The Gentlemen Ransomware
Les investigacions sobre l'operació The Gentlemen revelen que el grup d'amenaces amb motivació financera funcionava originalment com una filial que duia a terme atacs de doble extorsió mentre aprofitava la infraestructura i els recursos proporcionats per múltiples ecosistemes de ransomware com a servei (RaaS), com ara LockBit, Qilin i Medusa.
L'operació està sent rastrejada per diversos investigadors sota el nom de Phantom Mantis i està dirigida per un ciberdelinqüent de parla russa identificat com a LARVA-368. Aquest individu ha estat associat amb múltiples àlies en línia, com ara hastalamuerte, ArmCorp, zeta88, nobody0 i santamuerte. Actiu des del març del 2025, el grup ha reivindicat públicament la responsabilitat de 478 víctimes.
Taula de continguts
L’aparició del grup d’amenaces
Una transformació important va tenir lloc el juliol de 2025 quan Phantom Mantis va evolucionar a The Gentlemen, un programa de col·laboració independent que ja no depenia d'operadors RaaS externs. La transició va anar acompanyada d'un ús extensiu de la intel·ligència artificial per donar suport al desenvolupament de ransomware, el manteniment d'eines i les activitats posteriors a l'explotació.
Les avaluacions d'intel·ligència d'amenaces indiquen que LARVA-368 operava anteriorment dins del grup de ransomware Embargo abans de llançar una operació independent sota la marca ArmCorp. Quatre mesos més tard, l'operació va ser rebatejada com a The Gentlemen.
El moment d'aquesta transició va estar estretament relacionat amb una disputa pública entre LARVA-368 i l'operació de ransomware Qilin. L'actor de l'amenaça va acusar Qilin de dur a terme una estafa de sortida i retenir aproximadament 48.000 dòlars en guanys.
Per enfortir la presència al mercat dins de les comunitats clandestines, Phantom Mantis ha invertit en membres premium en fòrums de ciberdelinqüències. Les funcions de comunicació i suport tècnic són gestionades en gran part per una persona independent de parla russa coneguda com a The Gentlemen Data.
Un ecosistema de ransomware madur i en ràpid creixement
Els investigadors de seguretat caracteritzen The Gentlemen com una operació de ransomware altament adaptativa i en ràpida evolució que combina tècniques tradicionals de ransomware amb capacitats RaaS modernes. El seu model operatiu incorpora doble extorsió, variants de ransomware multiplataforma, mecanismes de propagació flexibles i un ampli suport d'afiliació.
El grup ha emergit ràpidament com un dels actors de ransomware més actius en el panorama de les amenaces, representant aproximadament el 10% de tota l'activitat de ransomware observada durant l'abril de 2026. Les campanyes d'atac solen seguir una cadena d'intrusions centrada en l'empresa que comença a través de serveis vulnerables orientats a Internet o credencials compromeses.
L'anàlisi suggereix, a més, que els operadors poden modificar dinàmicament les tàctiques durant les intrusions. Les activitats han inclòs la manipulació d'objectes de política de grup (GPO), la comprometre comptes privilegiats i la implementació de tècniques personalitzades dissenyades per evadir els controls de seguretat dels endpoints.
La distribució de les víctimes indica un enfocament predominantment internacional. Només al voltant del 13% de les víctimes conegudes es troben als Estats Units, mentre que les concentracions més altes de víctimes s'han observat a Tailàndia, el Regne Unit, el Brasil, Alemanya i l'Índia.
Suport d’afiliació i operacions comercials criminals
The Gentlemen manté un ecosistema d'afiliats estructurat amb el suport directe de LARVA-368. Els comptes dedicats a la plataforma IM de The Gentlemen proporcionen assistència per a processos de xifratge i reptes relacionats amb intrusions, inclòs l'accés a eines d'evitació EDR que aprofiten les tècniques Bring Your Own Vulnerable Driver (BYOVD).
Els serveis d'assistència tant per a The Gentlemen com per a The Gentlemen Data estan disponibles a través de les plataformes de missatgeria Tox, SimpleX Chat i Ricochet Refresh. Els possibles afiliats han d'enviar almenys 1 GB de dades de víctimes robades abans d'obtenir accés al portal d'afiliats. Aquest requisit sembla tenir com a objectiu evitar que els investigadors i les forces de l'ordre s'infiltrin a la plataforma fent-se passar per afiliats.
El portal de gestió d'afiliats permet l'administració d'usuaris, la configuració d'objectius i la gestió del desplegament de ransomware. Per atraure participants, l'operació promou una estructura agressiva de repartiment d'ingressos que assigna el 90% dels beneficis als afiliats i el 10% als operadors.
Infraestructura tècnica i metodologia d’atac
El grup ofereix cinc variants de ransomware dissenyades per atacar sistemes Windows, Linux, ESXi, Windows XP i posteriors, així com entorns que utilitzen Logical Volume Manager (LVM). Les operacions d'accés inicial se solen centrar en infraestructures orientades a Internet, com ara dispositius VPN, tallafocs i dispositius perimetrals.
El cicle de vida d'una intrusió incorpora un ampli arsenal d'eines i tècniques ofensives:
- Les utilitats del Red-team com ara NetExec, RelayKing, TaskHound, PrivHound i CertiHound s'utilitzen per al reconeixement de l'Active Directory, l'abús de certificats, l'escalada de privilegis i el descobriment de recursos compartits de xarxa. Eines addicionals com ara EDRStartupHinder, gfreeze, glinker i DumpBrowserSecrets faciliten l'evasió de la defensa i el robatori de credencials, mentre que Velociraptor admet activitats de comandament i control.
- Les accions posteriors a un compromís inclouen sovint esborrar els registres d'esdeveniments del sistema, de l'aplicació i de seguretat de Windows, desactivar el Microsoft Defender i crear exclusions d'antivirus per reduir les oportunitats de detecció.
El ransomware utilitza un model de xifratge híbrid que combina l'intercanvi de claus X25519 amb el xifratge simètric XChaCha20. Els investigadors que van rastrejar el clúster d'activitat com a Storm-2697 van determinar que el programari maliciós està escrit en Go i ofuscat amb Garble.
Una capacitat particularment perillosa s'habilita mitjançant el paràmetre '--spread', que converteix el ransomware d'un xifratge d'un sol host en un cuc autopropagant capaç de distribuir-se a través de sistemes de xarxa accessibles. Quan s'executa amb l'argument '--wipe', el programari maliciós realitza accions addicionals destinades a eliminar artefactes recuperables després del xifratge.
Tàctiques d’extorsió i agilitat operativa
L'evidència suggereix que The Gentlemen opera una estratègia d'extorsió multicanal que va més enllà del desplegament de ransomware. Les víctimes també poden afrontar comunicacions directes per correu electrònic i campanyes de pressió telefòniques dissenyades per augmentar la probabilitat de pagament.
El cicle de desenvolupament del grup demostra un nivell de resposta inusualment alt. Un exemple notable va ocórrer l'abril de 2026 quan els operadors van llançar un pegat el mateix dia que un desxifrador es va fer públic.
Les intrusions normalment no es detecten durant períodes que van de dues a sis setmanes abans que s'executi el xifratge. Les organitzacions que operen infraestructura VMware semblen ser un focus particular dels esforços de selecció.
Les filtracions internes revelen l’estructura organitzativa
El maig de 2026 es va produir un avenç significatiu en intel·ligència després de l'exposició d'una base de dades interna de Rocket.Chat utilitzada pel grup. La filtració contenia 3.366 missatges intercanviats entre novembre de 2025 i finals d'abril de 2026, cosa que va proporcionar informació valuosa sobre l'estructura interna i els fluxos de treball de l'operació.
Les comunicacions van revelar una clara divisió de responsabilitats entre els membres i van documentar l'ús de vulnerabilitats que afectaven les tecnologies de VMware Aria Operations, Fortinet, Cisco i Microsoft. Els registres retrataven una empresa criminal ben organitzada amb funcions especialitzades que donaven suport a diferents fases de les operacions d'atac.
La informació filtrada també mostrava una monitorització i avaluació activa de vulnerabilitats emergents, com ara CVE-2024-55591, CVE-2025-32433 i CVE-2025-33073. Aquestes vulnerabilitats es van combinar amb vies d'atac addicionals que incloïen abús del sistema de còpia de seguretat, compromís del controlador de gestió i tècniques de retransmissió NTLM, creant un marc d'explotació altament flexible.
Exposició d’un conjunt complet d’eines per a operadors
El març del 2026, investigadors de ciberseguretat van identificar un directori exposat allotjat al servei d'allotjament bulletproof Proton66. El directori contenia 126 fitxers atribuïts a una filial de The Gentlemen RaaS i va exposar de fet un conjunt complet d'eines d'operadors de ransomware.
El conjunt d'eines filtrat cobria gairebé totes les etapes del cicle de vida de l'atac:
- Reconeixement i perfilació de víctimes
- Escalada de privilegis
- Evasió defensiva
- Robatori de credencials
- Moviment lateral
- Mecanismes de persistència
- Activitats de preparació prèvia al xifratge
L'amplitud del conjunt d'eines va destacar la maduresa operativa de l'ecosistema i va proporcionar una visió excepcional dels recursos disponibles per als afiliats.
L’amenaça darrere de la marca
LARVA-368 ha estat involucrada en activitats ciberdelinqüents centrades en l'extorsió des d'almenys el 2020. L'experiència adquirida a través de col·laboracions amb múltiples operacions de ransomware sembla haver proporcionat l'experiència tècnica, el coneixement operatiu i la xarxa criminal necessaris per establir i escalar The Gentlemen fins a convertir-la en una empresa RaaS independent i significativa.
La combinació de sofisticació tècnica, pràctiques comercials centrades en els afiliats, cicles de desenvolupament ràpids i tàctiques d'extorsió agressives de l'operació ha situat The Gentlemen entre les amenaces de ransomware més importants a les quals s'enfronten actualment les organitzacions de tot el món.
