The Gentlemen रैनसमवेयर

द जेंटलमैन ऑपरेशन की जांच से पता चलता है कि वित्तीय रूप से प्रेरित यह खतरा समूह मूल रूप से एक सहयोगी के रूप में काम करता था, जो लॉकबिट, किलिन और मेडुसा सहित कई रैंसमवेयर-एज़-ए-सर्विस (आरएएएस) इकोसिस्टम द्वारा प्रदान किए गए बुनियादी ढांचे और संसाधनों का लाभ उठाते हुए दोहरी जबरन वसूली के हमले करता था।

इस ऑपरेशन पर कई शोधकर्ताओं द्वारा फैंटम मैंटिस नाम से नज़र रखी जा रही है और इसका नेतृत्व LARVA-368 नामक एक रूसी भाषी साइबर अपराधी कर रहा है। यह व्यक्ति hastalamuerte, ArmCorp, zeta88, nobody0 और santamuerte सहित कई ऑनलाइन उपनामों से जुड़ा हुआ है। मार्च 2025 से सक्रिय इस समूह ने सार्वजनिक रूप से 478 पीड़ितों की हत्याओं की जिम्मेदारी ली है।

खतरे के समूह का उदय

जुलाई 2025 में एक बड़ा बदलाव आया जब फैंटम मैंटिस, द जेंटलमैन में विकसित हुआ, जो एक स्वतंत्र साझेदारी कार्यक्रम है और अब बाहरी RaaS ऑपरेटरों पर निर्भर नहीं है। इस परिवर्तन के साथ ही रैंसमवेयर के विकास, टूल के रखरखाव और शोषण के बाद की गतिविधियों में सहायता के लिए कृत्रिम बुद्धिमत्ता का व्यापक उपयोग शुरू हुआ।

खुफिया जानकारी के आकलन से पता चलता है कि LARVA-368 पहले एम्बार्गो रैंसमवेयर समूह के अंतर्गत काम करता था, फिर आर्मकॉर्प ब्रांड के तहत एक अलग ऑपरेशन शुरू किया। चार महीने बाद, इस ऑपरेशन का नाम बदलकर द जेंटलमैन कर दिया गया।

इस बदलाव का समय LARVA-368 और Qilin रैंसमवेयर ऑपरेशन के बीच सार्वजनिक विवाद के साथ मेल खाता था। हमलावर ने Qilin पर धोखाधड़ी करने और लगभग 48,000 डॉलर की कमाई रोककर रखने का आरोप लगाया था।

भूमिगत समुदायों में अपनी बाजार उपस्थिति को मजबूत करने के लिए, फैंटम मैंटिस ने साइबर अपराध मंचों पर प्रीमियम सदस्यता में निवेश किया है। संचार और तकनीकी सहायता कार्यों का प्रबंधन मुख्य रूप से एक अलग रूसी भाषी व्यक्ति द्वारा किया जाता है जिसे द जेंटलमैन डेटा के नाम से जाना जाता है।

एक परिपक्व और तेजी से बढ़ता हुआ रैंसमवेयर इकोसिस्टम

सुरक्षा शोधकर्ता 'द जेंटलमैन' को एक अत्यधिक अनुकूलनीय और तेजी से विकसित होने वाला रैंसमवेयर ऑपरेशन बताते हैं जो पारंपरिक रैंसमवेयर तकनीकों को आधुनिक RaaS क्षमताओं के साथ जोड़ता है। इसके परिचालन मॉडल में दोहरी उगाही, क्रॉस-प्लेटफ़ॉर्म रैंसमवेयर वेरिएंट, लचीले प्रसार तंत्र और व्यापक सहयोगी समर्थन शामिल हैं।

यह समूह तेजी से रैंसमवेयर के खतरे के परिदृश्य में सबसे सक्रिय हमलावरों में से एक के रूप में उभरा है, जो अप्रैल 2026 के दौरान देखी गई सभी रैंसमवेयर गतिविधियों का लगभग 10% हिस्सा है। हमले के अभियान आम तौर पर उद्यम-केंद्रित घुसपैठ श्रृंखला का अनुसरण करते हैं जो कमजोर इंटरनेट-आधारित सेवाओं या समझौता किए गए क्रेडेंशियल्स के माध्यम से शुरू होती है।

विश्लेषण से यह भी पता चलता है कि ऑपरेटर घुसपैठ के दौरान अपनी रणनीति को गतिशील रूप से बदल सकते हैं। इन गतिविधियों में ग्रुप पॉलिसी ऑब्जेक्ट्स (जीपीओ) में हेरफेर करना, विशेषाधिकार प्राप्त खातों से समझौता करना और एंडपॉइंट सुरक्षा नियंत्रणों से बचने के लिए डिज़ाइन की गई अनुकूलित तकनीकों को तैनात करना शामिल है।

पीड़ितों के वितरण से पता चलता है कि यह घटना मुख्य रूप से अंतरराष्ट्रीय स्तर पर केंद्रित है। ज्ञात पीड़ितों में से केवल लगभग 13% ही संयुक्त राज्य अमेरिका में स्थित हैं, जबकि पीड़ितों की सबसे अधिक संख्या थाईलैंड, यूनाइटेड किंगडम, ब्राजील, जर्मनी और भारत में देखी गई है।

संबद्ध समर्थन और आपराधिक व्यावसायिक संचालन

द जेंटलमैन एक संरचित संबद्ध इकोसिस्टम को बनाए रखता है जिसे सीधे LARVA-368 द्वारा समर्थित किया जाता है। द जेंटलमैन आईएम प्लेटफॉर्म पर समर्पित खाते एन्क्रिप्शन प्रक्रियाओं और घुसपैठ से संबंधित चुनौतियों के लिए सहायता प्रदान करते हैं, जिसमें ब्रिंग योर ओन वल्नरेबल ड्राइवर (BYOVD) तकनीकों का उपयोग करने वाले EDR बाईपास टूल तक पहुंच शामिल है।

द जेंटलमैन और द जेंटलमैन डेटा दोनों के लिए सहायता सेवाएं टॉक्स, सिंपलेक्स चैट और रिकोशेट रिफ्रेश मैसेजिंग प्लेटफॉर्म के माध्यम से उपलब्ध हैं। संबद्ध पोर्टल तक पहुंच प्राप्त करने से पहले इच्छुक संबद्ध व्यक्तियों को कम से कम 1 जीबी चोरी किए गए पीड़ित डेटा जमा करना होगा। यह आवश्यकता शोधकर्ताओं और कानून प्रवर्तन एजेंसियों को संबद्ध व्यक्तियों के रूप में प्लेटफॉर्म में घुसपैठ करने से रोकने के लिए प्रतीत होती है।

एफिलिएट मैनेजमेंट पोर्टल उपयोगकर्ता प्रशासन, लक्ष्य कॉन्फ़िगरेशन और रैंसमवेयर परिनियोजन प्रबंधन को सक्षम बनाता है। प्रतिभागियों को आकर्षित करने के लिए, कंपनी एक आक्रामक राजस्व-साझाकरण संरचना को बढ़ावा देती है जिसके तहत 90% लाभ एफिलिएट्स को और 10% ऑपरेटर्स को आवंटित किया जाता है।

तकनीकी अवसंरचना और आक्रमण पद्धति

यह समूह विंडोज, लिनक्स, ESXi, विंडोज XP और बाद के सिस्टमों के साथ-साथ लॉजिकल वॉल्यूम मैनेजर (LVM) का उपयोग करने वाले वातावरणों को लक्षित करने के लिए डिज़ाइन किए गए पांच रैंसमवेयर वेरिएंट प्रदान करता है। प्रारंभिक एक्सेस ऑपरेशन आमतौर पर इंटरनेट से जुड़े बुनियादी ढांचे जैसे VPN उपकरण, फ़ायरवॉल और एज डिवाइसों पर केंद्रित होते हैं।

घुसपैठ के जीवनचक्र में आक्रामक उपकरणों और तकनीकों का एक व्यापक भंडार शामिल होता है:

• NetExec, RelayKing, TaskHound, PrivHound और CertiHound जैसी रेड-टीम यूटिलिटीज का उपयोग एक्टिव डायरेक्टरी की जासूसी, सर्टिफिकेट के दुरुपयोग, विशेषाधिकार बढ़ाने और नेटवर्क-शेयर की खोज के लिए किया जाता है। EDRStartupHinder, gfreeze, glinker और DumpBrowserSecrets जैसे अतिरिक्त टूल सुरक्षा से बचने और क्रेडेंशियल चोरी में मदद करते हैं, जबकि Velociraptor कमांड-एंड-कंट्रोल गतिविधियों में सहायक होता है।
• सुरक्षा उल्लंघन के बाद की कार्रवाइयों में अक्सर विंडोज सिस्टम, एप्लिकेशन और सुरक्षा इवेंट लॉग को साफ़ करना, माइक्रोसॉफ्ट डिफेंडर को अक्षम करना और पता लगाने की संभावनाओं को कम करने के लिए एंटीवायरस बहिष्करण बनाना शामिल होता है।

यह रैंसमवेयर X25519 कुंजी विनिमय और XChaCha20 सममित एन्क्रिप्शन को मिलाकर एक हाइब्रिड एन्क्रिप्शन मॉडल का उपयोग करता है। Storm-2697 नामक गतिविधि क्लस्टर पर नज़र रखने वाले शोधकर्ताओं ने पाया कि यह मैलवेयर Go भाषा में लिखा गया है और Garble का उपयोग करके इसे अस्पष्ट बनाया गया है।

'--spread' पैरामीटर के ज़रिए एक बेहद खतरनाक क्षमता सक्रिय हो जाती है, जो रैंसमवेयर को एक सिंगल-होस्ट एन्क्रिप्टर से बदलकर एक स्व-प्रसारित वर्म में बदल देती है, जो पहुँच योग्य नेटवर्क सिस्टमों में खुद को फैलाने में सक्षम है। '--wipe' तर्क के साथ निष्पादित होने पर, मैलवेयर एन्क्रिप्शन के बाद पुनर्प्राप्त किए जा सकने वाले अवशेषों को मिटाने के लिए अतिरिक्त कार्रवाई करता है।

जबरन वसूली की रणनीति और परिचालन चपलता

सबूतों से पता चलता है कि 'द जेंटलमैन' एक बहु-चैनल जबरन वसूली रणनीति का संचालन करता है जो रैंसमवेयर के इस्तेमाल से कहीं आगे तक फैली हुई है। पीड़ितों को भुगतान की संभावना बढ़ाने के लिए डिज़ाइन किए गए सीधे ईमेल संचार और टेलीफोन आधारित दबाव अभियानों का भी सामना करना पड़ सकता है।

समूह का विकास चक्र असाधारण रूप से उच्च स्तर की प्रतिक्रियाशीलता दर्शाता है। इसका एक उल्लेखनीय उदाहरण अप्रैल 2026 में देखने को मिला जब ऑपरेटरों ने उसी दिन एक पैच जारी किया जिस दिन एक डिक्रिप्टर सार्वजनिक रूप से उपलब्ध हुआ।

एन्क्रिप्शन लागू होने से पहले घुसपैठ आमतौर पर दो से छह सप्ताह तक पता नहीं चल पाती है। ऐसा लगता है कि वीएमवेयर इंफ्रास्ट्रक्चर चलाने वाले संगठन लक्षित प्रयासों का विशेष निशाना बन रहे हैं।

आंतरिक खुलासों से संगठनात्मक संरचना का खुलासा हुआ

मई 2026 में समूह द्वारा इस्तेमाल किए जा रहे रॉकेट.चैट के आंतरिक डेटाबेस के लीक होने के बाद खुफिया जानकारी में एक महत्वपूर्ण सफलता मिली। लीक हुए डेटाबेस में नवंबर 2025 से अप्रैल 2026 के अंत तक आदान-प्रदान किए गए 3,366 संदेश शामिल थे, जिनसे ऑपरेशन की आंतरिक संरचना और कार्यप्रणाली के बारे में बहुमूल्य जानकारी प्राप्त हुई।

संचार से सदस्यों के बीच जिम्मेदारियों का स्पष्ट विभाजन सामने आया और इसमें VMware Aria Operations, Fortinet, Cisco और Microsoft की तकनीकों को प्रभावित करने वाली कमजोरियों के उपयोग का दस्तावेजीकरण किया गया। रिकॉर्ड से एक सुव्यवस्थित आपराधिक गिरोह का पता चलता है जिसमें हमले की विभिन्न गतिविधियों के लिए विशेष भूमिकाएँ निभाई गई थीं।

लीक हुई जानकारी से CVE-2024-55591, CVE-2025-32433 और CVE-2025-33073 सहित उभरती कमजोरियों की सक्रिय निगरानी और मूल्यांकन का भी पता चला। इन कमजोरियों को बैकअप सिस्टम के दुरुपयोग, मैनेजमेंट कंट्रोलर से समझौता और NTLM रिले तकनीकों से जुड़े अतिरिक्त आक्रमण मार्गों के साथ मिलाकर एक अत्यधिक लचीला शोषण ढांचा तैयार किया गया था।

एक संपूर्ण ऑपरेटर टूलकिट का प्रदर्शन

मार्च 2026 में, साइबर सुरक्षा शोधकर्ताओं ने प्रोटॉन66 बुलेटप्रूफ होस्टिंग सेवा पर होस्ट की गई एक असुरक्षित निर्देशिका की पहचान की। इस निर्देशिका में द जेंटलमैन RaaS से संबद्ध एक कंपनी से संबंधित 126 फाइलें थीं, और इसने प्रभावी रूप से एक संपूर्ण रैंसमवेयर ऑपरेटर टूलकिट को उजागर कर दिया।

लीक हुए टूलकिट में हमले के जीवनचक्र के लगभग हर चरण को शामिल किया गया था:

• टोही और पीड़ित प्रोफाइलिंग
• विशेषाधिकार वृद्धि

• रक्षा से बचना

• पहचान पत्र की चोरी

• पार्श्व गति

• निरंतरता तंत्र

• एन्क्रिप्शन से पहले की तैयारी संबंधी गतिविधियाँ

टूलकिट की व्यापकता ने इकोसिस्टम की परिचालन परिपक्वता को उजागर किया और सहयोगियों के लिए उपलब्ध संसाधनों की एक दुर्लभ झलक प्रदान की।

ब्रांड के पीछे छिपा खतरा

LARVA-368 कम से कम 2020 से जबरन वसूली पर केंद्रित साइबर आपराधिक गतिविधियों में शामिल रहा है। कई रैंसमवेयर ऑपरेशनों के साथ सहयोग के माध्यम से प्राप्त अनुभव ने द जेंटलमैन को एक महत्वपूर्ण स्वतंत्र RaaS उद्यम के रूप में स्थापित करने और उसका विस्तार करने के लिए आवश्यक तकनीकी विशेषज्ञता, परिचालन ज्ञान और आपराधिक नेटवर्क प्रदान किया है।

इस ऑपरेशन की तकनीकी दक्षता, सहयोगी-केंद्रित व्यावसायिक प्रथाओं, तीव्र विकास चक्रों और आक्रामक जबरन वसूली की रणनीति के संयोजन ने 'द जेंटलमैन' को दुनिया भर के संगठनों के सामने आने वाले सबसे प्रमुख रैंसमवेयर खतरों में से एक बना दिया है।