Check Point hatte bereits im April hervorgehoben, dass die Aufteilung der Einnahmen von 90 zu 10 das Wachstum der Gruppe beschleunige, weil sie erfahrene Akteure aus konkurrierenden Programmen anziehe. Die Forscher sprechen von einem „Ransomware-as-a-Service“-Angebot, das Helfer großzügig bezahlt, wenn sie die Schadsoftware der Gruppe verbreiten.
Für die Identifizierung des Administrators stützen sich mehrere Firmen auf Spuren aus Foren, Messenger-Diensten und Datenlecks. Intel 471 beschreibt Hastalamuerte als russisch- und englischsprachige Person, die sich seit 2019 auf fast einem Dutzend Cybercrime-Foren registriert hat, darunter Exploit, Breachforums, Ramp_V2, BHF, Raidforums und Nulled.
Nach Angaben von Intel 471 registrierte sich Hastalamuerte im Januar 2025 bei Breachforums über eine Internetadresse in Ischewsk, der Hauptstadt der russischen Republik Udmurtien. Der Nutzer Zeta88 meldete sich demnach bereits im August 2022 im englischsprachigen Forum Breached an, ebenfalls über eine andere Internetadresse aus Ischewsk.
Weitere Spuren führen über E-Mail-Adressen und Messenger-Konten. Intel 471 fand heraus, dass Hastalamuerte sich 2020 bei Raidforums mit der Adresse hastalamuerte1488@protonmail.com registrierte. Der Open-Source-Intelligence-Dienst Epieos verknüpft diese Adresse mit einem Apple-Konto und einer Telefonnummer, die auf 04 endet. Außerdem soll die Protonmail-Adresse mit einem GitHub-Konto unter dem Namen SantaMuerte verbunden sein. Das Konto ist zwar privat, die Aktivitätshistorie zeigt laut Epieos aber Interesse an mehreren Malware-Werkzeugen und Exploits.
Im April 2020 nannte Hastalamuerte im Forum Nulled den Telegram-Namen @hastalamuerte18 als Kontakt. Die Threat-Intelligence-Firma Flashpoint ordnet diesem Namen die eindeutige Telegram-ID 30907522 zu. Constella Intelligence berichtet, dass diese Telegram-ID auch mit dem Benutzernamen „bu4vs“ und der russischen Telefonnummer 79127650004 verknüpft ist.
Über diese Telefonnummer kommt Constella zu mehreren Einträgen aus gehackten russischen Regierungsdatenbanken. Demnach ist sie einem 36-jährigen Alexander Andrejewitsch Japaew aus Ischewsk zugeordnet. Laut Constella wurde dieselbe Nummer auch verwendet, um auf der russischen Social-Media-Plattform Pikabu ein Konto mit dem Namen „4apai18“ anzulegen. Darüber hinaus soll Japaew sich auf verschiedenen Webseiten mit dem häufigen Nachnamen Iwanow oder mit „Chapaev“ registriert haben.
Auch in Foren tauchen ähnliche Alias-Namen auf. Eine Suche von Intel 471 nach Mitgliedern mit dem Spitznamen SantaMeurte brachte ein gleichnamiges Konto im russischen Hacker-Forum Codeby ans Licht, das 2020 angelegt wurde. Intel 471 zufolge registrierte sich dieser Nutzer dort ursprünglich mit dem wenig subtilen Namen „Alexandr 4apaev“.
Constella führt für Japaew regelmäßig die E-Mail-Adresse bu4vs@mail.ru auf. Epieos wiederum verknüpft diese Adresse mit einem LinkedIn-Konto von Alexander Yapaev. Dort bezeichnet er sich als Leiter des B2B-Marketings bei Uralenergo Udmurtia, einem der größten russischen Anbieter elektrotechnischer und lichttechnischer Produkte. Auf mehrere Anfragen reagierte Japaew nicht.
Der Quelltext weist zudem darauf hin, dass frühe Spuren auf einen damals noch wenig versierten Akteur hindeuten. So trat Hastalamuertes Telegram-Konto im Juni 2020 dem mehrmonatigen Trainingsprogramm @pntst bei, um den Umgang mit verbreiteten Werkzeugen für Penetrationstests zu lernen. Den dort dokumentierten Beiträgen zufolge hatte der Nutzer zu dieser Zeit noch Schwierigkeiten, diese Werkzeuge effektiv einzusetzen.