‘The Gentlemen’ 랜섬웨어 그룹은 누가 운영하나?
출처: Hacker News
The Gentlemen이라는 사이버 범죄 조직은 피해자 수 기준으로 두 번째로 활발한 랜섬웨어 조직으로 부상했으며, 피해자가 지불한 몸값의 90%를 제휴사에 약속하는 공격적인 모집 전략을 통해 재능 있는 해커들을 빠르게 끌어들이고 있습니다. 이 글에서는 The Gentlemen 랜섬웨어 그룹 관리자의 실생활 신원을 가리키는 단서들을 살펴봅니다.
2026년 5월 Breachforums에 The Gentlemen 랜섬웨어 그룹 관리자인 Hastalamuerte가 만든 그래픽. 출처: ke-la.com.
보안 업체 Check Point Software의 전문가들은 “랜섬웨어‑as‑a‑service”(RaaS) 형태로 운영되는 The Gentlemen을 면밀히 추적해 왔으며, 제휴사에게 높은 보상을 제공해 그룹의 악성코드를 확산시키고 있습니다.
“90/10 제휴 수익 분배—업계 표준인 80/20에 비해—는 경쟁 프로그램에 있던 숙련된 운영자를 끌어들여 조직의 성장을 가속화하고 있습니다.”라고 연구원들은 4월에 밝혔습니다.
Check Point는 The Gentlemen이 올해 현재까지 피해자 수 기준으로 두 번째로 활발한 랜섬웨어 조직이며, 2025년 중반에 시작된 이후 최소 332명의 공개된 피해자를 기록했고, 2026년 한 해만 해도 240명 이상을 추가로 감염시켰다고 전했습니다.
Check Point에 따르면, 이 조직은 인터넷에 직접 노출된 장치(VPN, 방화벽)를 진입점으로 삼고, 내부에 침투하면 몇 시간 안에 전체 네트워크를 암호화하는 속도로 움직입니다.
Check Point는 랜섬웨어 그룹의 관리자이자 주요 운영자가 러시아어 사이버 범죄 포럼에서 Zeta88이라는 별명을 사용하고 있었으며, 이전에는 Hastalamuerte라는 별명으로 알려졌다고 밝혔습니다. 또한, 그룹의 백엔드 인프라가 침해된 사건을 통해 Hastalamuerte/Zeta88가 락커와 RaaS 패널을 조립하고, 결제를 관리하며, 전체 프로그램의 관리자로서 모든 몸값의 10%를 받는 인물임이 명확해졌다고 전했습니다.
HASTALAMUERTE는 누구인가?
사이버 인텔리전스 기업 Intel 471은 Hastalamuerte 사용자가 러시아어와 영어를 구사하는 인물이며, 2019년부터 현재까지 Exploit, Breachforums, Ramp_V2, BHF, Raidforums, Nulled 등 거의 열두 개의 사이버 범죄 포럼에 등록했다고 밝혔습니다.
Intel 471에 따르면, Hastalamuerte는 2025년 1월 러시아 우드무르 공화국의 수도 **이젤스크(Izhevsk)**에서 IP 주소를 통해 Breachforums에 가입했습니다. 마찬가지로 Zeta88은 2022년 8월 이젤스크의 다른 IP 주소에서 영어권 사이버 범죄 포럼 Breached에 가입했습니다.
Intel 471은 Hastalamuerte가 2020년에 hastalamuerte1488@protonmail.com이라는 이메일 주소로 Raidforums에 등록했으며, 여기서 “1488”은 백인 우월주의와 연관된 두 개의 숫자 기호를 의미한다고 설명했습니다. 오픈소스 정보 서비스 Epieos에서 이 주소를 조회한 결과, Apple 계정과 번호가 04로 끝나는 전화번호와 연결된 것으로 나타났습니다.
Epieos는 해당 Protonmail 주소가 SantaMuerte라는 사용자명으로 GitHub 계정과도 연결되어 있다고 전했습니다. 이 계정은 비공개로 설정돼 있지만, 사용자 활동 내역을 보면 여러 악성코드 도구와 익스플로잇을 감시하고 개발하고 있음을 알 수 있습니다.
2020년 4월, Hastalamuerte는 범죄 포럼 Nulled에서 텔레그램 인스턴트 메신저 이름 @hastalamuerte18으로 연락할 수 있다고 밝히었으며, 위협 정보 기업 Flashpoint는 이 사용자명이 고유 텔레그램 ID 30907522와 연결돼 있다고 확인했습니다. [전체 공개: Flashpoint는 이 블로그의 광고주입니다].
침해 추적 서비스 Constella Intelligence는 Hastalamuerte의 텔레그램 ID가 또 다른 사용자명 “bu4vs”와 러시아 전화번호 79127650004와 연결돼 있다고 보고했습니다. Constella에서 이 전화번호를 추적하면 해킹된 러시아 정부 데이터베이스 기록이 여러 건 나타나며, 이 번호는 이젤스크 출신 36세 Alexander Andreevich Yapaev에게 할당돼 있음을 확인했습니다.
Constella는 이 전화번호가 러시아 소셜 미디어 플랫폼 Pikabu에서 “4apai18”이라는 이름으로 계정을 만드는 데 사용됐으며, Yapaev 씨가 여러 웹사이트에 가입할 때 흔히 쓰이는 성 Ivanov(https://x.com/bu4vs/status/235798656769470465) 혹은 “Chapaev”(러시아어에서 숫자 4는 “ch” 소리를 대체하는 경우가 많음)로도 나타난다고 밝혔습니다.
Intel 471이 “SantaMuerte”라는 별명을 가진 사이버 범죄 포럼 회원을 검색한 결과, 2020년에 러시아 해킹 포럼 Codeby에 동일한 이름으로 계정이 생성된 것을 발견했습니다. Intel 471에 따르면, 이 사용자는 처음에 Alexandr 4apaev라는 다소 눈에 띄는 별명으로 Codeby에 등록했습니다.
Constella는 Yapaev 씨가 bu4vs@mail.ru라는 이메일 주소를 정기적으로 사용했다고 밝혔습니다. 한편, Epieos는 이 주소가 LinkedIn 프로필과 연결돼 있음을 보여주며, Alexander Yapaev는 Uralenergo Udmurtia라는 러시아 최대 전기·조명 제품 공급업체 중 하나에서 B2B 마케팅 책임자로 재직 중이라고 기재했습니다.
Yapaev 씨는 여러 차례 의견 요청에 응답하지 않았습니다.
우리가 이 Breadcrumbs 스토리를 발표할 때마다 독자들은 왜 러시아 출신 사이버 범죄자들이 실제 신원을 거의 숨기지 않는 것처럼 보이는지 궁금해합니다. 사실은—러시아인이든 아니든—대부분은 처음부터 대규모 범죄자를 목표로 한 것이 아니라, 기술이 넓어지고 정교해지면서 몇 년에 걸쳐 서서히 이 분야에 끌려들어간 것입니다.
또 다른 중요한 요인은 러시아 정부가 자국 내 사이버 범죄 활동을 공동 활용하거나 무시(https://www.recordedfuture.com/research/dark-covenant-3-controlled-impunity-and-russias-cybercriminals)하는 경우가 많으며, 해커들이 러시아 기업이나 시민을 대상으로 절도·공격을 하지 않는 한 대체로 관용을 베푸는 점입니다. 따라서 성공적인 러시아 사이버 범죄자는 적절한 사람들에게 가끔씩 뇌물을 주고 해외 여행을 삼가는 한, 외국 사법기관의 기소와 체포로부터 비교적 보호받을 수 있습니다. 그리고 이러한 암묵적 규칙을 철저히 지키려는 범죄자들은 (초기에는) 온라인에서 흔적을 감추는 데 크게 신경 쓰지 않을 수도 있습니다.
하지만 가장 단순한 설명은 모든 국적의 사이버 범죄자들이 경력 초기에 기본적인 운영 보안 실수를 저지르는 경우가 많다는 점입니다. 그들은 아직 경험이 부족하고 실수로 잃을 것이 적기 때문이죠. Hastalamuerte의 초기 게시물(2019‑2020년)을 검토하면, 아직 해킹 기술을 배우고 커뮤니티에서 평판을 쌓으려는 비교적 미숙하고 저숙련 해커였음을 알 수 있습니다.
예를 들어, 2020년 6월 Hastalamuerte는 다개월 교육 프로그램(@pntst)에 참여해 인기 침투 테스트 도구 사용법을 배우려 했으며, 해당 해커 교육 캠프에 남긴 솔직한 게시물에서 도구를 효과적으로 활용하는 데 어려움을 겪는 모습을 보여줍니다. @pntst에 대한 Google 번역된 게시물 기록은 여기에서 확인할 수 있습니다.
업데이트 (2026‑06‑11, 오전 10:23 ET): 위협 연구 그룹 PRODAFT가 The Gentlemen의 역사와 현재 운영에 대한 상세 보고서를 발표했습니다