The Gentlemen Ransomware

对“绅士”行动的调查显示，这个以经济利益为驱动的威胁组织最初是作为附属机构开展双重勒索攻击的，同时利用了包括 LockBit、Qilin 和 Medusa 在内的多个勒索软件即服务 (RaaS) 生态系统提供的基础设施和资源。

该行动被多名研究人员追踪，代号为“幻影螳螂”（Phantom Mantis），由一名名为 LARVA-368 的俄语网络犯罪分子领导。此人曾使用多个网络化名，包括 hastalamuerte、ArmCorp、zeta88、nobody0 和 santamuerte。该组织自 2025 年 3 月起活跃至今，已公开声称对 478 名受害者负责。

威胁集团的出现

2025年7月，Phantom Mantis发生了重大转变，演变为The Gentlemen，一个不再依赖外部勒索软件即服务（RaaS）运营商的独立合作项目。此次转型伴随着人工智能的广泛应用，用于支持勒索软件的开发、工具维护和后渗透活动。

威胁情报评估显示，LARVA-368 此前曾隶属于 Embargo 勒索软件组织，之后以 ArmCorp 的名义发起独立行动。四个月后，该行动更名为 The Gentlemen。

此次转变的时间点与LARVA-368和麒麟勒索软件组织之间的公开争端密切相关。该攻击者指责麒麟组织实施跑路骗局，并扣留了约4.8万美元的收益。

为了加强在地下社群中的市场影响力，幻影螳螂公司投资购买了网络犯罪论坛的高级会员资格。其通讯和技术支持职能主要由另一个名为“绅士数据”（The Gentlemen Data）的俄语人士负责。

成熟且快速增长的勒索软件生态系统

安全研究人员将“绅士”（The Gentlemen）勒索软件描述为一种高度适应性强且快速演变的勒索软件行动，它结合了传统勒索软件技术和现代勒索软件即服务（RaaS）功能。其运作模式包括双重勒索、跨平台勒索软件变种、灵活的传播机制以及广泛的联盟支持。

该组织已迅速崛起为威胁形势中最活跃的勒索软件攻击者之一，约占 2026 年 4 月所有观察到的勒索软件活动的 10%。攻击活动通常遵循以企业为中心的入侵链，该入侵链始于易受攻击的面向互联网的服务或被盗用的凭证。

分析进一步表明，攻击者可以在入侵过程中动态调整策略。这些活动包括操纵组策略对象 (GPO)、攻破特权账户以及部署旨在规避终端安全控制的定制技术。

受害者分布情况显示，袭击事件主要集中在国际范围内。已知受害者中只有约13%位于美国，而受害者最集中的国家是泰国、英国、巴西、德国和印度。

附属机构支持和犯罪业务运营

The Gentlemen 维护着一个由 LARVA-368 直接支持的结构化联盟生态系统。The Gentlemen IM 平台上的专用帐户可为加密过程和入侵相关挑战提供帮助，包括访问利用自带易受攻击驱动程序 (BYOVD) 技术的 EDR 绕过工具。

The Gentlemen 和 The Gentlemen Data 的用户支持服务可通过 Tox、SimpleX Chat 和 Ricochet Refresh 等即时通讯平台获得。有意加入的合作伙伴必须提交至少 1 GB 的被盗受害者数据，才能获得合作伙伴门户的访问权限。此项要求似乎旨在防止研究人员和执法机构冒充合作伙伴渗透平台。

联盟管理门户支持用户管理、目标配置和勒索软件部署管理。为了吸引参与者，该行动采用了一种激进的收益分成模式，将90%的利润分配给联盟成员，10%分配给运营者。

技术基础设施和攻击方法

该组织提供五种勒索软件变种，旨在攻击 Windows、Linux、ESXi、Windows XP 及更高版本的系统，以及使用逻辑卷管理器 (LVM) 的环境。初始攻击通常针对面向互联网的基础设施，例如 VPN 设备、防火墙和边缘设备。

入侵生命周期包含了一系列广泛的攻击工具和技术：

• 诸如 NetExec、RelayKing、TaskHound、PrivHound 和 CertiHound 等红队工具用于 Active Directory 侦察、证书滥用、权限提升和网络共享发现。其他工具，例如 EDRStartupHinder、gfreeze、glinker 和 DumpBrowserSecrets，则有助于规避防御和窃取凭证，而 Velociraptor 则支持命令与控制活动。
• 入侵后的常见措施包括清除 Windows 系统、应用程序和安全事件日志，禁用 Microsoft Defender，以及创建防病毒排除项以减少被检测到的机会。

该勒索软件采用混合加密模型，结合了 X25519 密钥交换和 XChaCha20 对称加密。研究人员追踪名为 Storm-2697 的活动集群，并确定该恶意软件是用 Go 语言编写的，并使用 Garble 进行了混淆处理。

“--spread”参数启用了一项特别危险的功能，它将勒索软件从单主机加密程序转变为能够自我传播的蠕虫，从而在可达的网络系统中扩散。当使用“--wipe”参数执行时，该恶意软件会执行额外的操作，旨在消除加密后可恢复的痕迹。

勒索策略和行动敏捷性

证据表明，“绅士帮”采用多渠道勒索策略，其手段远不止于部署勒索软件。受害者还可能面临直接的电子邮件沟通和电话施压，这些手段旨在提高受害者支付赎金的可能性。

该组织的开发周期展现出异常高的响应速度。一个显著的例子发生在2026年4月，当时该组织在解密器公开发布的同一天就发布了补丁。

入侵通常会在加密执行前两到六周内不被察觉。使用 VMware 基础架构的组织似乎是攻击的重点目标。

内部泄密揭示组织结构

2026年5月，该组织使用的内部Rocket.Chat数据库被曝光，情报方面取得了重大突破。泄露的信息包括2025年11月至2026年4月下旬期间交换的3366条消息，为了解该组织的内部结构和工作流程提供了宝贵的线索。

这些通信记录揭示了成员间明确的职责划分，并记录了他们利用影响 VMware Aria Operations、Fortinet、Cisco 和 Microsoft 技术的漏洞的情况。这些记录描绘了一个组织严密的犯罪团伙，团伙成员各司其职，支持攻击行动的不同阶段。

泄露的信息还显示，该公司积极监控和评估新出现的漏洞，包括 CVE-2024-55591、CVE-2025-32433 和 CVE-2025-33073。这些漏洞利用方法与涉及备份系统滥用、管理控制器入侵和 NTLM 中继技术的其他攻击途径相结合，从而创建了一个高度灵活的漏洞利用框架。

完整操作员工具包的展示

2026年3月，网络安全研究人员发现Proton66防弹主机服务上存在一个暴露的目录。该目录包含126个文件，这些文件归属于The Gentlemen RaaS的关联公司，实际上暴露了一套完整的勒索软件操作工具包。

泄露的工具包几乎涵盖了攻击生命周期的每个阶段：

• 侦察和受害者侧写
• 权限提升

• 防御规避

• 凭证盗窃

• 横向移动

• 持久性机制

• 加密前准备活动

工具包的丰富性凸显了该生态系统的运营成熟度，并让人们难得一见地了解了附属机构可用的资源。

品牌背后的威胁

LARVA-368 自 2020 年以来一直从事以勒索为中心的网络犯罪活动。通过与多个勒索软件行动的合作所获得的经验似乎为其提供了必要的技术专长、运营知识和犯罪网络，从而将 The Gentlemen 发展成为一个重要的独立 RaaS 企业。

该组织凭借其技术上的精湛、以联盟为中心的商业模式、快速的开发周期以及激进的勒索策略，已成为目前全球组织面临的最突出的勒索软件威胁之一。