The Gentlemen Ransomware

對「紳士」行動的調查顯示，這個以經濟利益為驅動的威脅組織最初是作為附屬機構進行雙重勒索攻擊的，同時利用了包括 LockBit、Qilin 和 Medusa 在內的多個勒索軟體即服務 (RaaS) 生態系統提供的基礎設施和資源。

該行動被多名研究人員追踪，代號為「幻影螳螂」（Phantom Mantis），由一名名為 LARVA-368 的俄語網路犯罪分子領導。此人曾使用多個網路化名，包括 hastalamuerte、ArmCorp、zeta88、nobody0 和 santamuerte。該組織自 2025 年 3 月起活躍至今，已公開聲稱對 478 名受害者負責。

威脅集團的出現

2025年7月，Phantom Mantis發生了重大轉變，演變為The Gentlemen，一個不再依賴外部勒索軟體即服務（RaaS）營運商的獨立合作專案。此次轉型伴隨著人工智慧的廣泛應用，用於支援勒索軟體的開發、工具維護和後滲透活動。

威脅情報評估顯示，LARVA-368 先前曾隸屬於 Embargo 勒索軟體組織，之後以 ArmCorp 的名義發起獨立行動。四個月後，該行動更名為 The Gentlemen。

此次轉變的時間點與LARVA-368和麒麟勒索軟體組織之間的公開爭端密切相關。該攻擊者指責麒麟組織實施跑路騙局，並扣留了約4.8萬美元的收益。

為了加強在地下社群中的市場影響力，幻影螳螂公司投資購買了網路犯罪論壇的高級會員資格。其通訊和技術支援職能主要由另一個名為「紳士資料」（The Gentlemen Data）的俄語人士負責。

成熟且快速成長的勒索軟體生態系統

安全研究人員將「紳士」（The Gentlemen）勒索軟體描述為高度適應性強且快速演變的勒索軟體行動，它結合了傳統勒索軟體技術和現代勒索軟體即服務（RaaS）功能。其運作模式包括雙重勒索、跨平台勒索軟體變種、靈活的傳播機制以及廣泛的聯盟支援。

該組織已迅速崛起為威脅情勢中最活躍的勒索軟體攻擊者之一，約佔 2026 年 4 月所有觀察到的勒索軟體活動的 10%。攻擊活動通常遵循以企業為中心的入侵鏈，該入侵鏈始於易受攻擊的面向互聯網的服務或被盜用的憑證。

分析進一步表明，攻擊者可以在入侵過程中動態調整策略。這些活動包括操縱群組原則物件 (GPO)、攻破特權帳戶以及部署旨在規避終端安全控制的客製化技術。

受害者分佈情況顯示，攻擊事件主要集中在國際範圍內。已知受害者中只有約13%位於美國，而受害者最集中的國家是泰國、英國、巴西、德國和印度。

附屬機構支援和犯罪業務運營

The Gentlemen 維護著一個由 LARVA-368 直接支援的結構化聯盟生態系統。 The Gentlemen IM 平台上的專用帳戶可為加密過程和入侵相關挑戰提供協助，包括存取利用自帶易受攻擊驅動程式 (BYOVD) 技術的 EDR 繞過工具。

The Gentlemen 和 The Gentlemen Data 的使用者支援服務可透過 Tox、SimpleX Chat 和 Ricochet Refresh 等即時通訊平台取得。有意加入的合作夥伴必須提交至少 1 GB 的被盜受害者數據，才能獲得合作夥伴入口網站的存取權限。此項要求似乎旨在防止研究人員和執法機構冒充合作夥伴滲透平台。

聯盟管理入口網站支援使用者管理、目標配置和勒索軟體部署管理。為了吸引參與者，該行動採用了一種激進的收益分成模式，將90%的利潤分配給聯盟成員，10%分配給營運者。

技術基礎設施和攻擊方法

該組織提供五種勒索軟體變種，旨在攻擊 Windows、Linux、ESXi、Windows XP 及更高版本的系統，以及使用邏輯磁碟區管理器 (LVM) 的環境。初始攻擊通常針對網路導向的基礎設施，例如 VPN 設備、防火牆和邊緣設備。

入侵生命週期包含了一系列廣泛的攻擊工具和技術：

• 諸如 NetExec、RelayKing、TaskHound、PrivHound 和 CertiHound 等紅隊工具用於 Active Directory 偵察、證書濫用、權限提升和網路共享發現。其他工具，例如 EDRStartupHinder、gfreeze、glinker 和 DumpBrowserSecrets，則有助於規避防禦和竊取憑證，而 Velociraptor 則支援命令與控制活動。
• 入侵後的常見措施包括清除 Windows 系統、應用程式和安全性事件日誌，停用 Microsoft Defender，以及建立防毒排除項目以減少被偵測到的機會。

勒索軟體採用混合加密模型，結合了 X25519 金鑰交換和 XChaCha20 對稱加密。研究人員追蹤名為 Storm-2697 的活動集群，並確定該惡意軟體是用 Go 語言編寫的，並使用 Garble 進行了混淆處理。

「--spread」參數啟用了一項特別危險的功能，它將勒索軟體從單主機加密程式轉變為能夠自我傳播的蠕蟲，從而在可達的網路系統中擴散。當使用「--wipe」參數執行時，該惡意軟體會執行額外的操作，旨在消除加密後可恢復的痕跡。

勒索策略和行動敏捷性

證據表明，「紳士幫」採用多通道勒索策略，其手段遠不止於部署勒索軟體。受害者也可能面臨直接的電子郵件溝通和電話施壓，這些手段旨在提高受害者支付贖金的可能性。

該組織的開發週期展現出異常高的反應速度。一個顯著的例子發生在2026年4月，當時該組織在解密器公開發布的同一天就發布了補丁。

入侵通常會在加密執行前兩到六週內不被察覺。使用 VMware 基礎架構的組織似乎是攻擊的重點目標。

內部洩密揭示組織結構

2026年5月，該組織使用的內部Rocket.Chat資料庫曝光，情報方面取得了重大突破。洩漏的資訊包括2025年11月至2026年4月下旬期間交換的3366條訊息，為了解組織的內部結構和工作流程提供了寶貴的線索。

這些通訊記錄揭示了成員間明確的職責劃分，並記錄了他們利用影響 VMware Aria Operations、Fortinet、Cisco 和 Microsoft 技術的漏洞的情況。這些記錄描繪了一個組織嚴密的犯罪團夥，團夥成員各司其職，支持攻擊行動的不同階段。

洩漏的資訊也顯示，該公司積極監控和評估新出現的漏洞，包括 CVE-2024-55591、CVE-2025-32433 和 CVE-2025-33073。這些漏洞利用方法與涉及備份系統濫用、管理控制器入侵和 NTLM 中繼技術的其他攻擊途徑相結合，從而創建了一個高度靈活的漏洞利用框架。

完整操作員工具包的展示

2026年3月，網路安全研究人員發現Proton66防彈主機服務上有一個暴露的目錄。目錄包含126個文件，這些文件歸屬於The Gentlemen RaaS的關聯公司，實際上暴露了一套完整的勒索軟體操作工具包。

洩漏的工具包幾乎涵蓋了攻擊生命週期的每個階段：

• 偵察和受害者側寫
• 權限提升

• 防禦規避

• 憑證盜竊

• 橫向移動

• 持久性機制

• 加密前準備活動

工具包的豐富性凸顯了該生態系統的運作成熟度，並讓人們難得地了解了附屬機構可用的資源。

品牌背後的威脅

LARVA-368 自 2020 年以來一直從事以勒索為中心的網路犯罪活動。透過與多個勒索軟體行動的合作所獲得的經驗似乎為其提供了必要的技術專長、營運知識和犯罪網絡，從而將 The Gentlemen 發展成為一個重要的獨立 RaaS 企業。

該組織憑藉其技術上的精湛、以聯盟為中心的商業模式、快速的開發週期以及激進的勒索策略，已成為目前全球組織面臨的最突出的勒索軟體威脅之一。