Le groupe de ransomware « The Gentlemen », devenu l’un des plus prolifiques en 2026, aurait pour administrateur principal un Russe de 36 ans prénommé Alexander Andreevich Yapaev, selon une enquête approfondie menée par plusieurs sociétés de sécurité informatique. L’identification repose sur le croisement de données issues de forums clandestins, de bases de données gouvernementales compromises et de comptes en ligne.

Un modèle d’affaires attractif

The Gentlemen opère selon le modèle du ransomware-as-a-service (RaaS), en offrant à ses affiliés 90 % des rançons perçues. D’après les analystes de Check Point Software, ce partage généreux – contre 80/20 dans la concurrence – a attiré des opérateurs expérimentés et propulsé le groupe à la deuxième place des gangs les plus actifs par nombre de victimes. Depuis sa création mi-2025, The Gentlemen revendique 332 victimes publiées, dont plus de 240 au cours de l’année 2026. Les attaques ciblent des équipements exposés sur Internet (VPN, pare-feu) et l’extorsion est suivie d’un chiffrement complet des réseaux en quelques heures.

Les pistes numériques

Le fondateur du groupe utilise le pseudonyme principal « Zeta88 » sur les forums russophones et a été actif sous le surnom « Hastalamuerte ». Les enquêteurs d’Intel 471 ont relevé que ce dernier était inscrit sur une dizaine de forums criminels depuis 2019, dont Exploit, Breachforums, Ramp_V2 et Nulled. L’adresse IP enregistrée lors de son inscription sur Breachforums en janvier 2025 le situe à Izhevsk, la capitale de la République d’Oudmourtie, en Russie. Un autre compte, « Zeta88 », créé sur le forum Breached en août 2022, provenait d’une adresse IP différente mais également localisée à Izhevsk.

Hastalamuerte utilisait l’adresse email [email protected], où « 1488 » fait référence à des symboles liés à la suprématie blanche. Cet email est associé à un compte GitHub privé nommé « SantaMuerte », suivi d’activités de développement de malwares. La même adresse est également reliée à un numéro de téléphone se terminant par 04.

Connexion à un profil réel

La plateforme de recherche de fuites Constella Intelligence a établi que le numéro de téléphone 79127650004, associé à un identifiant Telegram (30907522) et au pseudo « bu4vs », est attribué dans les registres russes à Alexander Andreevich Yapaev. Ce numéro a servi à créer un compte sur le réseau social russe Pikabu sous le nom « 4apai18 ». Les bases de données consultées montrent que Yapaev a également utilisé le patronyme « Ivanov » ou « Chapaev » (« 4 » représentant le son « tch » en russe).

Un compte LinkedIn au nom d’Alexander Yapaev, rattaché à l’adresse [email protected], le présente comme responsable marketing B2B chez Uralenergo Udmurtia, une entreprise de matériel électrique. Une recherche dans Intel 471 révèle un compte « SantaMeurte » sur le forum Codeby, enregistré avec le surnom « Alexandr 4apaev ». M. Yapaev n’a pas répondu aux sollicitations des journalistes.

Un contexte d’impunité relative

Les experts expliquent que les cybercriminels russes bénéficient souvent d’une tolérance des autorités, à condition de ne pas cibler d’entreprises ou de citoyens russes. Cette situation diminue les risques de poursuites, incitant certains à moins dissimuler leur identité. L’enquête souligne que les erreurs de sécurité opérationnelle commises en début de carrière facilitent ensuite le traçage.