachforums、Ramp_V2、BHF、Raidforums 和 Nulled。

Intel 471 透露，Hastalamuerte 于 2025 年 1 月通过位于俄罗斯乌德穆尔特共和国首府伊热夫斯克的一个互联网地址在 Breachforums 上注册。同样，用户 Zeta88 于 2022 年 8 月通过伊热夫斯克的另一个互联网地址在英语网络犯罪论坛 Breached 上注册。

Intel 471 发现，Hastalamuerte 在 2020 年使用电子邮件地址 hastalamuerte1488@protonmail.com 在 Raidforums 上注册（1488 是与白人至上主义相关的两个数字符号的常见组合）。在开源情报服务 Epieos 上查询该地址显示，它关联着一个 Apple 账户和一个以 04 结尾的电话号码。

Epieos 表示，该 Protonmail 地址还关联着一个用户名为 SantaMuerte 的 GitHub 账户。该账户被标记为私密状态，但该用户的活动历史显示，他们正在关注和开发多款恶意软件工具及漏洞利用程序。

2020 年 4 月，Hastalamuerte 在犯罪论坛 Nulled 上表示，可以通过 Telegram 即时通讯软件上的用户名 @hastalamuerte18 联系他们。威胁情报公司 Flashpoint 发现，该用户名被分配了唯一的 Telegram ID 号 30907522 [完全披露：Flashpoint 是本博客的广告商]。

数据泄露追踪服务商 Constella Intelligence 报告称，Hastalamuerte 的 Telegram ID 关联到了另一个用户名——“bu4vs”——以及俄罗斯电话号码 79127650004。在 Constella 中以该电话号码为线索进行检索，从遭到泄露的俄罗斯政府数据库中获取了多条记录，显示该号码归属于来自伊热夫斯克、36 岁的亚历山大·安德烈耶维奇·亚帕耶夫（Alexander Andreevich Yapaev）。

Constella 揭示该电话号码曾被用于在俄罗斯社交媒体平台 Pikabu 上创建一个名为“4apai18”的账号，并显示亚帕耶夫先生曾使用常见的姓氏伊万诺夫（Ivanov）或“恰帕耶夫”（Chapaev）在多个网站注册（在俄语中，数字 4 经常被用作“ch”发音的简写）。

在 Intel 471 中搜索昵称为 SantaMeurte 的网络犯罪论坛成员，发现了一个于 2020 年在俄罗斯黑客论坛 Codeby 上创建的同名账号。Intel 471 显示，该用户最初在 Codeby 上注册时，使用了一个毫不掩饰的昵称：Alexandr 4apaev。

Constella 发现亚帕耶夫先生经常使用电子邮件地址 bu4vs@mail.ru。同时，Epieos 显示该地址关联着一个属于亚历山大·亚帕耶夫的 LinkedIn 账号，其在该平台上的头衔是 Uralenergo Udmurtia 公司的 B2B 营销主管，该公司是俄罗斯最大的电气技术和照明产品供应商之一。

亚帕耶夫先生未对多次置评请求作出回应。

几乎每次我们发布这类“面包屑”（Breadcrumbs）追踪报道时，读者都会好奇，为什么似乎有那么多来自俄罗斯的网络犯罪分子几乎不怎么掩饰他们的真实身份。事实是——无论是否是俄罗斯人——大多数人最初并没有立志要成为什么大罪犯，而是随着其技能的扩展和提升，在几年的时间里逐渐被卷入这个圈子。

另一个重要的现实因素是，只要黑客不窃取或攻击俄罗斯企业和公民，俄罗斯政府通常会对其境内的网络犯罪活动采取收编或无视的态度。因此，只要偶尔打点好特定关系且不出国旅行，俄罗斯成功的网络犯罪分子通常可以免受外国执法机构的起诉和逮捕。而那些打算严格遵守这些潜规则的网络犯罪分子，可能（至少在最初阶段）并不那么在意掩盖自己的网络踪迹。

但最简单的解释是，所有国籍的网络犯罪分子在职业生涯早期往往都会犯一些基本的操作安全（OPSEC）错误，因为此时他们还不够老练，粗心大意付出的代价也要小得多。回顾 Hastalamuerte 在犯罪论坛上的早期发帖（大约在 2019 到 2020 年间），可以看出这是一个相对不成熟且技能较低的黑客，仍在努力摸清门道并试图在这些社区中赢得良好的声誉。

例如，在 2020 年 6 月，Hastalamuerte 的 Telegram 账号加入了一个为期数月的培训项目（@pntst），以学习如何使用流行的渗透测试工具，而他们在该黑客训练营中的真实发言显示，Hastalamuerte 在有效使用这些工具时显得十分吃力。此处提供了 Hastalmuerte 在 @pntst 中发帖内容的谷歌翻译记录。