The Gentlemen Ransomware

Investigațiile privind operațiunea The Gentlemen dezvăluie că grupul de amenințări motivat financiar a funcționat inițial ca o filială care efectua atacuri de extorcare dublă, valorificând în același timp infrastructura și resursele furnizate de mai multe ecosisteme Ransomware-as-a-Service (RaaS), inclusiv LockBit, Qilin și Medusa.

Operațiunea este urmărită de mai mulți cercetători sub numele Phantom Mantis și este condusă de un infractor cibernetic vorbitor de limbă rusă, identificat drept LARVA-368. Această persoană a fost asociată cu mai multe pseudonime online, inclusiv hastalamuerte, ArmCorp, zeta88, nobody0 și santamuerte. Activ din martie 2025, grupul a revendicat public responsabilitatea pentru 478 de victime.

Apariția grupului amenințător

O transformare majoră a avut loc în iulie 2025, când Phantom Mantis a evoluat în The Gentlemen, un program de parteneriat independent care nu mai depinde de operatori RaaS externi. Tranziția a fost însoțită de utilizarea extensivă a inteligenței artificiale pentru a sprijini dezvoltarea ransomware, întreținerea instrumentelor și activitățile post-exploatare.

Evaluările informațiilor despre amenințări indică faptul că LARVA-368 a operat anterior în cadrul grupului ransomware Embargo, înainte de a lansa o operațiune separată sub marca ArmCorp. Patru luni mai târziu, operațiunea a fost redenumită The Gentlemen.

Momentul acestei tranziții a fost strâns legat de o dispută publică între LARVA-368 și operațiunea ransomware Qilin. Actorul amenințător a acuzat Qilin de desfășurarea unei escrocherii de ieșire și de reținerea a aproximativ 48.000 de dolari din câștiguri.

Pentru a consolida prezența pe piață în comunitățile clandestine, Phantom Mantis a investit în abonamente premium pe forumurile infractorilor cibernetici. Funcțiile de comunicare și asistență tehnică sunt gestionate în mare parte de o persoană separată, vorbitoare de limbă rusă, cunoscută sub numele de The Gentlemen Data.

Un ecosistem ransomware matur și în creștere rapidă

Cercetătorii în domeniul securității caracterizează The Gentlemen ca o operațiune ransomware extrem de adaptivă și în continuă evoluție, care combină tehnicile tradiționale de ransomware cu capacitățile RaaS moderne. Modelul său operațional încorporează dublă extorcare, variante de ransomware multi-platformă, mecanisme flexibile de propagare și suport extins din partea afiliaților.

Grupul a devenit rapid unul dintre cei mai activi actori ransomware din peisajul amenințărilor, reprezentând aproximativ 10% din toată activitatea ransomware observată în aprilie 2026. Campaniile de atac urmează de obicei un lanț de intruziuni axat pe întreprinderi, care începe prin servicii vulnerabile la internet sau prin acreditări compromise.

Analizele sugerează, de asemenea, că operatorii pot modifica dinamic tacticile în timpul intruziunilor. Activitățile au inclus manipularea obiectelor de politică de grup (GPO), compromiterea conturilor privilegiate și implementarea de tehnici personalizate concepute pentru a eluda controalele de securitate ale endpoint-urilor.

Distribuția victimelor indică un focar predominant internațional. Doar aproximativ 13% dintre victimele cunoscute se află în Statele Unite, în timp ce cele mai mari concentrații de victime au fost observate în Thailanda, Regatul Unit, Brazilia, Germania și India.

Suport afiliat și operațiuni comerciale penale

The Gentlemen menține un ecosistem structurat de afiliere, susținut direct de LARVA-368. Conturile dedicate de pe platforma The Gentlemen IM oferă asistență pentru procesele de criptare și provocările legate de intruziuni, inclusiv acces la instrumente de ocolire EDR care utilizează tehnicile Bring Your Own Vulnerable Driver (BYOVD).

Serviciile de asistență atât pentru The Gentlemen, cât și pentru The Gentlemen Data sunt disponibile prin intermediul platformelor de mesagerie Tox, SimpleX Chat și Ricochet Refresh. Potențialii afiliați trebuie să trimită cel puțin 1 GB de date despre victimele furate înainte de a obține acces la portalul de afiliere. Această cerință pare să aibă scopul de a împiedica cercetătorii și agențiile de aplicare a legii să se infiltreze în platformă dându-se drept afiliați.

Portalul de gestionare a afiliaților permite administrarea utilizatorilor, configurarea țintelor și gestionarea implementării ransomware. Pentru a atrage participanți, operațiunea promovează o structură agresivă de partajare a veniturilor care alocă 90% din profituri afiliaților și 10% operatorilor.

Infrastructură tehnică și metodologie de atac

Grupul oferă cinci variante de ransomware concepute pentru a viza sistemele Windows, Linux, ESXi, Windows XP și ulterioare, precum și mediile care utilizează Logical Volume Manager (LVM). Operațiunile inițiale de acces se concentrează de obicei pe infrastructura orientată spre internet, cum ar fi dispozitivele VPN, firewall-urile și dispozitivele edge.

Ciclul de viață al intruziunilor încorporează un arsenal larg de instrumente și tehnici ofensive:

• Utilitarele Red-team, cum ar fi NetExec, RelayKing, TaskHound, PrivHound și CertiHound, sunt utilizate pentru recunoașterea Active Directory, abuzul de certificate, escaladarea privilegiilor și descoperirea partajărilor de rețea. Instrumente suplimentare, inclusiv EDRStartupHinder, gfreeze, glinker și DumpBrowserSecrets, facilitează evitarea atacurilor de apărare și furtul de acreditări, în timp ce Velociraptor oferă suport pentru activități de comandă și control.
• Acțiunile post-compromitere includ frecvent ștergerea jurnalelor de evenimente de sistem, aplicații și securitate Windows, dezactivarea Microsoft Defender și crearea de excluderi antivirus pentru a reduce oportunitățile de detectare.

Ransomware-ul folosește un model de criptare hibridă care combină schimbul de chei X25519 cu criptarea simetrică XChaCha20. Cercetătorii care au urmărit clusterul de activitate Storm-2697 au stabilit că malware-ul este scris în Go și ofuscat folosind Garble.

O funcționalitate deosebit de periculoasă este activată prin intermediul parametrului „--spread”, care transformă ransomware-ul dintr-un criptor cu o singură gazdă într-un vierme auto-propagator capabil să se distribuie pe sisteme de rețea accesibile. Atunci când este executat cu argumentul „--wipe”, malware-ul efectuează acțiuni suplimentare menite să elimine artefactele recuperabile după criptare.

Tactici de extorcare și agilitate operațională

Dovezile sugerează că The Gentlemen operează o strategie de extorcare multicanal care se extinde dincolo de implementarea ransomware. Victimele se pot confrunta, de asemenea, cu comunicări directe prin e-mail și campanii de presiune telefonice, concepute pentru a crește probabilitatea plății.

Ciclul de dezvoltare al grupului demonstrează un nivel neobișnuit de ridicat de receptivitate. Un exemplu notabil a avut loc în aprilie 2026, când operatorii au lansat un patch în aceeași zi în care un decriptor a devenit disponibil publicului.

De obicei, intruziunile rămân nedetectate pentru perioade cuprinse între două și șase săptămâni înainte de executarea criptării. Organizațiile care operează infrastructură VMware par a fi în centrul atenției eforturilor de vizare.

Scurgerile interne dezvăluie structura organizațională

O descoperire semnificativă în domeniul informațiilor a avut loc în mai 2026, în urma expunerii unei baze de date interne Rocket.Chat utilizată de grup. Scurgerea de informații conținea 3.366 de mesaje schimbate între noiembrie 2025 și sfârșitul lunii aprilie 2026, oferind informații valoroase despre structura internă și fluxurile de lucru ale operațiunii.

Comunicările au relevat o împărțire clară a responsabilităților între membri și au documentat utilizarea vulnerabilităților care afectează tehnologiile VMware Aria Operations, Fortinet, Cisco și Microsoft. Înregistrările au prezentat o întreprindere criminală bine organizată, cu roluri specializate care susțineau diferite faze ale operațiunilor de atac.

Informațiile scurse au arătat, de asemenea, monitorizarea și evaluarea activă a vulnerabilităților emergente, inclusiv CVE-2024-55591, CVE-2025-32433 și CVE-2025-33073. Aceste exploatări au fost combinate cu căi de atac suplimentare care implică abuzul sistemului de backup, compromiterea controlerului de management și tehnici de retransmitere NTLM, creând un cadru de exploatare extrem de flexibil.

Expunerea unui set complet de instrumente pentru operatori

În martie 2026, cercetătorii în domeniul securității cibernetice au identificat un director expus, găzduit pe serviciul de găzduire Proton66 bulletproof. Directorul conținea 126 de fișiere atribuite unei filiale The Gentlemen RaaS și a expus, practic, un set complet de instrumente pentru operatorii de ransomware.

Setul de instrumente divulgat acoperea aproape fiecare etapă a ciclului de viață al atacului:

• Recunoaștere și profilare a victimelor
• Escaladarea privilegiilor

• Evaziunea de apărare

• Furtul de acreditări

• Mișcare laterală

• Mecanisme de persistență

• Activități de pregătire pre-criptare

Amploarea setului de instrumente a evidențiat maturitatea operațională a ecosistemului și a oferit o perspectivă rară asupra resurselor disponibile afiliaților.

Amenințarea din spatele mărcii

LARVA-368 este implicată în activități cibernetice de extorcare din cel puțin 2020. Experiența dobândită prin colaborări cu multiple operațiuni ransomware pare să fi oferit expertiza tehnică, cunoștințele operaționale și rețeaua criminală necesare pentru a înființa și transforma The Gentlemen într-o întreprindere RaaS independentă și semnificativă.

Combinația dintre sofisticarea tehnică, practicile comerciale axate pe afiliați, ciclurile rapide de dezvoltare și tacticile agresive de extorcare ale operațiunii a poziționat The Gentlemen printre cele mai importante amenințări ransomware cu care se confruntă în prezent organizațiile din întreaga lume.