The Gentlemen Ransomware

'더 젠틀맨' 작전에 대한 조사 결과, 금전적 이득을 목적으로 하는 이 위협 집단은 원래 LockBit, Qilin, Medusa 등 여러 서비스형 랜섬웨어(RaaS) 생태계에서 제공하는 인프라와 리소스를 활용하여 이중 협박 공격을 수행하는 계열사로 활동했던 것으로 드러났습니다.

이 작전은 '팬텀 맨티스(Phantom Mantis)'라는 이름으로 여러 연구원들이 추적하고 있으며, LARVA-368이라는 러시아어 사용 사이버 범죄자가 주도하고 있습니다. 이 범죄자는 hastalamuerte, ArmCorp, zeta88, nobody0, santamuerte 등 여러 온라인 가명을 사용하고 있습니다. 2025년 3월부터 활동해 온 이 그룹은 현재까지 478명의 피해자를 냈다고 공개적으로 주장했습니다.

위협 집단의 출현

2025년 7월, 팬텀 맨티스는 외부 RaaS 운영업체에 더 이상 의존하지 않는 독립적인 파트너십 프로그램인 더 젠틀맨으로 진화하면서 큰 변화를 겪었습니다. 이러한 전환 과정에서 랜섬웨어 개발, 도구 유지 관리 및 사후 공격 활동을 지원하기 위해 인공지능이 광범위하게 활용되었습니다.

위협 정보 분석에 따르면 LARVA-368은 이전에 Embargo 랜섬웨어 그룹 내에서 활동하다가 ArmCorp 브랜드로 별도의 작전을 시작했습니다. 4개월 후, 해당 작전은 The Gentlemen으로 이름을 변경했습니다.

이러한 전환 시기는 LARVA-368과 Qilin 랜섬웨어 운영진 간의 공개적인 분쟁과 밀접하게 관련되어 있습니다. 공격자는 Qilin이 먹튀 사기를 벌이고 약 48,000달러의 수익금을 횡령했다고 비난했습니다.

팬텀 맨티스는 지하 커뮤니티 내 시장 입지를 강화하기 위해 사이버범죄 포럼의 프리미엄 멤버십에 투자했습니다. 커뮤니케이션 및 기술 지원 기능은 주로 '젠틀맨 데이터'라는 이름으로 알려진 러시아어 사용 인물이 담당합니다.

성숙하고 빠르게 성장하는 랜섬웨어 생태계

보안 연구원들은 The Gentlemen을 전통적인 랜섬웨어 기법과 최신 RaaS(랜섬웨어 서비스) 기능을 결합한, 적응력이 뛰어나고 빠르게 진화하는 랜섬웨어 조직으로 특징짓습니다. 이들의 운영 모델은 이중 갈취, 다양한 플랫폼에서 작동하는 랜섬웨어 변종, 유연한 전파 메커니즘, 그리고 광범위한 제휴 네트워크를 포함합니다.

이 그룹은 위협 환경에서 가장 활발한 랜섬웨어 공격자 중 하나로 빠르게 부상했으며, 2026년 4월 한 달 동안 관찰된 전체 랜섬웨어 활동의 약 10%를 차지했습니다. 공격 캠페인은 일반적으로 취약한 인터넷 연결 서비스 또는 유출된 계정 정보를 통해 시작되는 기업 대상 침입 경로를 따릅니다.

분석 결과, 공격자는 침입 과정에서 전술을 동적으로 변경할 수 있는 것으로 나타났습니다. 이러한 활동에는 그룹 정책 개체(GPO) 조작, 권한 있는 계정 탈취, 엔드포인트 보안 제어를 회피하도록 설계된 맞춤형 기술 배포 등이 포함됩니다.

피해자 분포를 보면 주로 국제적인 양상을 보입니다. 알려진 피해자 중 미국에 거주하는 피해자는 약 13%에 불과하며, 태국, 영국, 브라질, 독일, 인도에 피해자가 가장 많이 집중되어 있습니다.

제휴 지원 및 범죄 사업 운영

The Gentlemen은 LARVA-368의 직접적인 지원을 받는 체계적인 제휴 생태계를 유지합니다. The Gentlemen IM 플랫폼의 전용 계정은 암호화 프로세스 및 침입 관련 문제에 대한 지원을 제공하며, BYOVD(Bring Your Own Vulnerable Driver) 기술을 활용하는 EDR 우회 도구에 대한 접근 권한도 제공합니다.

The Gentlemen과 The Gentlemen Data 모두에 대한 지원 서비스는 Tox, SimpleX Chat 및 Ricochet Refresh 메시징 플랫폼을 통해 제공됩니다. 제휴를 희망하는 사람들은 제휴 포털에 접근하기 전에 최소 1GB의 도난 피해자 데이터를 제출해야 합니다. 이러한 요구 사항은 연구원이나 법 집행 기관이 제휴사로 위장하여 플랫폼에 침투하는 것을 방지하기 위한 것으로 보입니다.

제휴사 관리 포털을 통해 사용자 관리, 대상 구성 및 랜섬웨어 배포 관리가 가능합니다. 참여자를 유치하기 위해, 해당 운영사는 수익의 90%를 제휴사에게, 10%를 운영사에게 배분하는 공격적인 수익 분배 구조를 내세우고 있습니다.

기술 인프라 및 공격 방법론

해당 그룹은 Windows, Linux, ESXi, Windows XP 및 이후 시스템은 물론 LVM(Logical Volume Manager)을 사용하는 환경을 대상으로 하는 5가지 랜섬웨어 변종을 제공합니다. 초기 공격은 일반적으로 VPN 장비, 방화벽 및 엣지 디바이스와 같은 인터넷 연결 인프라에 집중됩니다.

침입 과정에는 광범위한 공격 도구와 기술이 포함됩니다.

• NetExec, RelayKing, TaskHound, PrivHound, CertiHound와 같은 레드팀 유틸리티는 Active Directory 정찰, 인증서 악용, 권한 상승 및 네트워크 공유 검색에 사용됩니다. EDRStartupHinder, gfreeze, glinker, DumpBrowserSecrets와 같은 추가 도구는 방어 회피 및 자격 증명 탈취를 용이하게 하며, Velociraptor는 명령 및 제어 활동을 지원합니다.
• 침해 발생 후 조치에는 일반적으로 Windows 시스템, 응용 프로그램 및 보안 이벤트 로그 삭제, Microsoft Defender 비활성화, 탐지 가능성을 줄이기 위한 바이러스 백신 제외 항목 생성 등이 포함됩니다.

해당 랜섬웨어는 X25519 키 교환과 XChaCha20 대칭 암호화를 결합한 하이브리드 암호화 모델을 사용합니다. Storm-2697이라는 활동 클러스터를 추적하던 연구원들은 이 악성코드가 Go 언어로 작성되었고 Garble을 사용하여 난독화되었다는 사실을 확인했습니다.

특히 위험한 기능은 '--spread' 매개변수를 통해 활성화되는데, 이 매개변수는 랜섬웨어를 단일 호스트 암호화 프로그램에서 접근 가능한 네트워크 시스템 전반에 걸쳐 스스로 확산될 수 있는 웜으로 변환합니다. '--wipe' 인수를 사용하여 실행하면 악성코드는 암호화 후 복구 가능한 흔적을 제거하기 위한 추가 작업을 수행합니다.

갈취 전술 및 작전 민첩성

여러 정황을 종합해 볼 때, '더 젠틀맨'은 랜섬웨어 배포를 넘어 다양한 채널을 통해 금전적 요구를 강요하는 전략을 구사하는 것으로 보입니다. 피해자들은 금전 지불 가능성을 높이기 위해 직접적인 이메일 연락이나 전화 협박 등의 압박을 받을 수도 있습니다.

해당 그룹의 개발 주기는 이례적으로 높은 대응력을 보여줍니다. 특히 주목할 만한 사례는 2026년 4월에 발생했는데, 운영자들이 복호화 도구가 공개된 바로 그날 패치를 배포했습니다.

침입은 일반적으로 암호화가 실행되기 전까지 2~6주 동안 탐지되지 않은 채로 남아 있습니다. VMware 인프라를 운영하는 조직이 특히 공격 대상이 되는 것으로 보입니다.

내부 유출로 조직 구조가 드러났다

2026년 5월, 해당 그룹이 사용하던 Rocket.Chat 내부 데이터베이스가 유출되면서 중요한 정보 돌파구가 마련되었습니다. 유출된 데이터에는 2025년 11월부터 2026년 4월 말까지 주고받은 3,366건의 메시지가 포함되어 있었으며, 이는 해당 조직의 내부 구조와 업무 흐름에 대한 귀중한 정보를 제공했습니다.

이러한 통신 기록은 구성원 간의 명확한 책임 분담을 드러냈으며, VMware Aria Operations, Fortinet, Cisco 및 Microsoft 기술에 영향을 미치는 취약점을 이용한 사례를 문서화했습니다. 이 기록들은 공격 작전의 여러 단계를 지원하는 전문화된 역할을 가진 잘 조직된 범죄 집단의 모습을 보여주었습니다.

유출된 정보에는 CVE-2024-55591, CVE-2025-32433, CVE-2025-33073을 포함한 새로운 취약점에 대한 적극적인 모니터링 및 평가가 드러났습니다. 이러한 취약점들은 백업 시스템 악용, 관리 컨트롤러 침해, NTLM 릴레이 기법과 같은 추가 공격 경로와 결합되어 매우 유연한 공격 프레임워크를 구축했습니다.

완벽한 운영자 도구 키트 공개

2026년 3월, 사이버 보안 연구원들은 Proton66 보안 호스팅 서비스에서 노출된 디렉터리를 발견했습니다. 해당 디렉터리에는 The Gentlemen RaaS 계열사와 관련된 126개의 파일이 포함되어 있었으며, 사실상 완전한 랜섬웨어 운영 도구 모음이 노출된 것이었습니다.

유출된 툴킷은 공격 과정의 거의 모든 단계를 포괄했습니다.

• 정찰 및 피해자 프로파일링
• 권한 상승

• 방어 회피

• 자격 증명 도용

• 측면 이동

• 지속성 메커니즘

• 암호화 전 준비 활동

툴킷의 폭넓은 범위는 생태계의 운영 성숙도를 보여주었으며, 제휴사들이 활용할 수 있는 리소스를 엿볼 수 있는 드문 기회를 제공했습니다.

브랜드 뒤에 숨겨진 위협

LARVA-368은 적어도 2020년부터 금전적 갈취에 초점을 맞춘 사이버 범죄 활동에 관여해 왔습니다. 여러 랜섬웨어 조직과의 협력을 통해 얻은 경험은 The Gentlemen을 독립적인 RaaS(랜섬웨어 서비스) 기업으로 성장시키는 데 필요한 기술 전문성, 운영 지식 및 범죄 네트워크를 제공하는 데 도움이 된 것으로 보입니다.

기술적 정교함, 제휴사 중심의 사업 방식, 빠른 개발 주기, 그리고 공격적인 갈취 전술이 결합된 이 공격 방식은 '더 젠틀맨'을 현재 전 세계 기업들이 직면하고 있는 가장 악명 높은 랜섬웨어 위협 중 하나로 만들었습니다.