The Gentlemen zsarolóvírusa
A The Gentlemen művelettel kapcsolatos vizsgálatok feltárták, hogy a pénzügyileg motivált fenyegető csoport eredetileg leányvállalatként működött, és kettős zsarolási támadásokat hajtott végre, kihasználva a Ransomware-as-a-Service (RaaS) ökoszisztémák, köztük a LockBit, a Qilin és a Medusa által biztosított infrastruktúrát és erőforrásokat.
A Phantom Mantis néven több kutató által is nyomon követett műveletet egy oroszul beszélő kiberbűnöző vezeti, akit LARVA-368-ként azonosítottak. Ez a személy több online álnévhez is köthető, többek között a hastalamuerte, ArmCorp, zeta88, nobody0 és santamuerte. A 2025 márciusa óta aktív csoport nyilvánosan 478 áldozatért vállalta a felelősséget.
Tartalomjegyzék
A fenyegetőcsoport megjelenése
Jelentős átalakulás történt 2025 júliusában, amikor a Phantom Mantis The Gentlemenné fejlődött, egy független partnerségi programmá, amely már nem támaszkodik külső RaaS-üzemeltetőkre. Az átmenetet a mesterséges intelligencia széles körű használata kísérte a zsarolóvírusok fejlesztésének, az eszközök karbantartásának és a támadások utáni tevékenységek támogatására.
A fenyegetésfelderítési felmérések azt mutatják, hogy a LARVA-368 korábban az Embargo zsarolóvírus-csoporton belül működött, mielőtt különálló műveletet indított volna az ArmCorp márkanév alatt. Négy hónappal később a műveletet The Gentlemenre nevezték át.
Az átmenet időzítése szorosan összefüggött a LARVA-368 és a Qilin zsarolóvírus-művelet közötti nyilvános vitával. A fenyegető szereplő azzal vádolta a Qilint, hogy kilépési csalást követett el, és körülbelül 48 000 dollár bevételt tartott vissza.
A földalatti közösségekben való piaci jelenlétének megerősítése érdekében a Phantom Mantis prémium tagságokba fektetett be kiberbűnözői fórumokon. A kommunikációs és technikai támogatási funkciókat nagyrészt egy különálló, oroszul beszélő személyiség, a The Gentlemen Data kezeli.
Egy érett és gyorsan növekvő zsarolóvírus-ökoszisztéma
A biztonsági kutatók a The Gentlemen-t egy rendkívül adaptív és gyorsan fejlődő zsarolóvírus-műveletként jellemzik, amely a hagyományos zsarolóvírus-technikákat modern RaaS-képességekkel ötvözi. Működési modellje kettős zsarolást, platformfüggetlen zsarolóvírus-variánsokat, rugalmas terjedési mechanizmusokat és kiterjedt affiliate-támogatást foglal magában.
A csoport gyorsan a fenyegetési környezet egyik legaktívabb zsarolóvírus-üzemeltetőjévé vált, a 2026 áprilisában megfigyelt összes zsarolóvírus-tevékenység körülbelül 10%-át ők tették ki. A támadási kampányok jellemzően egy vállalati fókuszú behatolási láncot követnek, amely sebezhető internetkapcsolattal rendelkező szolgáltatásokon vagy feltört hitelesítő adatokon keresztül kezdődik.
Az elemzések azt is sugallják, hogy az operátorok dinamikusan módosíthatják a taktikákat behatolások során. A tevékenységek magukban foglalták a csoportházirend-objektumok (GPO-k) manipulálását, a privilegizált fiókok feltörését és a végpontbiztonsági ellenőrzések megkerülésére tervezett testreszabott technikák alkalmazását.
Az áldozatok megoszlása túlnyomórészt nemzetközi fókuszt mutat. Az ismert áldozatoknak csak mintegy 13%-a található az Egyesült Államokban, míg a legmagasabb áldozati koncentrációkat Thaiföldön, az Egyesült Királyságban, Brazíliában, Németországban és Indiában figyelték meg.
Partneri támogatás és bűnügyi üzleti műveletek
A The Gentlemen egy strukturált affiliate ökoszisztémát tart fenn, amelyet közvetlenül a LARVA-368 támogat. A The Gentlemen IM platformján dedikált fiókok segítséget nyújtanak a titkosítási folyamatokhoz és a behatolással kapcsolatos kihívásokhoz, beleértve az EDR megkerülő eszközökhöz való hozzáférést, amelyek a Bring Your Own Vulnerable Driver (BYOVD) technikákat alkalmazzák.
A The Gentlemen és a The Gentlemen Data támogatási szolgáltatásai a Tox, a SimpleX Chat és a Ricochet Refresh üzenetküldő platformokon keresztül érhetők el. A leendő partnereknek legalább 1 GB lopott áldozati adatot kell benyújtaniuk, mielőtt hozzáférnének a partnerportálhoz. Úgy tűnik, ez a követelmény azt hivatott megakadályozni, hogy a kutatók és a bűnüldöző szervek partnernek kiadva magukat beszivárogjanak a platformra.
A partnerkezelő portál lehetővé teszi a felhasználók adminisztrációját, a célpontok konfigurálását és a zsarolóvírusok telepítésének kezelését. A résztvevők vonzása érdekében a művelet egy agresszív bevételmegosztási struktúrát alkalmaz, amely a nyereség 90%-át a partnereknek, 10%-át pedig az üzemeltetőknek osztja ki.
Műszaki infrastruktúra és támadási módszertan
A csoport öt zsarolóvírus-variánst kínál, amelyek Windows, Linux, ESXi, Windows XP és újabb rendszereket, valamint Logical Volume Manager (LVM) környezeteket céloznak meg. A kezdeti hozzáférési műveletek általában az internetre irányuló infrastruktúrára, például VPN-készülékekre, tűzfalakra és peremhálózati eszközökre összpontosítanak.
A behatolás életciklusa a támadó eszközök és technikák széles arzenálját foglalja magában:
- A Red Team segédprogramjai, mint például a NetExec, a RelayKing, a TaskHound, a PrivHound és a CertiHound, az Active Directory felderítésére, a tanúsítványokkal való visszaélésre, a jogosultságok eszkalálására és a hálózati megosztások felderítésére szolgálnak. További eszközök, mint például az EDRStartupHinder, a gfreeze, a glinker és a DumpBrowserSecrets, elősegítik a védelmi megkerülést és a hitelesítő adatok ellopását, míg a Velociraptor a parancs- és vezérlési tevékenységeket támogatja.
- A kompromittálás utáni műveletek gyakran magukban foglalják a Windows rendszer-, alkalmazás- és biztonsági eseménynaplók törlését, a Microsoft Defender letiltását, valamint vírusvédelmi kizárások létrehozását az észlelési lehetőségek csökkentése érdekében.
A zsarolóvírus hibrid titkosítási modellt alkalmaz, amely az X25519 kulcscserét az XChaCha20 szimmetrikus titkosítással ötvözi. A Storm-2697 aktivitási klasztert követő kutatók megállapították, hogy a kártevő Go nyelven íródott, és Garble segítségével obfuszkált.
Egy különösen veszélyes képességet a „--spread” paraméter tesz elérhetővé, amely az egyetlen gépen titkosító zsarolóvírust önmagát terjedő féreggé alakítja, amely képes magát elérhető hálózati rendszereken keresztül elterjeszteni. Amikor a „--wipe” argumentummal futtatják, a rosszindulatú program további műveleteket hajt végre, amelyek célja a titkosítás után helyreállítható elemek eltávolítása.
Zsarolási taktikák és operatív agilitás
A bizonyítékok arra utalnak, hogy a The Gentlemen többcsatornás zsarolási stratégiát alkalmaz, amely túlmutat a zsarolóvírusok telepítésén. Az áldozatok közvetlen e-mailes kommunikációval és telefonos nyomásgyakorló kampányokkal is szembesülhetnek, amelyek célja a fizetés valószínűségének növelése.
A csoport fejlesztési ciklusa szokatlanul magas szintű reagálóképességet mutat. Egy figyelemre méltó példa erre 2026 áprilisában, amikor a szolgáltatók ugyanazon a napon adtak ki egy javítást, amikor egy dekódoló nyilvánosan elérhetővé vált.
A behatolások jellemzően két-hat hétig észrevétlenek maradnak, mielőtt a titkosítás végrehajtásra kerülne. Úgy tűnik, hogy a VMware infrastruktúrát üzemeltető szervezetek különösen a célzott támadások célpontjai.
Belső szivárgások feltárják a szervezeti struktúrát
Jelentős hírszerzési áttörés történt 2026 májusában, miután nyilvánosságra került a csoport által használt belső Rocket.Chat adatbázis. A kiszivárgott információ 3366 üzenetet tartalmazott, amelyeket 2025 novembere és 2026 április vége között váltottak, és értékes betekintést nyújtott a művelet belső struktúrájába és munkafolyamataiba.
A kommunikáció világos felelősségmegosztást tárt fel a tagok között, és dokumentálta a VMware Aria Operations, a Fortinet, a Cisco és a Microsoft technológiákat érintő sebezhetőségek kihasználását. A feljegyzések egy jól szervezett bűnözői vállalkozást mutattak be, amely speciális szerepköröket látott el a támadási műveletek különböző fázisainak támogatásában.
A kiszivárgott információk a felmerülő sebezhetőségek, többek között a CVE-2024-55591, a CVE-2025-32433 és a CVE-2025-33073 sérülékenységek aktív figyeléséről és értékeléséről is beszámoltak. Ezeket a kihasználásokat további támadási útvonalakkal kombinálták, amelyek magukban foglalták a biztonsági mentési rendszerrel való visszaélést, a felügyeleti vezérlő kompromittálását és az NTLM továbbítási technikákat, így egy rendkívül rugalmas kihasználási keretrendszert hoztak létre.
Teljes kezelői eszközkészlet bemutatása
2026 márciusában kiberbiztonsági kutatók azonosítottak egy kiszivárgott könyvtárat a Proton66 bulletproof tárhelyszolgáltatáson. A könyvtár 126, a The Gentlemen RaaS egyik partneréhez tartozó fájlt tartalmazott, és gyakorlatilag egy teljes zsarolóvírus-üzemeltetői eszközkészletet fedett fel.
A kiszivárgott eszközkészlet a támadási életciklus szinte minden szakaszát lefedte:
- Felderítés és áldozatprofilozás
- Privilégiumok eszkalációja
- Védelmi kibúvó
- Hitelesítő adatok ellopása
- Oldalirányú mozgás
- Perzisztencia mechanizmusok
- Titkosítás előtti előkészítési tevékenységek
Az eszköztár szélessége kiemelte az ökoszisztéma működési érettségét, és ritka betekintést nyújtott a leányvállalatok számára elérhető erőforrásokba.
A márka mögött rejlő fenyegetés
A LARVA-368 legalább 2020 óta részt vesz zsarolásra összpontosító kiberbűnözői tevékenységekben. Úgy tűnik, hogy a több zsarolóvírus-művelettel való együttműködés során szerzett tapasztalatok biztosították a The Gentlemen létrehozásához és jelentős független RaaS-vállalkozássá való felskálázásához szükséges technikai szakértelmet, operatív ismereteket és bűnözői hálózatot.
A művelet technikai kifinomultságának, a partnerközpontú üzleti gyakorlatoknak, a gyors fejlesztési ciklusoknak és az agresszív zsarolási taktikáknak a kombinációja a The Gentlemen-t a világszerte a szervezeteket jelenleg fenyegető legjelentősebb zsarolóvírus-fenyegetések közé sorolta.
