🛡 MALWARE 🛡

¿Quién está detrás del grupo de ransomware 'The Gentlemen'?

⏰11 de junio de 2026🛡CyberObservatorio

Idioma

◢ MALWARE ◣

¿Quién está detrás del grupo de ransomware 'The Gentlemen'?

⟫ 10/06/2026 ⟫ BrianKrebs

Fuente: Krebs on Security

### La amenaza emergente de The Gentlemen: un análisis profundo del grupo de ransomware

En el actual panorama de la ciberseguridad, la proliferación de grupos de ransomware representa una de las amenazas más significativas para empresas e individuos en todo el mundo. Entre estos actores delictivos, un grupo que ha cobrado particular notoriedad es conocido como The Gentlemen. Este grupo se ha posicionado como el segundo en términos de actividad, medido por el número de víctimas, gracias a una estrategia de reclutamiento agresiva que promete a sus afiliados hasta un 90% de las recompensas obtenidas a través de rescates. Este artículo examina no solo la naturaleza de este grupo, sino también las pistas que sugieren la identidad real de su administrador.

Los analistas de la firma de ciberseguridad Check Point Software han estado monitoreando de cerca las actividades de The Gentlemen, que opera bajo un modelo conocido como “ransomware como servicio” (RaaS). Este modelo permite a los afiliados recibir una compensación considerable por su trabajo en la difusión del malware del grupo. Según los investigadores, la atractiva división de ingresos del 90/10, en comparación con el estándar de la industria del 80/20, está acelerando el crecimiento de The Gentlemen al atraer a operadores experimentados de programas competidores.

Desde su creación a mediados de 2025, The Gentlemen ha reclamado al menos 332 víctimas publicadas, siendo más de 240 de ellas en 2026. Este crecimiento exponencial es alarmante, ya que el grupo se enfoca en dispositivos conectados a Internet, como VPNs y cortafuegos, como sus puntos de entrada. Una vez dentro, su modus operandi es actuar rápidamente para cifrar redes enteras en cuestión de horas.

El análisis de Check Point también ha revelado información crucial sobre la identidad del administrador del grupo. Este individuo, que opera bajo el seudónimo Zeta88 en foros de cibercrimen de habla rusa, era anteriormente conocido como Hastalamuerte. Se ha confirmado que este personaje es quien ensambla el software de cifrado y gestiona el panel de RaaS, además de ser el encargado de las transacciones y de recibir el 10% de cada rescate pagado.

La firma de inteligencia cibernética Intel 471 ha recopilado datos que indican que Hastalamuerte es un hablante de ruso e inglés que se registró en casi una docena de foros de cibercrimen desde 2019. Entre los foros en los que se ha involucrado se encuentran Exploit, Breachforums, Ramp_V2, BHF, Raidforums y Nulled. De acuerdo con Intel 471, Hastalamuerte se registró en Breachforums en enero de 2025 desde una dirección IP en Izhevsk, la capital de la República Udmurt de Rusia. Por otro lado, Zeta88 se unió al foro de cibercrimen en inglés Breached en agosto de 2022, también desde Izhevsk.

Un detalle interesante es que Hastalamuerte se registró en Raidforums en 2020 utilizando la dirección de correo electrónico hastalamuerte1488@protonmail.com. El número 1488 es una combinación numérica comúnmente asociada con la supremacía blanca. Al investigar esta dirección, el servicio de inteligencia de código abierto Epieos ha demostrado que está vinculada a una cuenta de Apple y a un número de teléfono que termina en 04.

Epieos también ha encontrado una conexión entre la dirección de Protonmail y una cuenta de GitHub bajo el nombre de usuario SantaMuerte. Aunque esta cuenta es privada, su historial de actividad sugiere que el usuario está involucrado en el desarrollo de varias herramientas de malware y exploits. En abril de 2020, Hastalamuerte mencionó en el foro de delitos Nulled que se le podía contactar a través de Telegram con el nombre de usuario @hastalamuerte18; la empresa de inteligencia Flashpoint ha descubierto que este nombre de usuario está asociado con el ID único de Telegram 30907522.

Además, el servicio de seguimiento de violaciones de datos Constella Intelligence ha revelado que el ID de Telegram de Hastalamuerte está conectado a otro apodo, "bu4vs", y a un número telefónico ruso 79127650004. Este número ha llevado a múltiples registros de bases de datos gubernamentales rusas hackeadas, mostrando que pertenece a Alexander Andreevich Yapaev, un hombre de 36 años de Izhevsk. Constella también ha documentado que este número fue utilizado para crear una cuenta en la red social rusa Pikabu bajo el nombre "4apai18".

Las investigaciones han revelado que Yapaev ha utilizado de manera regular la dirección de correo electrónico bu4vs@mail.ru. Asimismo, Epieos ha indicado que esta dirección está relacionada con una cuenta de LinkedIn para Alexander Yapaev, quien se describe como el jefe de marketing B2B en Uralenergo Udmurtia, uno de los mayores proveedores de productos electrotécnicos y de iluminación en Rusia. A pesar de los intentos de comunicación, Yapaev no ha respondido a las solicitudes de comentarios.

Una inquietud común entre los lectores es por qué muchos cibercriminales rusos parecen no ocultar sus identidades. La realidad es que, independientemente de su nacionalidad, la mayoría de estos delincuentes no buscaban convertirse en criminales desde el principio; más bien, se vieron arrastrados al mundo del cibercrimen a lo largo de los años, a medida que sus habilidades se desarrollaban.

Un aspecto importante a considerar es que el gobierno ruso generalmente cooptar o ignora actividades delictivas cibernéticas en su territorio, siempre que los hackers no ataquen a empresas o ciudadanos rusos. Esto crea un entorno donde los cibercriminales exitosos suelen estar protegidos de la persecución judicial, siempre que cumplan con ciertas normas no escritas. Por ende, aquellos que se adhieren a estas reglas pueden mostrarse menos preocupados por mantener sus huellas en línea.

Sin embargo, la explicación más sencilla es que los cibercriminales de todas las nacionalidades tienden a cometer errores básicos de seguridad operativa al inicio de sus carreras, especialmente cuando son menos experimentados y tienen poco que perder. Un análisis de las publicaciones iniciales de Hastalamuerte en foros de delitos durante 2019 y 2020 revela a un hacker relativamente inexperto que aún intentaba hacerse un nombre en estas comunidades.

Por ejemplo, en junio de 2020, el cuenta de Telegram de Hastalamuerte se unió a un programa de capacitación de varios meses (@pntst) para aprender a utilizar herramientas populares de pruebas de penetración. Las publicaciones de Hastalamuerte en este campamento de formación muestran a un aprendiz luchando por dominar estas herramientas. Un registro traducido al español de sus publicaciones está disponible para aquellos interesados en seguir su evolución en el mundo del hacking.

La historia de The Gentlemen y su administrador sirve como un recordatorio de la complejidad del cibercrimen y de cómo la tecnología y la criminalidad se entrelazan en un mundo cada vez más digital. Las implicaciones de estos grupos son profundas y afectan tanto a la seguridad empresarial como a la confianza pública en las plataformas digitales. La lucha contra estas amenazas requiere una colaboración constante entre las empresas de seguridad, los gobiernos y la sociedad civil para desarrollar estrategias efectivas que protejan a todos los usuarios en el ciberespacio.

◢ MALWARE ◣

Who Runs the Ransomware Group ‘The Gentlemen?’

⟫ 10/06/2026 ⟫ BrianKrebs

Source: Krebs on Security

A cybercrime group known asThe Gentlemenhas emerged as the second most active ransomware gang by victim count, rapidly attracting a talented pool of hackers through an aggressive recruitment strategy that promises affiliates 90 percent of any ransom paid by victims. This post examines clues pointing to a real life identity for the administrator of The Gentlemen ransomware group. A graphic created and shared by The Gentlemen ransomware group administrator Hastalamuerte on Breachforums in May 2026. Credit: ke-la.com. Experts at the security firmCheck Point Softwarehave been closely covering exploits of The Gentlemen, a so-called “ransomware-as-a-service” (RaaS) offering that pays affiliates handsomely to help spread the group’s malware. “A 90/10 affiliate revenue split — compared to the industry standard 80/20 — is accelerating the group’s growth by attracting experienced operators from competing programs,” the researchers wrote in April. Check PointfoundThe Gentlemen are the second most active ransomware group by victim count so far this year, claiming at least 332 published victims since the group’s inception in mid-2025 and more than 240 in 2026 alone. According to Check Point, the group targets Internet-facing devices (VPNs, firewalls) as their entry point, and once inside moves quickly to encrypt entire networks within hours. Check Point says the administrator and primary operator of the ransomware group uses the nicknameZeta88on the Russian-language cybercrime forums, and that this individual was previously known under the monikerHastalamuerte. Check Point noted thata breachof the group’s backend infrastructure made it clear that Hastalamuerte/Zeta88 is the person who assembles the locker and RaaS panel, manages payments, and is essentially the administrator of the entire program who receives 10 percent of all ransoms. The cyber intelligence firmIntel 471shows that the user Hastalamuerte is a Russian and English speaking person who registered on almost a dozen cybercrime forums between 2019 and the present day, including Exploit, Breachforums, Ramp_V2, BHF,Raidforums, andNulled. Intel 471 reveals that Hastalamuerte registered on Breachforums in January 2025 from an Internet address inIzhevsk, the capital city of Russia’s Udmurt Republic. Likewise, the userZeta88signed up at the English-language cybercrime forum Breached in August 2022 from a different Internet address in Izhevsk. Intel 471 finds Hastalamuerte registered on Raidforums in 2020 using the email addresshastalamuerte1488@protonmail.com(1488 is a common combination oftwo numeric symbols associated with white supremacy). A lookup on this address at the open source intelligence serviceEpieosshows it is connected to an account at Apple and to a phone number ending in04. Epieos says that Protonmail address is also linked to a GitHub account under the usernameSantaMuerte. That account is marked private, buta history of this user’s activityshows they are watching and developing a number of malware tools and exploits. In April 2020, Hastalamuerte said on the crime forum Nulled that they could be contacted at the Telegram instant messenger name@hastalamuerte18, and the threat intelligence companyFlashpointfinds this username is assigned the unique Telegram ID number30907522[full disclosure: Flashpoint is an advertiser on this blog]. The breach tracking serviceConstella Intelligencereports that Hastalamuerte’s Telegram ID is connected to another username — “bu4vs” — and to the Russian phone number79127650004. Pivoting on this phone number in Constella fetches multiple records from hacked Russian government databases showing it is assigned to oneAlexander Andreevich Yapaev, a 36-year-old from Izhevsk. Constella reveals that phone number was used to create an account at the Russian social media platform Pikabu under the name “4apai18,” and shows Mr. Yapaev has signed up at a number of websites using the common surnameIvanov, or else “Chapaev” (the numeral 4 is often used as shorthand for a “ch” sound in Russian). A search in Intel 471 for cybercrime forum members with the nickname SantaMeurte unearths an account by the same name created in 2020 on the Russian hacking forum Codeby. Intel 471 shows this user originally registered on Codeby with the not-so-subtle nicknameAlexandr 4apaev. Constella finds Mr. Yapaev regularly used the email addressbu4vs@mail.ru. Meanwhile, Epieos shows this address is connected to aLinkedIn accountfor Alexander Yapaev, who lists himself as the head of B2B marketing at the companyUralenergo Udmurtia, one of Russia’s largest suppliers of electrotechnical and lighting products. Mr. Yapaev did not respond to multiple requests for comment. Nearly every time we publish one of theseBreadcrumbs stories, readers are curious to know why it seems like so many cybercriminals from Russia apparently do little to hide their real life identities. The truth is that — Russian or not — most didn’t exactly set out to be arch criminals, but instead got drawn into the scene gradually over several years as their skills broadened and sharpened. Another important dynamic is that the Russian government generally eitherco-opts or ignorescybercriminal activity within its border so long as the hackers do not steal from or attack Russian businesses and citizens. As a result, successful cybercriminals in Russia are usually insulated from prosecution and arrest by foreign law enforcement agencies provided they occasionally pay off the right people and do not travel abroad. And cybercriminals who intend to strictly adhere to those unwritten rules may (at least initially) be less concerned about covering their tracks online. But the simplest explanation is that cybercriminals of all nationalities tend to make a number of basic operational security mistakes early in their careers, when they are less savvy and have far less to lose by their carelessness. A review of Hastalamuerte’s early posts on the crime forums (circa 2019-2020) shows a relatively unsophisticated and low-skilled hacker still trying to learn the ropes and earn a positive reputation on these communities. For example, in June 2020 Hastalamuerte’s Telegram account joined a multi-month training program (@pntst) to learn how to use popular penetration testing tools, and their candid posts to this hacker training camp show Hastalamuerte struggling to use these tools effectively. A Google-translated record of Hastalmuerte’s posts to @pntst ishere.

𝐗 Twitter f Facebook ☎ WhatsApp ✈ Telegram

← VOLVER A CIBERSEGURIDAD