Who Runs the Ransomware Group 'The Gentlemen?'：深度解读

背景

勒索软件即服务（Ransomware-as-a-Service, RaaS）模式已成为网络犯罪的主流形态，其中许多团伙通过高额分成吸引黑产从业者加入。近期，一个名为 The Gentlemen 的勒索软件团伙迅速崛起，根据安全公司 Check Point Software 的数据，该团伙已成为按受害者数量计算的全球第二大活跃勒索软件组织。

该团伙以其激进的招募策略著称，承诺向附属成员（Affiliates）支付高达 90% 的赎金收益，远高于行业标准的 80/20 分成。这种极具诱惑力的经济激励吸引了大量经验丰富的黑客加入。与此同时，网络安全情报机构通过追踪该团伙管理员在暗网论坛的活动轨迹、IP 地址、邮箱关联以及社交媒体记录，逐步拼凑出其真实身份。本文基于 Check Point、Intel 471、Constella Intelligence 等机构的情报，深入剖析 The Gentlemen 团伙的运作模式及其管理员的真实身份线索。

核心内容

The Gentlemen 的崛起与运作模式

The Gentlemen 是一个典型的 RaaS 组织，自 2025 年中成立以来，发展势头迅猛。Check Point 的研究人员在 2025 年 4 月指出，其 90/10 的分成比例（附属成员得 90%，管理员得 10%）极大地加速了团伙的扩张，使其能够从竞争对手那里吸引到资深操作员。

截至 2026 年，The Gentlemen 已公开至少 332 名受害者，其中仅 2026 年就超过 240 起。该团伙的攻击路径清晰且高效：

1. 入口选择：主要针对面向互联网的设备和基础设施，如 VPN 网关和防火墙。
2. 快速加密：一旦突破防线进入内网，团伙会在数小时内加密整个网络。
3. 管理员角色：管理员（使用化名 Zeta88 和 Hastalamuerte）负责组装加密工具（locker）和 RaaS 面板，管理支付流程，并收取 10% 的赎金。

身份追踪：从网络痕迹到现实身份

安全情报公司 Intel 471 和 Constella Intelligence 通过跨平台数据关联，揭示了管理员的多重身份线索：

1. 网络论坛活动与化名

• Hastalamuerte：该用户在 2019 年至今注册了十几个网络犯罪论坛，包括 Exploit、Breachforums、Raidforums、Nulled 等。
• Zeta88：2022 年 8 月，该用户在英文论坛 Breached 注册，IP 地址指向俄罗斯乌德穆尔特共和国首府伊热夫斯克（Izhevsk）。
• SantaMuerte：与 ProtonMail 邮箱 [email protected] 关联的 GitHub 账户名为 SantaMuerte。该账户虽设为私有，但历史记录显示其正在开发和维护多种恶意软件工具和漏洞利用代码。值得注意的是，邮箱后缀中的 "1488" 是白人至上主义常用的数字符号组合。

2. 通信工具与地理位置关联

• Telegram 关联：2020 年 4 月，Hastalamuerte 在 Nulled 论坛留下 Telegram 账号 @hastalamuerte18。威胁情报公司 Flashpoint 确认该账号拥有唯一的 Telegram ID：30907522。
• 电话与实名关联：Constella Intelligence 发现该 Telegram ID 还关联另一个用户名 "bu4vs" 以及一个俄罗斯手机号 79127650004。通过该手机号在 Constella 数据库中检索，发现其注册于多个被黑的俄罗斯政府数据库，指向一名 36 岁的伊热夫斯克居民：Alexander Andreevich Yapaev。

3. 现实身份交叉验证

• 社交媒体与姓名变体：该手机号用于在俄罗斯社交平台 Pikabu 注册账号 "4apai18"。在俄罗斯网络文化中，数字 "4" 常用来替代 "ch" 发音，因此 "4apai" 对应姓氏 "Chapaev"。Yapaev 还使用过常见姓氏 "Ivanov" 或 "Chapaev" 注册多个网站。
• 邮箱与职业信息：Yapaev 常使用邮箱 [email protected]。通过开源情报服务 Epieos 查询该邮箱，发现其关联到一个 LinkedIn 账户，持有人为 Alexander Yapaev，自称是 Uralenergo Udmurtia 公司的 B2B 营销负责人。该公司是俄罗斯最大的电气技术和照明产品供应商之一。
• 早期黑客技能水平：对 Hastalamuerte 在 2019-2020 年早期帖子的回顾显示，其当时技术尚不成熟。例如，2020 年 6 月，他加入了一个名为 @pntst 的 Telegram 渗透测试培训项目，并在其中表现出对工具使用的不熟练，试图在黑客社区建立声誉。

4. 最新进展 2026 年 6 月 11 日，威胁研究组织 PRODAFT 发布了详细报告，确认管理员身份为 "Zeta88/Hastalamuerte" 的可能性极高。报告指出：

• 管理员直接向附属成员提供初始访问权限，主要通过暴力破解或从团伙自己的泄露数据库获取 Fortinet SSL-VPN 凭证。
• 管理员利用 AI 技术开发和维护勒索软件及相关工具，并协助进行后渗透活动。

关键要点

• 高分成策略驱动扩张：The Gentlemen 通过提供 90% 的赎金分成（远超行业标准的 80%），迅速吸引资深黑客，成为按受害者数量计的第二大活跃勒索软件团伙。
• 管理员身份高度疑似锁定：通过 IP 地址、邮箱、Telegram ID、手机号及社交媒体姓名的交叉比对，管理员的真实身份高度指向俄罗斯伊热夫斯克的 Alexander Andreevich Yapaev。
• 技术演进与 AI 介入：该团伙早期成员技术较为稚嫩，但目前已发展为专业化运作。最新情报显示，管理员正利用 AI 技术优化勒索软件的开发、维护及后渗透攻击流程。
• 攻击入口明确：主要利用面向互联网的 VPN 和防火墙设备作为突破口，强调快速内网横向移动和加密。
• 身份暴露的原因分析：
  • 早期不成熟：黑客生涯初期缺乏操作安全意识（OpSec）。
  • 监管环境：俄罗斯政府通常对不攻击本国企业和公民的黑客采取默许或收编态度，降低了法律风险。
  • 心理因素：部分黑客认为只要不越界且定期“打点”关系，即可免受外国执法机构追究，从而降低了隐藏身份的动力。

意义与影响

1. 勒索软件即服务（RaaS）的经济激励效应

The Gentlemen 的案例表明，极端的经济激励（90/10 分成）可以迅速改变黑产格局。这种模式不仅加速了团伙扩张，还导致了人才从其他 RaaS 平台流动，使得网络安全防御面临更具经验、更专业的对手。

2. 开源情报（OSINT）在溯源中的关键作用

尽管黑客试图使用化名、加密通信和虚拟身份，但跨平台的数据关联（IP、邮箱、手机号、社交账号）仍能形成完整的证据链。Intel 471、Constella Intelligence 和 Epieos 等机构的协作展示了现代网络犯罪溯源中 OSINT 的强大能力。这也警示黑客，数字足迹的持久性和关联性远超其想象。

3. AI 在网络犯罪中的双刃剑效应

PRODAFT 的报告指出管理员利用 AI 辅助开发和维护恶意软件。这标志着网络犯罪进入新阶段：AI 不仅被用于钓鱼或社会工程，更深入到恶意代码的自动化生成、漏洞利用的优化以及攻击后的自动化操作中。这将大幅提高攻击效率，降低犯罪门槛，并增加检测难度。

4.