0APT trat erstmals Ende Januar in Erscheinung und veröffentlichte innerhalb einer Woche knapp 200 angebliche Opfer auf seinem Leak-Blog. Halcyon hielt diese Liste mangels Belegen für Kompromittierungen für erfunden, ging aber davon aus, dass 0APT durchaus funktionierende Verschlüsselungswerkzeuge einsetzte. Affiliates oder nennenswerte Aufmerksamkeit blieben aus, und die Gruppe verstummte über Monate.

Mitte April meldete sich 0APT zurück, löschte die alte Liste der erfundenen Opfer und beanspruchte stattdessen Ransomware-Angriffe gegen andere Ransomware-Betreiber – darunter KryBit, Everest (seit 2020 aktiv) und RansomHouse (seit 2021 aktiv). Die beiden Letztgenannten sind laut Halcyon deutlich etablierter.

KryBit war seinerseits Ende März aufgetaucht und bot RaaS-Bausätze für Windows, Linux, ESXi und NAS-Geräte an. Das Geschäftsmodell folgte einer 80/20-Aufteilung: Der Affiliate behält 80 Prozent der Lösegeldzahlungen, KryBit 20 Prozent. In den ersten beiden Wochen veröffentlichte die Gruppe zehn echte Opfer.

Anders als die anfängliche Fantasieliste war 0APTs Comeback ein Stück weit in der Realität verankert. Die Gruppe stellte einen gemeinsamen Eintrag zu Everest und RansomHouse online und veröffentlichte eine SQL-Datenbank von Everest mit kodierten und gehashten Datensätzen aus den ersten neun Monaten des Jahres 2025. In den entscheidenden Feldern fanden sich keine Klartextdaten; RansomHouse wurde zwar erwähnt, entsprechende Daten enthielt der Leak jedoch nicht.

Erika Totaro, Intelligence-Analystin beim Halcyon Ransomware Research Center, deutet das Vorgehen gegenüber Dark Reading als Aufmerksamkeitsmanöver. „Wenn deine Glaubwürdigkeit auf einem kriminellen Marktplatz von nachweisbaren Opfern und Lösegeldzahlungen abhängt und du beides nicht hast, musst du dir einen anderen Weg suchen, um Lärm zu machen“, sagt sie. Das Bloßstellen der Admin-Panels, Affiliate-Daten und Opferverhandlungen eines Rivalen sei der Versuch, sich Glaubwürdigkeit zu erkaufen, wenn man keine eigenen Opfer vorweisen könne. Everest hat bislang weder öffentlich reagiert noch den Vorfall bestätigt.

Bei KryBit verlief es anders: Sowohl Infrastruktur als auch Personal wurden offengelegt. Demnach hatte KryBit zwei Administratoren, fünf Affiliates und 20 potenzielle Opfer, mit Lösegeldforderungen zwischen 40.000 und 100.000 US-Dollar.

KryBit schlug zurück, drang in die Infrastruktur von 0APT ein, listete die Gruppe als Opfer und hinterließ auf deren Leak-Seite die Nachricht: „Nächstes Mal leg dich nicht mit den Großen an.“ Laut den Forschern leakte KryBit am Folgetag den kompletten Datensatz von 0APT, einschließlich vollständiger Zugriffsprotokolle, PHP-Quellcode und Systemdateien. Die Zugriffsprotokolle belegten, dass die ursprünglich im Januar 2026 veröffentlichten über 190 Opfer vollständig erfunden waren und nie Daten abgeflossen sind. 0APT habe sich davon nicht erholt, und KryBit halte die Verunstaltung der 0APT-Leak-Seite weiter aufrecht.

Solche Fehden seien nicht beispiellos, kämen in dieser Form aber selten vor, so Halcyon; beide Betreiber dürften ihre Strukturen neu aufbauen und umbenennen müssen. Für Totaro sind derartige Konflikte unterm Strich ein Gewinn für Verteidiger: Wenn sich Betreiber neu formieren oder Affiliates zu einem anderen Dienst abwandern, wandern ihre Taktiken, Techniken und Vorgehensweisen mit. „Die Werkzeuge ändern sich, das Verhalten weitgehend nicht“, erklärt sie – und genau diese Überschneidung lasse sich für Alarmierungen nutzen.

Der Blogbeitrag enthält Kompromittierungsindikatoren. Halcyon empfiehlt Verteidigern, auf Anzeichen für das Vorbereiten und Abfließen von Daten zu achten, die Integrität von Backups zu prüfen und Anti-Ransomware-Schutzmaßnahmen einzusetzen. Auch wenn 0APTs Opferliste fingiert war, seien KryBit und Everest als reale Bedrohungen einzustufen.