La société de cybersécurité **Check Point Software** suit de près **The Gentlemen**, une opération sophistiquée de "ransomware-as-a-service" (RaaS). La répartition attrayante des revenus de 90/10 pour les affiliés – nettement supérieure à la norme de l'industrie de 80/20 – a effectivement accéléré sa croissance en attirant des opérateurs expérimentés de programmes rivaux. Selon **Check Point**, **The Gentlemen** est devenu le deuxième groupe de ransomware le plus actif en termes de nombre de victimes cette année, revendiquant au moins 332 victimes publiées depuis leur création à la mi-2025, dont plus de 240 rien qu'en 2026. Leur modus operandi consiste à cibler les appareils exposés sur Internet tels que les VPN et les pare-feu comme points d'entrée initiaux, se déplaçant rapidement pour chiffrer des réseaux entiers en quelques heures une fois à l'intérieur. **Check Point** identifie l'administrateur et l'opérateur principal du groupe sous le pseudonyme **Zeta88** sur les forums de cybercriminalité russophones, précédemment connu sous le nom de **Hastalamuerte**. Une violation de l'infrastructure backend du groupe aurait confirmé que **Hastalamuerte**/**Zeta88** est responsable de l'assemblage du locker et du panneau RaaS, de la gestion des paiements et de la supervision de l'ensemble de l'opération, recevant 10 % de toutes les rançons. ## Qui est Hastalamuerte ? La société d'intelligence sur les cybermenaces **Intel 471** révèle que **Hastalamuerte** est un individu russophone et anglophone qui s'est inscrit sur près d'une douzaine de forums de cybercriminalité entre 2019 et aujourd'hui, notamment **Exploit**, **Breachforums**, **Ramp_V2**, **BHF**, **Raidforums** et **Nulled**. **Intel 471** a découvert que **Hastalamuerte** s'est inscrit sur **Breachforums** en janvier 2025 depuis une adresse Internet à **Izhevsk**, la capitale de la République d'Oudmourtie en Russie. De même, l'utilisateur **Zeta88** s'est inscrit sur le forum de cybercriminalité anglophone Breached en août 2022 depuis une adresse IP différente d'**Izhevsk**. Une enquête plus approfondie par **Intel 471** montre que **Hastalamuerte** s'est inscrit sur **Raidforums** en 2020 en utilisant l'adresse e-mail **[email protected]**. Le nombre '1488' est un symbole connu associé à la suprématie blanche. Une recherche **Epieos** sur cette adresse la relie à un compte Apple et à un numéro de téléphone se terminant par **04**. **Epieos** connecte également cette adresse Protonmail à un compte GitHub sous le nom d'utilisateur **SantaMuerte**. Bien que le compte soit privé, son historique d'activité indique une implication dans la surveillance et le développement de divers outils de malware et exploits. En avril 2020, **Hastalamuerte** a publié sur le forum criminel **Nulled**, fournissant le nom de messagerie instantanée Telegram **@hastalamuerte18**. La société d'intelligence sur les menaces **Flashpoint** a confirmé que ce nom d'utilisateur est attribué à l'identifiant Telegram unique **30907522**. Le service de suivi des violations **Constella Intelligence** rapporte que l'identifiant Telegram de **Hastalamuerte** est lié à un autre nom d'utilisateur, "**bu4vs**", et au numéro de téléphone russe **79127650004**. Un pivot sur ce numéro dans **Constella** a donné plusieurs enregistrements provenant de bases de données compromises du gouvernement russe, l'attribuant à **Alexander Andreevich Yapaev**, un homme de 36 ans originaire d'**Izhevsk**. **Constella** a également découvert que ce numéro de téléphone a été utilisé pour créer un compte sur la plateforme de médias sociaux russe Pikabu sous le nom de "**4apai18**", et que M. **Yapaev** s'est inscrit sur divers sites Web en utilisant le nom de famille "Chapaev" (avec '4' remplaçant souvent 'ch' en russe). Une recherche **Intel 471** pour des membres de forums de cybercriminalité portant le pseudonyme **SantaMuerte** a révélé un compte créé en 2020 sur le forum de hacking russe Codeby. **Intel 471** montre que cet utilisateur s'est initialement inscrit sur Codeby avec le pseudonyme moins subtil **Alexandr 4apaev**. **Constella** indique que M. **Yapaev** utilisait régulièrement l'adresse e-mail **[email protected]**. Pendant ce temps, **Epieos** relie cette adresse à un compte LinkedIn pour **Alexander Yapaev**, qui se présente comme le responsable du marketing B2B chez **Uralenergo Udmurtia**, un important fournisseur russe de produits électrotechniques et d'éclairage. M. **Yapaev** n'a pas répondu aux multiples demandes de commentaires. ## Pourquoi ces apparentes lacunes en matière d'OpSec ? Il est courant d'observer que de nombreux cybercriminels, en particulier ceux opérant depuis la Russie, semblent laisser des traces numériques discernables. Cela découle souvent d'une immersion progressive dans la cybercriminalité plutôt que d'une intention initiale d'être un criminel endurci. Leurs compétences évoluent avec le temps, et les erreurs précoces en matière de sécurité opérationnelle (OpSec) sont fréquentes en raison d'un risque perçu plus faible. Un autre facteur important est la position du gouvernement russe, qui co-opte ou ignore souvent les activités cybercriminelles à l'intérieur de ses frontières, à condition qu'elles ne ciblent pas les entreprises ou les citoyens russes. Cela offre un certain degré d'isolement vis-à-vis des forces de l'ordre étrangères, encourageant une approche moins stricte de l'OpSec, en particulier pour ceux qui ont initialement l'intention de respecter ces règles non écrites. Par exemple, les premières publications de **Hastalamuerte** datant de 2019-2020 révèlent un hacker relativement peu sophistiqué qui apprend les bases. En juin 2020, le compte Telegram de **Hastalamuerte** a rejoint un programme de formation de plusieurs mois (@pntst) pour les outils de test d'intrusion, avec des publications franches montrant des difficultés initiales à maîtriser ces outils.