Phần mềm tống tiền Gentlemen

Các cuộc điều tra về hoạt động của The Gentlemen cho thấy nhóm tội phạm mạng có động cơ tài chính này ban đầu hoạt động như một chi nhánh thực hiện các cuộc tấn công tống tiền kép, tận dụng cơ sở hạ tầng và tài nguyên được cung cấp bởi nhiều hệ sinh thái Ransomware-as-a-Service (RaaS), bao gồm LockBit, Qilin và Medusa.

Hoạt động này đang được một số nhà nghiên cứu theo dõi dưới cái tên Phantom Mantis và do một tội phạm mạng nói tiếng Nga có biệt danh LARVA-368 cầm đầu. Cá nhân này có liên quan đến nhiều bí danh trực tuyến khác nhau, bao gồm hastalamuerte, ArmCorp, zeta88, nobody0 và santamuerte. Hoạt động từ tháng 3 năm 2025, nhóm này đã công khai nhận trách nhiệm về 478 nạn nhân.

Sự xuất hiện của Nhóm đe dọa

Một sự chuyển đổi lớn đã diễn ra vào tháng 7 năm 2025 khi Phantom Mantis phát triển thành The Gentlemen, một chương trình hợp tác độc lập không còn phụ thuộc vào các nhà điều hành RaaS bên ngoài. Quá trình chuyển đổi này đi kèm với việc sử dụng rộng rãi trí tuệ nhân tạo để hỗ trợ phát triển phần mềm tống tiền, bảo trì công cụ và các hoạt động sau khi khai thác.

Các đánh giá tình báo về mối đe dọa cho thấy LARVA-368 trước đây hoạt động trong nhóm ransomware Embargo trước khi tiến hành một hoạt động riêng biệt dưới thương hiệu ArmCorp. Bốn tháng sau, hoạt động này được đổi tên thành The Gentlemen.

Thời điểm chuyển đổi này trùng khớp với một tranh chấp công khai giữa LARVA-368 và nhóm tin tặc Qilin. Nhóm tin tặc này cáo buộc Qilin thực hiện một vụ lừa đảo rút tiền và giữ lại khoảng 48.000 đô la tiền thu nhập.

Để củng cố vị thế trên thị trường trong các cộng đồng ngầm, Phantom Mantis đã đầu tư vào các gói thành viên cao cấp trên các diễn đàn tội phạm mạng. Chức năng liên lạc và hỗ trợ kỹ thuật phần lớn được quản lý bởi một nhân vật nói tiếng Nga riêng biệt có tên là The Gentlemen Data.

Một hệ sinh thái phần mềm tống tiền đã trưởng thành và phát triển nhanh chóng

Các nhà nghiên cứu bảo mật mô tả The Gentlemen là một hoạt động mã độc tống tiền có khả năng thích ứng cao và phát triển nhanh chóng, kết hợp các kỹ thuật mã độc tống tiền truyền thống với các khả năng RaaS hiện đại. Mô hình hoạt động của nó bao gồm tống tiền kép, các biến thể mã độc tống tiền đa nền tảng, cơ chế lây lan linh hoạt và hỗ trợ rộng rãi từ các đối tác liên kết.

Nhóm này đã nhanh chóng nổi lên như một trong những tác nhân tấn công ransomware hoạt động tích cực nhất trong bối cảnh an ninh mạng, chiếm khoảng 10% tổng số hoạt động ransomware được ghi nhận trong tháng 4 năm 2026. Các chiến dịch tấn công thường tuân theo chuỗi xâm nhập tập trung vào doanh nghiệp, bắt đầu từ các dịch vụ kết nối internet dễ bị tổn thương hoặc thông tin đăng nhập bị xâm phạm.

Phân tích sâu hơn cho thấy các nhà điều hành có thể linh hoạt thay đổi chiến thuật trong quá trình xâm nhập. Các hoạt động bao gồm thao túng các Đối tượng Chính sách Nhóm (GPO), xâm phạm các tài khoản có đặc quyền và triển khai các kỹ thuật tùy chỉnh được thiết kế để né tránh các biện pháp kiểm soát an ninh điểm cuối.

Phân bố nạn nhân cho thấy trọng tâm chủ yếu là quốc tế. Chỉ khoảng 13% số nạn nhân được biết đến nằm ở Hoa Kỳ, trong khi số lượng nạn nhân tập trung cao nhất được ghi nhận ở Thái Lan, Vương quốc Anh, Brazil, Đức và Ấn Độ.

Hỗ trợ liên kết và hoạt động kinh doanh tội phạm

The Gentlemen duy trì một hệ sinh thái liên kết có cấu trúc được hỗ trợ trực tiếp bởi LARVA-368. Các tài khoản chuyên dụng trên nền tảng IM của The Gentlemen cung cấp hỗ trợ cho các quy trình mã hóa và các thách thức liên quan đến xâm nhập, bao gồm cả quyền truy cập vào các công cụ bỏ qua EDR sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD).

Các dịch vụ hỗ trợ cho cả The Gentlemen và The Gentlemen Data đều có sẵn thông qua các nền tảng nhắn tin Tox, SimpleX Chat và Ricochet Refresh. Các đối tác tiềm năng phải gửi ít nhất 1 GB dữ liệu nạn nhân bị đánh cắp trước khi được cấp quyền truy cập vào cổng thông tin đối tác. Yêu cầu này dường như nhằm ngăn chặn các nhà nghiên cứu và cơ quan thực thi pháp luật xâm nhập nền tảng bằng cách giả danh là đối tác.

Cổng quản lý đối tác cho phép quản lý người dùng, cấu hình mục tiêu và quản lý triển khai phần mềm tống tiền. Để thu hút người tham gia, hoạt động này thúc đẩy cấu trúc chia sẻ doanh thu hấp dẫn, phân bổ 90% lợi nhuận cho các đối tác và 10% cho các nhà điều hành.

Cơ sở hạ tầng kỹ thuật và phương pháp tấn công

Nhóm này cung cấp năm biến thể mã độc tống tiền được thiết kế để nhắm mục tiêu vào các hệ thống Windows, Linux, ESXi, Windows XP và các hệ thống sau này, cũng như các môi trường sử dụng Trình quản lý ổ đĩa logic (LVM). Các hoạt động truy cập ban đầu thường tập trung vào cơ sở hạ tầng hướng ra internet như thiết bị VPN, tường lửa và các thiết bị biên.

Chu kỳ xâm nhập bao gồm một kho vũ khí rộng lớn gồm các công cụ và kỹ thuật tấn công:

• Các công cụ tấn công mô phỏng (red-team) như NetExec, RelayKing, TaskHound, PrivHound và CertiHound được sử dụng để trinh sát Active Directory, phát hiện lạm dụng chứng chỉ, leo thang đặc quyền và khám phá các thư mục chia sẻ mạng. Các công cụ bổ sung bao gồm EDRStartupHinder, gfreeze, glinker và DumpBrowserSecrets hỗ trợ việc né tránh phòng thủ và đánh cắp thông tin đăng nhập, trong khi Velociraptor hỗ trợ các hoạt động điều khiển và kiểm soát.
• Các hành động sau khi xâm nhập thường bao gồm xóa nhật ký hệ thống, ứng dụng và sự kiện bảo mật của Windows, vô hiệu hóa Microsoft Defender và tạo các ngoại lệ cho phần mềm diệt virus để giảm thiểu cơ hội bị phát hiện.

Phần mềm tống tiền này sử dụng mô hình mã hóa lai kết hợp trao đổi khóa X25519 với mã hóa đối xứng XChaCha20. Các nhà nghiên cứu theo dõi cụm hoạt động này với tên gọi Storm-2697 đã xác định rằng phần mềm độc hại được viết bằng ngôn ngữ Go và được mã hóa bằng Garble.

Một khả năng đặc biệt nguy hiểm được kích hoạt thông qua tham số '--spread', biến phần mềm tống tiền từ một công cụ mã hóa trên một máy chủ duy nhất thành một loại sâu tự lan truyền có khả năng tự phân tán trên các hệ thống mạng có thể truy cập được. Khi được thực thi với đối số '--wipe', phần mềm độc hại sẽ thực hiện các hành động bổ sung nhằm xóa bỏ các dấu vết có thể khôi phục được sau khi mã hóa.

Chiến thuật tống tiền và sự linh hoạt trong hoạt động

Bằng chứng cho thấy nhóm The Gentlemen sử dụng chiến lược tống tiền đa kênh, không chỉ giới hạn ở việc triển khai mã độc tống tiền. Nạn nhân cũng có thể phải đối mặt với các cuộc liên lạc trực tiếp qua email và các chiến dịch gây áp lực qua điện thoại nhằm tăng khả năng thanh toán.

Chu kỳ phát triển của nhóm thể hiện mức độ phản hồi cao bất thường. Một ví dụ đáng chú ý xảy ra vào tháng 4 năm 2026 khi các nhà điều hành phát hành bản vá lỗi cùng ngày mà công cụ giải mã được công khai.

Các vụ xâm nhập thường không bị phát hiện trong khoảng thời gian từ hai đến sáu tuần trước khi quá trình mã hóa được thực hiện. Các tổ chức vận hành cơ sở hạ tầng VMware dường như là mục tiêu đặc biệt của các nỗ lực nhắm mục tiêu.

Thông tin rò rỉ nội bộ hé lộ cấu trúc tổ chức.

Một bước đột phá quan trọng về tình báo đã xảy ra vào tháng 5 năm 2026 sau khi cơ sở dữ liệu nội bộ của Rocket.Chat do nhóm này sử dụng bị lộ. Vụ rò rỉ chứa 3.366 tin nhắn được trao đổi từ tháng 11 năm 2025 đến cuối tháng 4 năm 2026, cung cấp những thông tin quý giá về cấu trúc nội bộ và quy trình làm việc của nhóm.

Các thông tin liên lạc cho thấy sự phân chia trách nhiệm rõ ràng giữa các thành viên và ghi lại việc sử dụng các lỗ hổng ảnh hưởng đến công nghệ VMware Aria Operations, Fortinet, Cisco và Microsoft. Hồ sơ mô tả một tổ chức tội phạm có tổ chức bài bản với các vai trò chuyên biệt hỗ trợ các giai đoạn khác nhau của hoạt động tấn công.

Thông tin bị rò rỉ cũng cho thấy hoạt động giám sát và đánh giá tích cực các lỗ hổng bảo mật mới nổi, bao gồm CVE-2024-55591, CVE-2025-32433 và CVE-2025-33073. Các lỗ hổng này được kết hợp với các phương thức tấn công bổ sung liên quan đến việc lạm dụng hệ thống sao lưu, xâm phạm bộ điều khiển quản lý và kỹ thuật chuyển tiếp NTLM, tạo ra một khung khai thác cực kỳ linh hoạt.

Giới thiệu đầy đủ bộ công cụ vận hành

Vào tháng 3 năm 2026, các nhà nghiên cứu an ninh mạng đã phát hiện một thư mục bị lộ thông tin được lưu trữ trên dịch vụ lưu trữ chống tấn công Proton66. Thư mục này chứa 126 tập tin được cho là thuộc về một chi nhánh của nhóm tấn công ransomware The Gentlemen và đã vô tình để lộ bộ công cụ hoàn chỉnh của một phần mềm tống tiền.

Bộ công cụ bị rò rỉ bao gồm gần như mọi giai đoạn của vòng đời tấn công:

• Trinh sát và lập hồ sơ nạn nhân
• Sự leo thang đặc quyền

• Né tránh phòng thủ

• Đánh cắp thông tin đăng nhập

• Chuyển động ngang

• Cơ chế duy trì

• Các hoạt động chuẩn bị trước khi mã hóa

Sự đa dạng của bộ công cụ đã làm nổi bật sự trưởng thành về mặt vận hành của hệ sinh thái và cung cấp một cái nhìn hiếm hoi về các nguồn lực sẵn có cho các đối tác liên kết.

Mối đe dọa đằng sau thương hiệu

LARVA-368 đã tham gia vào các hoạt động tội phạm mạng tập trung vào tống tiền ít nhất từ năm 2020. Kinh nghiệm thu được thông qua việc hợp tác với nhiều tổ chức ransomware khác nhau dường như đã cung cấp cho họ chuyên môn kỹ thuật, kiến thức vận hành và mạng lưới tội phạm cần thiết để thiết lập và mở rộng quy mô The Gentlemen thành một doanh nghiệp RaaS độc lập đáng kể.

Sự kết hợp giữa kỹ thuật tinh vi, các hoạt động kinh doanh tập trung vào đối tác, chu kỳ phát triển nhanh chóng và chiến thuật tống tiền hung hăng đã đưa The Gentlemen trở thành một trong những mối đe dọa ransomware nổi bật nhất hiện nay đối với các tổ chức trên toàn thế giới.