← На главную

Лидер RaaS The Gentlemen из Ижевска использовал AI для вредоносов

11.06.2026 19:23 · hackernews

Группировка The Gentlemen — один из самых быстрорастущих RaaS-проектов на рынке. Эксперты Check Point Software подсчитали: схема работает по модели 90/10. То есть 90% выкупа уходит аффилиатам, а админ забирает только десятую часть. Обычно в индустрии делят 80 на 20 — поэтому The Gentlemen переманивают опытных операторов из других банд. С момента запуска в середине 2025 года группировка опубликовала не менее 332 жертв, из них больше 240 в 2026-м. По числу атак это второй по активности ransomware-проект в мире.

Взламывают через интернет-устройства: VPN, файрволлы. Оказавшись внутри сети, шифруют всё за считанные часы.

Журналисты выяснили личность администратора группировки. На русскоязычных криминальных форумах он известен как Zeta88, раньше использовал ник Hastalamuerte. Утечка данных бэкенда The Gentlemen подтвердила: именно этот человек собирает локи, управляет RaaS-панелью и получает те самые 10% от выкупов.

Расследование по цепочке привело в Ижевск. Intel 471 показывает, что Hastalamuerte регистрировался на десятке форумов — от Exploit до Breachforums и Raidforums. В 2020 году использовал почту hastalamuerte1488@protonmail.com. Аккаунт был привязан к номеру телефона. Дальше Constella Intelligence раскопала: этот номер закреплён за Александром Андреевичем Япаевым, 36 лет, из Ижевска. Тот же номер светится в профилях на Pikabu, а в Intel 471 всплыла учётка на форуме Codeby с ником Alexandr 4apaev.

В открытых данных Япаев указан как руководитель B2B-маркетинга в компании Uralenergo Udmurtia — крупном поставщике электротехники. На комментарии он не ответил.

Команда PRODAFT выпустила отдельный отчёт, где с высокой уверенностью подтвердила ту же личность. Они выяснили: админ сам поставляет аффилиатам доступ к целям — в первую очередь через учётные записи Fortinet SSL-VPN, которые подбирает брутфорсом или берёт из собственной базы утечек. И ещё одна деталь: для разработки и поддержки вредоносов Zeta88 активно использует AI.

Почему такой человек вообще не прячется? Отчасти — ранние ошибки. В 2019–2020 Hastalamuerte был новичком: даже проходил тренинг по пентесту и, судя по постам, едва разбирался в инструментах. Но есть и другая причина: в России киберпреступников обычно не трогают, пока те не атакуют местные компании. А соблюдать операционную безопасность, если тебя внутри страны не преследуют, куда сложнее.

Читать оригинал →