Đi tìm danh tính thực sự của thủ lĩnh nhóm tống tiền The Gentlemen

Một nhóm tội phạm mạng có tên The Gentlemen đã nổi lên trở thành băng nhóm ransomware hoạt động tích cực thứ hai tính theo số lượng nạn nhân. Sự trỗi dậy nhanh chóng của nhóm này được thúc đẩy bởi chiến lược tuyển dụng hung hăng, hứa hẹn chia sẻ tới 90% tiền chuộc cho các cộng tác viên. Bài viết này sẽ phân tích các manh mối dẫn đến danh tính thực sự của người đứng sau nhóm tống tiền này.

Hình ảnh liên quan đến nhóm The Gentlemen

Các chuyên gia tại công ty bảo mật Check Point Software đã theo dõi chặt chẽ các hoạt động khai thác lỗ hổng của The Gentlemen. Đây là một mô hình “ransomware-as-a-service” (RaaS), nơi nhóm này trả tiền hậu hĩnh cho các cộng tác viên để giúp phát tán mã độc.

“Tỷ lệ chia sẻ doanh thu 90/10 cho cộng tác viên — so với mức tiêu chuẩn ngành là 80/20 — đang tăng tốc độ phát triển của nhóm bằng cách thu hút những người vận hành có kinh nghiệm từ các chương trình cạnh tranh”, các nhà nghiên cứu viết vào tháng 4.

Theo Check Point, The Gentlemen là nhóm ransomware tích cực thứ hai về số nạn nhân trong năm nay, với ít nhất 332 nạn nhân được công bố kể từ khi thành lập vào giữa năm 2025 và hơn 240 nạn nhân chỉ riêng trong năm 2026.

Chiến thuật tấn công

Nhóm này nhắm đến các thiết bị tiếp xúc với Internet (như VPN, tường lửa) làm điểm xâm nhập. Khi đã bên trong hệ thống, chúng di chuyển cực nhanh để mã hóa toàn bộ mạng lưới chỉ trong vài giờ.

Check Point cho biết quản trị viên và người vận hành chính của nhóm này sử dụng biệt danh Zeta88 trên các diễn đàn tội phạm mạng tiếng Nga. Trước đó, cá nhân này từng được biết đến với cái tên Hastalamuerte. Một vụ lộ dữ liệu cơ sở hạ tầng backend của nhóm đã xác nhận Hastalamuerte/Zeta88 là người chịu trách nhiệm lắp ráp phần mềm mã hóa (locker), quản lý bảng điều khiển RaaS và xử lý thanh toán.

Manh mối dẫn về Nga

Công ty tình báo mạng Intel 471 cho thấy người dùng Hastalamuerte là người nói cả tiếng Nga và tiếng Anh, đăng ký trên gần một chục diễn đàn tội phạm mạng từ năm 2019 đến nay, bao gồm Exploit, Breachforums, Ramp_V2 và Raidforums.

Đáng chú ý, Hastalamuerte đăng ký trên Breachforums vào tháng 1/2025 từ một địa chỉ IP tại Izhevsk, thủ phủ của Cộng hòa Udmurt thuộc Nga. Tương tự, người dùng Zeta88 cũng đăng ký tại diễn đàn Breached vào tháng 8/2022 từ một địa chỉ IP khác cũng nằm tại Izhevsk.

Thông qua việc truy xuất email [email protected], các nhà điều tra phát hiện liên kết với một tài khoản GitHub có tên người dùng SantaMuerte. Tài khoản này ở chế độ riêng tư nhưng lịch sử hoạt động cho thấy chủ sở hữu đang theo dõi và phát triển nhiều công cụ phần mềm độc hại và khai thác lỗ hổng.

Bằng cách đối chiếu ID Telegram và số điện thoại, dịch vụ theo dõi vi phạm dữ liệu Constella Intelligence đã xác định danh tính thực sự của Hastalamuerte là Alexander Andreevich Yapaev, 36 tuổi, đến từ Izhevsk.

Danh tính và công việc thực tế

Constella tiết lộ rằng ông Yapaev thường xuyên sử dụng địa chỉ email [email protected]. Dịch vụ Epieos chỉ ra địa chỉ này liên kết với một tài khoản LinkedIn của Alexander Yapaev, người tự giới thiệu là Trưởng Marketing B2B tại công ty Uralenergo Udmurtia — một trong những nhà cung cấp thiết bị điện và chiếu sáng lớn nhất của Nga.

Ông Yapaev chưa phản hồi các yêu cầu bình luận về thông tin này.

Tại sao tội phạm mạng Nga thường lộ danh tính?

Mỗi khi xuất bản những câu chuyện điều tra như thế này, độc giả thường thắc mắc tại sao nhiều tội phạm mạng Nga dường như ít che giấu danh tính thực của mình. Thực tế là, dù là người Nga hay không, hầu hết họ không định trở thành tội phạm hạng nặng ngay từ đầu, mà bị lôi kéo vào con đường này dần dần khi kỹ năng của họ phát triển.

Một yếu tố quan trọng khác là chính phủ Nga thường hoặc là dung túng, hoặc là phớt lờ hoạt động tội phạm mạng trong biên giới miễn là hacker không đánh cắp hoặc tấn công doanh nghiệp và công dân Nga. Kết quả là, những tội phạm mạng thành công ở Nga thường được bảo vệ khỏi việc bị truy tố và bắt giữ bởi cơ quan thực thi pháp luật nước ngoài, miễn là họ thỉnh thoảng “đút lót” đúng người và không đi du lịch nước ngoài.

Ngoài ra, giải thích đơn giản nhất là tội phạm mạng của mọi quốc tịch thường mắc một số lỗi cơ bản trong an ninh vận hành (OpSec) vào đầu sự nghiệp, khi họ chưa quá tinh nghịch và ít có gì để mất.

Cập nhật: Vai trò của AI

Nhóm nghiên cứu mối đe dọa PRODAFT đã công bố một báo cáo chi tiết về lịch sử và hoạt động hiện tại của The Gentlemen. Họ xác nhận với độ tin cậy cao rằng quản trị viên (Zeta88/Hastalamuerte) cung cấp quyền truy cập ban đầu cho cộng tác viên, chủ yếu là thông tin đăng nhập Fortinet SSL-VPN thu được thông qua các cuộc tấn công brute-force hoặc từ cơ sở dữ liệu rò rỉ của chính nhóm này.

Đặc biệt, PRODAFT phát hiện quản trị viên đang sử dụng AI (Trí tuệ nhân tạo) để phát triển và duy trì ransomware cũng như các công cụ liên quan, đồng thời hỗ trợ các hoạt động khai thác sau khi xâm nhập.