The Gentlemen Ransomware
تحقیقات در مورد عملیات The Gentlemen نشان میدهد که این گروه تهدید با انگیزه مالی در ابتدا به عنوان یک شرکت وابسته، حملات اخاذی مضاعف را انجام میداد و در عین حال از زیرساختها و منابع ارائه شده توسط چندین اکوسیستم Ransomware-as-a-Service (RaaS)، از جمله LockBit، Qilin و Medusa، استفاده میکرد.
این عملیات توسط چندین محقق تحت نام Phantom Mantis ردیابی میشود و توسط یک مجرم سایبری روس زبان با نام LARVA-368 رهبری میشود. این فرد با چندین نام مستعار آنلاین از جمله hastalamuerte، ArmCorp، zeta88، nobody0 و santamuerte مرتبط بوده است. این گروه که از مارس 2025 فعال بوده، مسئولیت 478 قربانی را به طور علنی بر عهده گرفته است.
فهرست مطالب
ظهور گروه تهدید
در ژوئیه ۲۰۲۵، زمانی که Phantom Mantis به The Gentlemen، یک برنامه مشارکتی مستقل که دیگر به اپراتورهای خارجی RaaS وابسته نبود، تبدیل شد، تحول بزرگی رخ داد. این گذار با استفاده گسترده از هوش مصنوعی برای پشتیبانی از توسعه باجافزار، نگهداری ابزار و فعالیتهای پس از بهرهبرداری همراه بود.
ارزیابیهای اطلاعات تهدید نشان میدهد که LARVA-368 پیش از راهاندازی عملیاتی جداگانه تحت برند ArmCorp، در گروه باجافزار Embargo فعالیت میکرد. چهار ماه بعد، این عملیات به The Gentlemen تغییر نام داد.
زمان این انتقال با اختلاف عمومی بین LARVA-368 و عملیات باجافزار Qilin مطابقت داشت. این عامل تهدید، Qilin را به انجام یک کلاهبرداری خروج و توقیف تقریباً ۴۸۰۰۰ دلار از درآمدها متهم کرد.
برای تقویت حضور بازار در جوامع زیرزمینی، فانتوم مانتیس در انجمنهای جرایم سایبری، عضویتهای ویژه (پریمیوم) سرمایهگذاری کرده است. ارتباطات و عملکردهای پشتیبانی فنی عمدتاً توسط یک شخصیت جداگانه روسی زبان به نام «جنتلمن دیتا» مدیریت میشود.
یک اکوسیستم باجافزاری بالغ و به سرعت در حال رشد
محققان امنیتی، The Gentlemen را به عنوان یک عملیات باجافزاری بسیار سازگار و با تکامل سریع توصیف میکنند که تکنیکهای باجافزاری سنتی را با قابلیتهای مدرن RaaS ترکیب میکند. مدل عملیاتی آن شامل اخاذی دوگانه، انواع باجافزارهای چند پلتفرمی، مکانیسمهای انتشار انعطافپذیر و پشتیبانی گسترده از شرکتهای وابسته است.
این گروه به سرعت به عنوان یکی از فعالترین بازیگران باجافزار در عرصه تهدید ظهور کرده است و تقریباً 10٪ از کل فعالیتهای باجافزاری مشاهده شده در آوریل 2026 را به خود اختصاص داده است. کمپینهای حمله معمولاً از یک زنجیره نفوذ متمرکز بر سازمان پیروی میکنند که از طریق سرویسهای آسیبپذیر اینترنتی یا اعتبارنامههای به خطر افتاده آغاز میشود.
تجزیه و تحلیل بیشتر نشان میدهد که اپراتورها میتوانند تاکتیکها را در طول نفوذها به صورت پویا تغییر دهند. این فعالیتها شامل دستکاری اشیاء سیاست گروهی (GPOs)، به خطر انداختن حسابهای کاربری ممتاز و بهکارگیری تکنیکهای سفارشی طراحیشده برای فرار از کنترلهای امنیتی نقاط پایانی بوده است.
توزیع قربانیان نشان دهنده تمرکز عمدتاً بینالمللی است. تنها حدود ۱۳٪ از قربانیان شناخته شده در ایالات متحده قرار دارند، در حالی که بیشترین تمرکز قربانیان در تایلند، انگلستان، برزیل، آلمان و هند مشاهده شده است.
پشتیبانی وابسته و عملیات تجاری مجرمانه
The Gentlemen یک اکوسیستم وابسته ساختاریافته دارد که مستقیماً توسط LARVA-368 پشتیبانی میشود. حسابهای اختصاصی در پلتفرم پیامرسان The Gentlemen، در فرآیندهای رمزگذاری و چالشهای مربوط به نفوذ، از جمله دسترسی به ابزارهای دور زدن EDR که از تکنیکهای Bring Your Own Vulnerable Driver (BYOVD) استفاده میکنند، به شما کمک میکنند.
خدمات پشتیبانی برای هر دو گروه The Gentlemen و The Gentlemen Data از طریق پلتفرمهای پیامرسان Tox، SimpleX Chat و Ricochet Refresh در دسترس است. شرکای احتمالی باید حداقل ۱ گیگابایت از دادههای قربانیان دزدیده شده را قبل از دسترسی به پورتال همکاری در فروش ارائه دهند. به نظر میرسد این الزام برای جلوگیری از نفوذ محققان و سازمانهای اجرای قانون به پلتفرم با معرفی خود به عنوان شریک در فروش در نظر گرفته شده است.
پورتال مدیریت همکاری در فروش، امکان مدیریت کاربر، پیکربندی هدف و مدیریت استقرار باجافزار را فراهم میکند. برای جذب شرکتکنندگان، این عملیات یک ساختار تقسیم درآمد تهاجمی را ترویج میدهد که ۹۰٪ سود را به شرکتهای وابسته و ۱۰٪ را به اپراتورها اختصاص میدهد.
زیرساخت فنی و روششناسی حمله
این گروه پنج نوع باجافزار ارائه میدهد که برای هدف قرار دادن سیستمهای ویندوز، لینوکس، ESXi، ویندوز XP و سیستمهای جدیدتر و همچنین محیطهایی که از Logical Volume Manager (LVM) استفاده میکنند، طراحی شدهاند. عملیات دسترسی اولیه معمولاً بر زیرساختهای اینترنتی مانند دستگاههای VPN، فایروالها و دستگاههای لبهای متمرکز است.
چرخه عمر نفوذ شامل مجموعهای گسترده از ابزارها و تکنیکهای تهاجمی است:
- ابزارهای تیم قرمز مانند NetExec، RelayKing، TaskHound، PrivHound و CertiHound برای شناسایی Active Directory، سوءاستفاده از گواهینامه، افزایش امتیاز و کشف اشتراکگذاری شبکه استفاده میشوند. ابزارهای اضافی شامل EDRStartupHinder، gfreeze، glinker و DumpBrowserSecrets فرار از دفاع و سرقت اعتبارنامه را تسهیل میکنند، در حالی که Velociraptor از فعالیتهای فرماندهی و کنترل پشتیبانی میکند.
- اقدامات پس از نفوذ اغلب شامل پاک کردن گزارشهای رویدادهای سیستمی، برنامههای کاربردی و امنیتی ویندوز، غیرفعال کردن Microsoft Defender و ایجاد استثنائات آنتیویروس برای کاهش فرصتهای شناسایی است.
این باجافزار از یک مدل رمزگذاری ترکیبی استفاده میکند که تبادل کلید X25519 را با رمزگذاری متقارن XChaCha20 ترکیب میکند. محققانی که خوشه فعالیت را مانند Storm-2697 ردیابی کردند، مشخص کردند که این بدافزار به زبان Go نوشته شده و با استفاده از Garble مبهمسازی شده است.
یک قابلیت بسیار خطرناک از طریق پارامتر «--spread» فعال میشود که باجافزار را از یک رمزگذار تک میزبانه به یک کرم خودانتشار تبدیل میکند که قادر به توزیع خود در سیستمهای شبکه قابل دسترسی است. هنگامی که با آرگومان «--wipe» اجرا میشود، بدافزار اقدامات اضافی را برای از بین بردن مصنوعات قابل بازیابی پس از رمزگذاری انجام میدهد.
تاکتیکهای اخاذی و چابکی عملیاتی
شواهد نشان میدهد که گروه The Gentlemen یک استراتژی اخاذی چند کاناله را اجرا میکند که فراتر از استقرار باجافزار است. قربانیان همچنین ممکن است با ارتباطات ایمیلی مستقیم و کمپینهای فشار تلفنی که برای افزایش احتمال پرداخت طراحی شدهاند، مواجه شوند.
چرخه توسعه این گروه، سطح پاسخگویی غیرمعمول و بالایی را نشان میدهد. یک نمونه قابل توجه در آوریل ۲۰۲۶ رخ داد، زمانی که اپراتورها در همان روزی که یک رمزگشا به صورت عمومی در دسترس قرار گرفت، وصلهای منتشر کردند.
نفوذها معمولاً برای دورههایی از دو تا شش هفته قبل از اجرای رمزگذاری، ناشناخته باقی میمانند. به نظر میرسد سازمانهایی که زیرساخت VMware را اداره میکنند، تمرکز ویژهای بر تلاشهای هدفمند دارند.
نشت اطلاعات داخلی، ساختار سازمانی را آشکار میکند
در ماه مه ۲۰۲۶، پس از افشای یک پایگاه داده داخلی Rocket.Chat که توسط این گروه استفاده میشد، یک پیشرفت اطلاعاتی قابل توجه رخ داد. این افشاگری شامل ۳۳۶۶ پیام رد و بدل شده بین نوامبر ۲۰۲۵ و اواخر آوریل ۲۰۲۶ بود که بینش ارزشمندی در مورد ساختار داخلی و گردش کار این عملیات ارائه میداد.
این ارتباطات، تقسیم واضح مسئولیتها بین اعضا را نشان داد و استفاده از آسیبپذیریهایی را که بر فناوریهای VMware Aria Operations، Fortinet، Cisco و Microsoft تأثیر میگذارند، مستند کرد. این سوابق، یک سازمان جنایی سازمانیافته با نقشهای تخصصی را که از مراحل مختلف عملیات حمله پشتیبانی میکردند، به تصویر کشید.
اطلاعات فاششده همچنین نظارت و ارزیابی فعال از آسیبپذیریهای نوظهور، از جمله CVE-2024-55591، CVE-2025-32433 و CVE-2025-33073 را نشان داد. این سوءاستفادهها با مسیرهای حمله اضافی شامل سوءاستفاده از سیستم پشتیبان، نفوذ به کنترلکننده مدیریت و تکنیکهای رله NTLM ترکیب شده و یک چارچوب بهرهبرداری بسیار انعطافپذیر ایجاد کردهاند.
ارائه یک جعبه ابزار کامل اپراتوری
در مارس ۲۰۲۶، محققان امنیت سایبری یک دایرکتوری افشا شده که در سرویس میزبانی ضدگلوله Proton66 میزبانی میشد را شناسایی کردند. این دایرکتوری شامل ۱۲۶ فایل منتسب به یکی از شرکتهای وابسته به The Gentlemen RaaS بود و عملاً یک جعبه ابزار کامل اپراتور باجافزار را افشا میکرد.
جعبه ابزار فاششده تقریباً تمام مراحل چرخه عمر حمله را پوشش میداد:
- شناسایی و شناسایی قربانیان
- افزایش امتیاز
- فرار از دفاع
- سرقت اعتبارنامه
- حرکت جانبی
- مکانیسمهای پایداری
- فعالیتهای آمادهسازی پیش از رمزگذاری
وسعت این ابزار، بلوغ عملیاتی اکوسیستم را برجسته کرد و نگاهی اجمالی به منابع موجود برای شرکتهای وابسته ارائه داد.
تهدید پشت برند
LARVA-368 حداقل از سال ۲۰۲۰ درگیر فعالیتهای مجرمانه سایبری با محوریت اخاذی بوده است. به نظر میرسد تجربه کسب شده از طریق همکاری با چندین عملیات باجافزاری، تخصص فنی، دانش عملیاتی و شبکه مجرمانه لازم برای تأسیس و گسترش The Gentlemen به یک شرکت RaaS مستقل و قابل توجه را فراهم کرده است.
ترکیبی از پیچیدگی فنی، شیوههای تجاری متمرکز بر همکاری در فروش، چرخههای توسعه سریع و تاکتیکهای اخاذی تهاجمی، گروه The Gentlemen را در میان برجستهترین تهدیدات باجافزاری که در حال حاضر سازمانها در سراسر جهان با آن مواجه هستند، قرار داده است.
