The Gentlemenとして知られるサイバー犯罪グループが、被害者数でランサムウェア界の第2位に急浮上しています。身代金の90%をアフィリエイトに還元するという積極的な勧誘戦略が功を奏し、優秀なハッカーたちを次々と引き寄せているのです。本稿では、The Gentlemenランサムウェアグループの管理者の実在の人物像を示す手がかりを検証します。
2026年5月、The Gentlemenランサムウェアグループの管理者HastalamuertがBreachforumsに投稿・共有したグラフィック。クレジット: ke-la.com
セキュリティ企業Check Point Softwareの専門家たちは、「ランサムウェア・アズ・ア・サービス」(RaaS)モデルを採用するThe Gentlemenの活動を詳細に追跡してきました。このグループはアフィリエイトに高い報酬を約束し、自分たちのマルウェアの拡散を手伝わせています。
研究者たちは4月に、「業界標準の80/20ではなく90/10というアフィリエイト収益分配が、競合プログラムから経験豊富なオペレーターを引き抜くことでグループの急成長を加速させている」と報告しています。
Check Pointが明らかにしたところによると、The Gentlemenは今年(2026年)これまでのところ被害者数で第2位に位置し、2025年半ばの活動開始以来少なくとも332件の被害事例を公表、2026年だけで240件以上にのぼります。
同社によれば、グループはVPNやファイアウォールといったインターネットに露出したデバイスを侵入口とし、内部に入ると数時間以内にネットワーク全体を暗号化する素早い動きをとります。
Check Pointによれば、このランサムウェアグループの管理者兼主要オペレーターはロシア語圏のサイバー犯罪フォーラムでZeta88というニックネームを使用しており、以前はHastalamuerteという名で活動していました。また、グループのバックエンドインフラへの侵害によって、Hastalamuerte/Zeta88がロッカーとRaaSパネルを組み立て、支払いを管理し、全身代金の10%を受け取るプログラム全体の管理者であることが明らかになったとCheck Pointは指摘しています。
HASTALAMUERTE とは何者か?
サイバーインテリジェンス企業Intel 471の調査によると、Hastalamuertというユーザーはロシア語と英語を話す人物で、2019年から現在にかけてExploit、Breachforums、Ramp_V2、BHF、Raidforums、Nulledなど十数のサイバー犯罪フォーラムに登録しています。
Intel 471によれば、HastalamuertはBreachforumsへの登録を2025年1月に行っており、その際のIPアドレスはロシア西部ウドムルト共和国の首都イジェフスクのものでした。同様に、Zeta88というユーザーも2022年8月に英語圏のサイバー犯罪フォーラム「Breached」にイジェフスクの別のIPアドレスから登録しています。
Intel 471の調査では、Hastalamuertが2020年にRaidforumsへ登録する際に使用したメールアドレスは[email protected]であることもわかっています(1488は白人至上主義に関連する2つの数字の組み合わせとして知られています)。オープンソースインテリジェンスサービス「Epieos」でこのアドレスを照合すると、Appleのアカウントと末尾が04の電話番号に紐づいていることが判明します。
Epieosによれば、そのProtonmailアドレスはSantaMuerteというユーザー名のGitHubアカウントとも連携しています。当該アカウントは非公開設定になっていますが、このユーザーの活動履歴を見ると、複数のマルウェアツールやエクスプロイトのウォッチおよび開発に従事していることがわかります。
2020年4月、Hastalamuertは犯罪フォーラム「Nulled」にてTelegramのユーザー名@hastalamuerte18で連絡可能と投稿しており、脅威インテリジェンス企業Flashpointの調査ではこのユーザー名に一意のTelegram IDナンバー30907522が割り当てられていることが確認されています(開示事項:Flashpointは本ブログの広告主です)。
侵害追跡サービスConstella Intelligenceによれば、HastalamuertのTelegram IDは別のユーザー名「bu4vs」とロシアの電話番号79127650004に紐づいています。この電話番号をConstellaで照合すると、ロシア政府のハッキングされたデータベースから複数のレコードがヒットし、その番号がイジェフスク出身の36歳、Alexander Andreevich Yapaev氏に割り当てられていることがわかります。
Constellaの調査では、その電話番号がロシアのソーシャルメディアプラットフォームPikabuのアカウント「4apai18」の作成に使用されたことも明らかになっており、Yapaev氏がIvanovという一般的な姓や「Chapaev」(ロシア語では数字の「4」が「ch」の音の略記として使われることがある)を用いて複数のウェブサイトに登録していることも示しています。
Intel 471でSantaMeuerteというニックネームを持つサイバー犯罪フォーラムのメンバーを検索すると、2020年にロシアのハッキングフォーラム「Codeby」で作成された同名のアカウントが見つかります。Intel 471によれば、このユーザーはCodebyへの初回登録時にAlexandr 4apaevというニックネームを使用していました。
Constellaの調査では、Yapaev氏がメールアドレス[email protected]を常用していたことも判明しています。一方、Epieosによれば、このアドレスはUralenergo Udmurtia(ロシア最大の電気技術・照明製品サプライヤーの一つ)でB2Bマーケティング責任者を名乗るAlexander YapaevのLinkedInアカウントと連携しています。
Yapaev氏は複数回にわたるコメント要請に回答しませんでした。
この種の「Breadcrumbs」ストーリーを公開するたびに、読者から必ずといっていいほど寄せられる疑問があります。なぜロシア出身のサイバー犯罪者の多くは、実生活での身元をほとんど隠そうとしないように見えるのか、というものです。実際のところ、ロシア人であるかどうかにかかわらず、多くの犯罪者は最初から凶悪犯になろうとしていたわけではなく、スキルを磨きながら数年かけて徐々にこの世界に引き込まれていったケースがほとんどです。
もう一つの重要な背景として、ロシア政府は国内のサイバー犯罪行為に対して、ハッカーたちがロシアの企業や国民から盗んだり攻撃したりしない限り、取り込むか黙認するかのどちらかをとる傾向があります。その結果、ロシアで成功したサイバー犯罪者は、適切な人物に定期的に利益を渡し、海外に渡航しない限り、外国の法執行機関による起訴や逮捕からほぼ保護されています。こうした暗黙のルールを守る意図がある犯罪者は、少なくとも当初はオンライン上での足跡を隠すことにさほど神経を使わないかもしれません。
しかし、最もシンプルな理由は、あらゆる国籍のサイバー犯罪者がキャリアの初期段階で基本的なオペレーショナルセキュリティの失敗を犯しがちだということです。この時期はまだ経験が浅く、不注意によって失うものもほとんどありません。Hastalamuertの犯罪フォーラムへの初期投稿(2019〜2020年頃)を振り返ると、まだ業界のルールを学ぼうとし、コミュニティ内での評判を築こうとしている、比較的洗練されていない低スキルのハッカーの姿が浮かび上がります。
たとえば2020年6月、HastalamuertのTelegramアカウントは一般的なペネトレーションテストツールの使い方を学ぶための数カ月にわたるトレーニングプログラム(@pntst)に参加しており、このハッカー訓練キャンプへの率直な投稿には、Hastalamuertがこれらのツールをうまく使いこなせず苦労している様子が記録されています。Hastalmuertの@pntstへの投稿をGoogle翻訳した記録はこちらでご覧いただけます。
翻訳元: https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/
