The Gentlemen Ransomware

As investigações sobre a operação The Gentlemen revelam que o grupo de ameaças com motivação financeira funcionava originalmente como uma afiliada, realizando ataques de dupla extorsão e utilizando a infraestrutura e os recursos fornecidos por múltiplos ecossistemas de Ransomware como Serviço (RaaS), incluindo LockBit, Qilin e Medusa.

A operação é monitorada por diversos pesquisadores sob o nome de Phantom Mantis e é liderada por um cibercriminoso de língua russa identificado como LARVA-368. Esse indivíduo tem sido associado a vários pseudônimos online, incluindo hastalamuerte, ArmCorp, zeta88, nobody0 e santamuerte. Ativo desde março de 2025, o grupo reivindicou publicamente a responsabilidade por 478 vítimas.

Surgimento do Grupo de Ameaça

Uma grande transformação ocorreu em julho de 2025, quando o Phantom Mantis evoluiu para The Gentlemen, um programa de parceria independente que deixou de depender de operadores externos de RaaS. A transição foi acompanhada pelo uso extensivo de inteligência artificial para apoiar o desenvolvimento de ransomware, a manutenção de ferramentas e as atividades pós-exploração.

As avaliações de inteligência de ameaças indicam que o grupo LARVA-368 operava anteriormente dentro do grupo de ransomware Embargo antes de lançar uma operação separada sob a marca ArmCorp. Quatro meses depois, a operação foi renomeada como The Gentlemen.

O momento dessa transição coincidiu com uma disputa pública entre o grupo LARVA-368 e a operação de ransomware Qilin. O grupo de ameaças acusou a Qilin de aplicar um golpe de saída e reter aproximadamente US$ 48.000 em ganhos.

Para fortalecer sua presença no mercado dentro das comunidades clandestinas, a Phantom Mantis investiu em assinaturas premium em fóruns de cibercriminosos. As funções de comunicação e suporte técnico são gerenciadas principalmente por uma persona separada que fala russo, conhecida como The Gentlemen Data.

Um ecossistema de ransomware maduro e em rápido crescimento.

Pesquisadores de segurança descrevem o grupo The Gentlemen como uma operação de ransomware altamente adaptável e de rápida evolução, que combina técnicas tradicionais de ransomware com recursos modernos de RaaS (Ranking como Serviço). Seu modelo operacional incorpora extorsão dupla, variantes de ransomware multiplataforma, mecanismos de propagação flexíveis e amplo suporte de afiliados.

O grupo emergiu rapidamente como um dos atores de ransomware mais ativos no cenário de ameaças, sendo responsável por aproximadamente 10% de toda a atividade de ransomware observada em abril de 2026. As campanhas de ataque normalmente seguem uma cadeia de intrusão focada em empresas, que começa por meio de serviços vulneráveis expostos à internet ou credenciais comprometidas.

A análise sugere ainda que os operadores podem modificar dinamicamente as táticas durante as intrusões. As atividades incluem a manipulação de Objetos de Política de Grupo (GPOs), a invasão de contas privilegiadas e a implementação de técnicas personalizadas concebidas para contornar os controles de segurança dos endpoints.

A distribuição das vítimas indica um foco predominantemente internacional. Apenas cerca de 13% das vítimas conhecidas estão localizadas nos Estados Unidos, enquanto as maiores concentrações de vítimas foram observadas na Tailândia, no Reino Unido, no Brasil, na Alemanha e na Índia.

Suporte a afiliados e operações comerciais criminosas

A The Gentlemen mantém um ecossistema de afiliados estruturado, com suporte direto da LARVA-368. Contas dedicadas na plataforma de mensagens instantâneas The Gentlemen oferecem assistência para processos de criptografia e desafios relacionados a intrusões, incluindo acesso a ferramentas de bypass de EDR que utilizam técnicas de "Traga Seu Próprio Driver Vulnerável" (BYOVD).

Os serviços de suporte para The Gentlemen e The Gentlemen Data estão disponíveis através das plataformas de mensagens Tox, SimpleX Chat e Ricochet Refresh. Os afiliados em potencial devem enviar pelo menos 1 GB de dados roubados das vítimas antes de obterem acesso ao portal de afiliados. Este requisito parece ter como objetivo impedir que pesquisadores e agências de aplicação da lei se infiltrem na plataforma fingindo ser afiliados.

O portal de gerenciamento de afiliados permite a administração de usuários, a configuração de alvos e o gerenciamento da implantação de ransomware. Para atrair participantes, a operação promove uma estrutura agressiva de compartilhamento de receita, que aloca 90% dos lucros aos afiliados e 10% aos operadores.

Infraestrutura técnica e metodologia de ataque

O grupo fornece cinco variantes de ransomware projetadas para atacar sistemas Windows, Linux, ESXi, Windows XP e versões posteriores, bem como ambientes que utilizam o Logical Volume Manager (LVM). As operações de acesso inicial geralmente se concentram na infraestrutura voltada para a internet, como dispositivos VPN, firewalls e dispositivos de borda.

O ciclo de vida da intrusão incorpora um amplo arsenal de ferramentas e técnicas ofensivas:

• Utilitários de equipe vermelha, como NetExec, RelayKing, TaskHound, PrivHound e CertiHound, são usados para reconhecimento do Active Directory, abuso de certificados, escalonamento de privilégios e descoberta de compartilhamentos de rede. Ferramentas adicionais, incluindo EDRStartupHinder, gfreeze, glinker e DumpBrowserSecrets, facilitam a evasão de defesas e o roubo de credenciais, enquanto o Velociraptor oferece suporte a atividades de comando e controle.
• As ações pós-comprometimento geralmente incluem a limpeza dos logs de eventos do sistema, de aplicativos e de segurança do Windows, a desativação do Microsoft Defender e a criação de exclusões de antivírus para reduzir as chances de detecção.

O ransomware emprega um modelo de criptografia híbrido que combina a troca de chaves X25519 com a criptografia simétrica XChaCha20. Pesquisadores que monitoram o cluster de atividades como Storm-2697 determinaram que o malware foi escrito em Go e ofuscado usando Garble.

Uma capacidade particularmente perigosa é habilitada pelo parâmetro '--spread', que transforma o ransomware de um criptografador de host único em um worm autopropagável capaz de se distribuir por sistemas de rede acessíveis. Quando executado com o argumento '--wipe', o malware realiza ações adicionais destinadas a eliminar artefatos recuperáveis após a criptografia.

Táticas de extorsão e agilidade operacional

As evidências sugerem que o grupo The Gentlemen opera uma estratégia de extorsão multicanal que vai além da implantação de ransomware. As vítimas também podem ser alvo de comunicações diretas por e-mail e campanhas de pressão por telefone, concebidas para aumentar a probabilidade de pagamento.

O ciclo de desenvolvimento do grupo demonstra um nível de capacidade de resposta excepcionalmente alto. Um exemplo notável ocorreu em abril de 2026, quando os operadores lançaram uma atualização no mesmo dia em que um decodificador se tornou público.

Normalmente, as intrusões permanecem indetectáveis por períodos que variam de duas a seis semanas antes da execução da criptografia. Organizações que operam infraestrutura VMware parecem ser um foco particular dos esforços de ataque.

Vazamentos internos revelam a estrutura organizacional.

Uma importante descoberta de inteligência ocorreu em maio de 2026, após a exposição de um banco de dados interno do Rocket.Chat usado pelo grupo. O vazamento continha 3.366 mensagens trocadas entre novembro de 2025 e o final de abril de 2026, fornecendo informações valiosas sobre a estrutura interna e os fluxos de trabalho da operação.

As comunicações revelaram uma clara divisão de responsabilidades entre os membros e documentaram a exploração de vulnerabilidades que afetavam as tecnologias VMware Aria Operations, Fortinet, Cisco e Microsoft. Os registros retrataram uma organização criminosa bem estruturada, com funções especializadas que davam suporte a diferentes fases das operações de ataque.

As informações vazadas também mostraram monitoramento e avaliação ativos de vulnerabilidades emergentes, incluindo CVE-2024-55591, CVE-2025-32433 e CVE-2025-33073. Essas explorações foram combinadas com vias de ataque adicionais envolvendo abuso de sistemas de backup, comprometimento de controladores de gerenciamento e técnicas de retransmissão NTLM, criando uma estrutura de exploração altamente flexível.

Exposição de um conjunto completo de ferramentas para o operador.

Em março de 2026, pesquisadores de segurança cibernética identificaram um diretório exposto hospedado no serviço de hospedagem à prova de balas Proton66. O diretório continha 126 arquivos atribuídos a um afiliado do grupo The Gentlemen RaaS e, na prática, expôs um kit de ferramentas completo para operadores de ransomware.

O conjunto de ferramentas vazado abrangia praticamente todas as etapas do ciclo de vida do ataque:

• Reconhecimento e elaboração de perfis de vítimas
• Escalada de privilégios

• Evasão defensiva

• Roubo de credenciais

• Movimento lateral

• Mecanismos de persistência

• Atividades de preparação pré-criptografia

A abrangência do conjunto de ferramentas destacou a maturidade operacional do ecossistema e proporcionou uma visão rara dos recursos disponíveis para os afiliados.

A ameaça por trás da marca

O grupo LARVA-368 está envolvido em atividades cibercriminosas focadas em extorsão desde pelo menos 2020. A experiência adquirida por meio de colaborações com diversas operações de ransomware parece ter fornecido a expertise técnica, o conhecimento operacional e a rede criminosa necessários para estabelecer e expandir o grupo The Gentlemen, transformando-o em uma importante empresa independente de RaaS (Ranking como Serviço).

A combinação de sofisticação técnica, práticas comerciais focadas em afiliados, ciclos de desenvolvimento rápidos e táticas agressivas de extorsão posicionou o grupo The Gentlemen entre as ameaças de ransomware mais proeminentes que organizações em todo o mundo enfrentam atualmente.