De Gentlemen Ransomware
Onderzoek naar de activiteiten van The Gentlemen heeft uitgewezen dat deze financieel gemotiveerde dreigingsgroep oorspronkelijk functioneerde als een partner die dubbele afpersingsaanvallen uitvoerde, gebruikmakend van de infrastructuur en middelen van meerdere Ransomware-as-a-Service (RaaS)-ecosystemen, waaronder LockBit, Qilin en Medusa.
De operatie wordt door verschillende onderzoekers gevolgd onder de naam Phantom Mantis en wordt geleid door een Russischsprekende cybercrimineel die bekendstaat als LARVA-368. Deze persoon is in verband gebracht met meerdere online aliassen, waaronder hastalamuerte, ArmCorp, zeta88, nobody0 en santamuerte. De groep is actief sinds maart 2025 en heeft publiekelijk de verantwoordelijkheid opgeëist voor 478 slachtoffers.
Inhoudsopgave
Opkomst van de dreigingsgroep
In juli 2025 vond een grote transformatie plaats toen Phantom Mantis evolueerde naar The Gentlemen, een onafhankelijk partnerprogramma dat niet langer afhankelijk is van externe RaaS-aanbieders. Deze overgang ging gepaard met een uitgebreid gebruik van kunstmatige intelligentie ter ondersteuning van ransomware-ontwikkeling, toolonderhoud en activiteiten na de exploitatie.
Uit analyses van dreigingsinformatie blijkt dat LARVA-368 voorheen actief was binnen de Embargo-ransomwaregroep, voordat het een aparte operatie onder de merknaam ArmCorp startte. Vier maanden later werd de naam van de operatie gewijzigd in The Gentlemen.
De timing van deze overgang viel samen met een openbaar conflict tussen LARVA-368 en de Qilin-ransomware-operatie. De dader beschuldigde Qilin ervan een exit-scam te hebben gepleegd en ongeveer $48.000 aan inkomsten te hebben achtergehouden.
Om de marktpositie binnen undergroundgemeenschappen te versterken, heeft Phantom Mantis geïnvesteerd in premiumlidmaatschappen op cybercriminele fora. De communicatie en technische ondersteuning worden grotendeels beheerd door een aparte, Russischsprekende persoon die bekendstaat als The Gentlemen Data.
Een volwassen en snelgroeiend ransomware-ecosysteem
Beveiligingsonderzoekers omschrijven The Gentlemen als een zeer adaptieve en snel evoluerende ransomware-operatie die traditionele ransomwaretechnieken combineert met moderne RaaS-mogelijkheden (Rawn as a Service). Het operationele model omvat dubbele afpersing, platformoverschrijdende ransomwarevarianten, flexibele verspreidingsmechanismen en uitgebreide ondersteuning van partners.
De groep is snel uitgegroeid tot een van de meest actieve ransomware-actoren in het dreigingslandschap en was in april 2026 verantwoordelijk voor ongeveer 10% van alle waargenomen ransomware-activiteit. Aanvalscampagnes volgen doorgaans een op bedrijven gerichte inbraakketen die begint via kwetsbare, internetgerichte diensten of gecompromitteerde inloggegevens.
Uit verdere analyse blijkt dat operators hun tactieken tijdens inbraken dynamisch kunnen aanpassen. Activiteiten omvatten onder meer het manipuleren van Group Policy Objects (GPO's), het compromitteren van accounts met verhoogde privileges en het inzetten van aangepaste technieken om beveiligingsmaatregelen op eindpunten te omzeilen.
De verdeling van de slachtoffers wijst op een overwegend internationale focus. Slechts ongeveer 13% van de bekende slachtoffers bevindt zich in de Verenigde Staten, terwijl de hoogste concentraties slachtoffers zijn waargenomen in Thailand, het Verenigd Koninkrijk, Brazilië, Duitsland en India.
Affiliateondersteuning en criminele bedrijfsactiviteiten
The Gentlemen onderhoudt een gestructureerd ecosysteem van partners dat rechtstreeks wordt ondersteund door LARVA-368. Speciale accounts op het IM-platform van The Gentlemen bieden ondersteuning bij encryptieprocessen en uitdagingen met betrekking tot inbraakpogingen, inclusief toegang tot EDR-bypasstools die gebruikmaken van Bring Your Own Vulnerable Driver (BYOVD)-technieken.
Ondersteuningsdiensten voor zowel The Gentlemen als The Gentlemen Data zijn beschikbaar via de berichtenplatforms Tox, SimpleX Chat en Ricochet Refresh. Potentiële partners moeten minimaal 1 GB aan gestolen slachtoffergegevens aanleveren voordat ze toegang krijgen tot het partnerportaal. Deze vereiste lijkt bedoeld om te voorkomen dat onderzoekers en wetshandhavingsinstanties het platform infiltreren door zich voor te doen als partners.
Het beheerportaal voor partners maakt gebruikersbeheer, doelconfiguratie en beheer van ransomware-implementaties mogelijk. Om deelnemers aan te trekken, hanteert de organisatie een agressieve winstdelingsstructuur waarbij 90% van de winst naar de partners gaat en 10% naar de beheerders.
Technische infrastructuur en aanvalsmethodologie
De groep biedt vijf ransomwarevarianten aan die zijn ontworpen om Windows, Linux, ESXi, Windows XP en latere systemen aan te vallen, evenals omgevingen die gebruikmaken van Logical Volume Manager (LVM). De eerste toegangsaanvallen richten zich doorgaans op infrastructuur die met internet verbonden is, zoals VPN-apparaten, firewalls en edge-apparaten.
De inbraakcyclus omvat een breed scala aan offensieve middelen en technieken:
- Red-teamtools zoals NetExec, RelayKing, TaskHound, PrivHound en CertiHound worden gebruikt voor Active Directory-verkenning, certificaatmisbruik, privilege-escalatie en het ontdekken van netwerkshares. Aanvullende tools zoals EDRStartupHinder, gfreeze, glinker en DumpBrowserSecrets faciliteren het omzeilen van beveiligingsmaatregelen en het stelen van inloggegevens, terwijl Velociraptor command-and-control-activiteiten ondersteunt.
- Na een beveiligingslek worden vaak acties ondernomen zoals het wissen van Windows-systeem-, toepassings- en beveiligingsgebeurtenislogboeken, het uitschakelen van Microsoft Defender en het toevoegen van uitzonderingen aan antivirusprogramma's om de kans op detectie te verkleinen.
De ransomware maakt gebruik van een hybride encryptiemodel dat X25519-sleuteluitwisseling combineert met XChaCha20-symmetrische encryptie. Onderzoekers die de activiteitscluster Storm-2697 volgen, hebben vastgesteld dat de malware is geschreven in Go en geobfusceerd met Garble.
Een bijzonder gevaarlijke mogelijkheid wordt ingeschakeld via de parameter '--spread', die de ransomware verandert van een encryptor voor één host in een zelfverspreidende worm die zichzelf kan verspreiden over bereikbare netwerksystemen. Wanneer de malware wordt uitgevoerd met het argument '--wipe', voert deze aanvullende acties uit om herstelbare artefacten na encryptie te verwijderen.
Afpersingstactieken en operationele wendbaarheid
Er zijn aanwijzingen dat The Gentlemen een afpersingsstrategie via meerdere kanalen hanteert die verder gaat dan alleen het inzetten van ransomware. Slachtoffers kunnen ook te maken krijgen met directe e-mailberichten en telefonische drukcampagnes die erop gericht zijn de kans op betaling te vergroten.
De ontwikkelingscyclus van de groep getuigt van een uitzonderlijk hoge mate van reactiesnelheid. Een opvallend voorbeeld hiervan deed zich voor in april 2026, toen beheerders een patch uitbrachten op dezelfde dag dat een decryptor publiekelijk beschikbaar kwam.
Inbraken blijven doorgaans twee tot zes weken onopgemerkt voordat de versleuteling wordt uitgevoerd. Organisaties die gebruikmaken van VMware-infrastructuur lijken een specifiek doelwit te zijn van deze aanvallen.
Interne lekken onthullen organisatiestructuur
In mei 2026 vond een belangrijke doorbraak in de inlichtingenwereld plaats na de blootstelling van een interne Rocket.Chat-database die door de groep werd gebruikt. Het lek bevatte 3.366 berichten die tussen november 2025 en eind april 2026 waren uitgewisseld, wat waardevolle inzichten verschafte in de interne structuur en werkprocessen van de organisatie.
De communicatie onthulde een duidelijke taakverdeling tussen de leden en documenteerde het gebruik van kwetsbaarheden die van invloed waren op VMware Aria Operations, Fortinet, Cisco en Microsoft-technologieën. De documenten schetsten een goed georganiseerde criminele organisatie met gespecialiseerde rollen ter ondersteuning van verschillende fasen van de aanvalsoperaties.
De gelekte informatie toonde ook aan dat er actief toezicht werd gehouden op en evaluatie plaatsvond van opkomende kwetsbaarheden, waaronder CVE-2024-55591, CVE-2025-32433 en CVE-2025-33073. Deze exploits werden gecombineerd met aanvullende aanvalspaden, zoals misbruik van back-upsystemen, compromittering van beheercontrollers en NTLM-relaytechnieken, waardoor een zeer flexibel exploitatiekader ontstond.
Presentatie van een complete gereedschapskit voor de operator
In maart 2026 ontdekten cybersecurityonderzoekers een blootgestelde map op de Proton66-hostingdienst, die bekendstaat om zijn robuuste beveiliging. De map bevatte 126 bestanden die toegeschreven werden aan een aan The Gentlemen RaaS gelieerde organisatie en legde daarmee een complete toolkit van een ransomware-aanvaller bloot.
De gelekte toolkit bestreek vrijwel elke fase van de aanvalscyclus:
- Verkenning en slachtofferprofilering
De omvang van de toolkit benadrukte de operationele volwassenheid van het ecosysteem en bood een zeldzaam inzicht in de middelen die beschikbaar zijn voor aangesloten organisaties.
De dreiging achter het merk
LARVA-368 is sinds ten minste 2020 betrokken bij cybercriminaliteit gericht op afpersing. De ervaring opgedaan door samenwerking met diverse ransomware-operaties lijkt de technische expertise, operationele kennis en het criminele netwerk te hebben verschaft die nodig waren om The Gentlemen op te zetten en uit te bouwen tot een belangrijke, onafhankelijke RaaS-onderneming.
De combinatie van technische geavanceerdheid, op partners gerichte bedrijfspraktijken, snelle ontwikkelingscycli en agressieve afpersingstactieken heeft The Gentlemen tot een van de meest prominente ransomware-dreigingen gemaakt waarmee organisaties wereldwijd momenteel te maken hebben.
