Ransomware The Gentlemen
Le indagini sull'operazione "The Gentlemen" rivelano che il gruppo di hacker, mosso da motivazioni finanziarie, inizialmente operava come affiliato, conducendo attacchi di doppia estorsione e sfruttando infrastrutture e risorse fornite da diversi ecosistemi di Ransomware-as-a-Service (RaaS), tra cui LockBit, Qilin e Medusa.
L'operazione è monitorata da diversi ricercatori con il nome di Phantom Mantis ed è guidata da un cybercriminale di lingua russa identificato come LARVA-368. Questo individuo è stato associato a numerosi alias online, tra cui hastalamuerte, ArmCorp, zeta88, nobody0 e santamuerte. Attivo dal marzo 2025, il gruppo ha rivendicato pubblicamente la responsabilità di 478 vittime.
Sommario
L’emergere del gruppo di minaccia
Nel luglio 2025 si è verificata una trasformazione fondamentale quando Phantom Mantis si è evoluto in The Gentlemen, un programma di partnership indipendente che non dipende più da operatori RaaS esterni. La transizione è stata accompagnata da un ampio utilizzo dell'intelligenza artificiale a supporto dello sviluppo di ransomware, della manutenzione degli strumenti e delle attività post-sfruttamento.
Le valutazioni dell'intelligence sulle minacce indicano che LARVA-368 operava in precedenza all'interno del gruppo ransomware Embargo prima di lanciare un'operazione separata con il marchio ArmCorp. Quattro mesi dopo, l'operazione è stata rinominata The Gentlemen.
La tempistica di questa transizione è stata strettamente legata a una disputa pubblica tra LARVA-368 e il gruppo ransomware Qilin. Il gruppo ha accusato Qilin di aver messo in atto una truffa di uscita e di aver trattenuto circa 48.000 dollari di guadagni.
Per rafforzare la propria presenza sul mercato all'interno delle comunità underground, Phantom Mantis ha investito in abbonamenti premium su forum di cybercriminali. Le funzioni di comunicazione e supporto tecnico sono gestite principalmente da un individuo separato di lingua russa noto come The Gentlemen Data.
Un ecosistema ransomware maturo e in rapida crescita
I ricercatori di sicurezza descrivono The Gentlemen come un'operazione ransomware altamente adattabile e in rapida evoluzione, che combina tecniche ransomware tradizionali con moderne funzionalità RaaS (Random as a Service). Il suo modello operativo include doppia estorsione, varianti ransomware multipiattaforma, meccanismi di propagazione flessibili e un ampio supporto da parte di affiliati.
Il gruppo si è rapidamente affermato come uno degli attori ransomware più attivi nel panorama delle minacce, rappresentando circa il 10% di tutte le attività ransomware osservate durante il mese di aprile 2026. Le campagne di attacco seguono in genere una catena di intrusione mirata alle aziende, che inizia attraverso servizi esposti a Internet vulnerabili o credenziali compromesse.
L'analisi suggerisce inoltre che gli operatori possono modificare dinamicamente le tattiche durante le intrusioni. Le attività hanno incluso la manipolazione degli oggetti Criteri di gruppo (GPO), la compromissione di account privilegiati e l'implementazione di tecniche personalizzate progettate per eludere i controlli di sicurezza degli endpoint.
La distribuzione delle vittime indica una prevalenza a livello internazionale. Solo circa il 13% delle vittime accertate si trova negli Stati Uniti, mentre le concentrazioni più elevate sono state osservate in Thailandia, Regno Unito, Brasile, Germania e India.
Supporto agli affiliati e attività criminali
The Gentlemen mantiene un ecosistema di affiliazione strutturato e supportato direttamente da LARVA-368. Gli account dedicati sulla piattaforma di messaggistica istantanea di The Gentlemen forniscono assistenza per i processi di crittografia e le problematiche legate alle intrusioni, incluso l'accesso a strumenti di bypass EDR che sfruttano le tecniche BYOVD (Bring Your Own Vulnerable Driver).
I servizi di supporto per The Gentlemen e The Gentlemen Data sono disponibili tramite le piattaforme di messaggistica Tox, SimpleX Chat e Ricochet Refresh. I potenziali affiliati devono fornire almeno 1 GB di dati rubati dalle vittime prima di poter accedere al portale affiliati. Questo requisito sembra essere inteso a impedire a ricercatori e forze dell'ordine di infiltrarsi nella piattaforma fingendosi affiliati.
Il portale di gestione degli affiliati consente l'amministrazione degli utenti, la configurazione dei target e la gestione della diffusione del ransomware. Per attirare partecipanti, l'operazione promuove una struttura aggressiva di condivisione dei ricavi che destina il 90% dei profitti agli affiliati e il 10% agli operatori.
Infrastruttura tecnica e metodologia di attacco
Il gruppo offre cinque varianti di ransomware progettate per colpire sistemi Windows, Linux, ESXi, Windows XP e versioni successive, nonché ambienti che utilizzano Logical Volume Manager (LVM). Le operazioni di accesso iniziali si concentrano in genere su infrastrutture esposte a Internet, come dispositivi VPN, firewall e dispositivi perimetrali.
Il ciclo di vita di un'intrusione comprende un ampio arsenale di strumenti e tecniche offensive:
- Strumenti da red team come NetExec, RelayKing, TaskHound, PrivHound e CertiHound vengono utilizzati per la ricognizione di Active Directory, l'abuso di certificati, l'escalation dei privilegi e la scoperta di condivisioni di rete. Ulteriori strumenti, tra cui EDRStartupHinder, gfreeze, glinker e DumpBrowserSecrets, facilitano l'elusione delle difese e il furto di credenziali, mentre Velociraptor supporta le attività di comando e controllo.
- Le azioni successive a una violazione spesso includono la cancellazione dei registri eventi di sistema, delle applicazioni e di sicurezza di Windows, la disattivazione di Microsoft Defender e la creazione di esclusioni antivirus per ridurre le possibilità di rilevamento.
Il ransomware utilizza un modello di crittografia ibrido che combina lo scambio di chiavi X25519 con la crittografia simmetrica XChaCha20. I ricercatori che monitorano il cluster di attività identificato come Storm-2697 hanno determinato che il malware è scritto in Go e offuscato utilizzando Garble.
Una funzionalità particolarmente pericolosa è resa possibile dal parametro '--spread', che trasforma il ransomware da un crittografo a singolo host in un worm auto-propagante in grado di diffondersi su tutti i sistemi di rete raggiungibili. Se eseguito con l'argomento '--wipe', il malware esegue ulteriori azioni volte a eliminare eventuali tracce recuperabili dopo la crittografia.
Tattiche estorsive e agilità operativa
Le prove suggeriscono che The Gentlemen adotti una strategia di estorsione multicanale che va oltre la semplice diffusione di ransomware. Le vittime potrebbero infatti ricevere comunicazioni dirette via e-mail e subire pressioni telefoniche volte ad aumentare la probabilità di pagamento.
Il ciclo di sviluppo del gruppo dimostra un livello di reattività insolitamente elevato. Un esempio notevole si è verificato nell'aprile del 2026, quando gli operatori hanno rilasciato una patch lo stesso giorno in cui un decrittatore è diventato disponibile al pubblico.
In genere, le intrusioni rimangono inosservate per periodi che vanno dalle due alle sei settimane prima che venga eseguita la crittografia. Le organizzazioni che utilizzano infrastrutture VMware sembrano essere un obiettivo particolarmente ambito dagli attacchi informatici.
Le fughe di notizie interne rivelano la struttura organizzativa
Nel maggio 2026 si è verificata un'importante svolta nell'intelligence a seguito della divulgazione di un database interno di Rocket.Chat utilizzato dal gruppo. La fuga di dati conteneva 3.366 messaggi scambiati tra novembre 2025 e la fine di aprile 2026, fornendo preziose informazioni sulla struttura interna e sui flussi di lavoro dell'operazione.
Le comunicazioni hanno rivelato una chiara divisione delle responsabilità tra i membri e documentato l'utilizzo di vulnerabilità che interessavano VMware Aria Operations, Fortinet, Cisco e tecnologie Microsoft. I documenti hanno delineato un'organizzazione criminale ben strutturata, con ruoli specializzati a supporto delle diverse fasi delle operazioni di attacco.
Le informazioni trapelate hanno inoltre rivelato un monitoraggio e una valutazione attivi delle vulnerabilità emergenti, tra cui CVE-2024-55591, CVE-2025-32433 e CVE-2025-33073. Questi exploit sono stati combinati con ulteriori percorsi di attacco che prevedevano l'abuso dei sistemi di backup, la compromissione del controller di gestione e le tecniche di relay NTLM, creando un framework di sfruttamento estremamente flessibile.
Presentazione di un kit completo di strumenti per operatori.
Nel marzo 2026, alcuni ricercatori di sicurezza informatica hanno identificato una directory vulnerabile ospitata sul servizio di hosting "bulletproof" Proton66. La directory conteneva 126 file attribuiti a un affiliato di The Gentlemen RaaS e, di fatto, esponeva un kit completo di strumenti per operatori di ransomware.
Il toolkit trapelato copriva quasi tutte le fasi del ciclo di vita dell'attacco:
- Ricognizione e profilazione delle vittime
- Escalation dei privilegi
- Elusione della difesa
- Furto di credenziali
- Movimento laterale
- Meccanismi di persistenza
- Attività preparatorie di pre-crittografia
L'ampiezza degli strumenti a disposizione ha messo in luce la maturità operativa dell'ecosistema e ha offerto una rara opportunità di visionare le risorse a disposizione degli affiliati.
La minaccia che si cela dietro il marchio
LARVA-368 è coinvolto in attività criminali informatiche incentrate sull'estorsione almeno dal 2020. L'esperienza acquisita attraverso collaborazioni con diverse operazioni di ransomware sembra avergli fornito le competenze tecniche, le conoscenze operative e la rete criminale necessarie per fondare e far crescere The Gentlemen fino a diventare un'importante impresa RaaS indipendente.
La combinazione di sofisticatezza tecnica, pratiche commerciali incentrate sugli affiliati, cicli di sviluppo rapidi e tattiche estorsive aggressive ha reso The Gentlemen una delle minacce ransomware più importanti che le organizzazioni di tutto il mondo si trovano ad affrontare.
