Le ransomware Gentlemen

Les enquêtes sur l'opération The Gentlemen révèlent que ce groupe de menaces à motivation financière fonctionnait à l'origine comme une filiale menant des attaques de double extorsion tout en tirant parti de l'infrastructure et des ressources fournies par plusieurs écosystèmes de ransomware-as-a-service (RaaS), notamment LockBit, Qilin et Medusa.

L'opération, connue sous le nom de Phantom Mantis, est suivie par plusieurs chercheurs et dirigée par un cybercriminel russophone identifié sous le pseudonyme de LARVA-368. Ce dernier est associé à de multiples pseudonymes en ligne, notamment hastalamuerte, ArmCorp, zeta88, nobody0 et santamuerte. Actif depuis mars 2025, le groupe a publiquement revendiqué la responsabilité de 478 victimes.

Émergence du groupe de menace

Une transformation majeure s'est produite en juillet 2025 lorsque Phantom Mantis est devenu The Gentlemen, un programme de partenariat indépendant n'étant plus dépendant d'opérateurs RaaS externes. Cette transition s'est accompagnée d'un recours intensif à l'intelligence artificielle pour le développement de ransomwares, la maintenance des outils et les activités post-exploitation.

Les analyses de renseignement sur les menaces indiquent que LARVA-368 opérait auparavant au sein du groupe de ransomware Embargo avant de lancer une opération distincte sous la marque ArmCorp. Quatre mois plus tard, l'opération a été rebaptisée The Gentlemen.

Ce changement de calendrier coïncidait avec un différend public entre LARVA-368 et l'opération de ransomware Qilin. LARVA-368 accusait Qilin d'avoir perpétré une escroquerie à la sortie et d'avoir retenu environ 48 000 $ de gains.

Afin de renforcer sa présence sur les marchés clandestins, Phantom Mantis a investi dans des abonnements premium sur des forums de cybercriminalité. Les communications et le support technique sont principalement assurés par une entité distincte russophone connue sous le nom de The Gentlemen Data.

Un écosystème de ransomware mature et en croissance rapide

Les chercheurs en sécurité décrivent The Gentlemen comme une opération de ransomware très adaptable et en constante évolution, combinant des techniques de ransomware traditionnelles avec des capacités modernes de RaaS (Rasorsomware as a Service). Son modèle opérationnel intègre la double extorsion, des variantes de ransomware multiplateformes, des mécanismes de propagation flexibles et un vaste réseau d'affiliés.

Le groupe s'est rapidement imposé comme l'un des acteurs les plus actifs du secteur des ransomwares, représentant environ 10 % de toute l'activité de ransomware observée en avril 2026. Les campagnes d'attaque suivent généralement une chaîne d'intrusion axée sur les entreprises qui commence par des services vulnérables exposés à Internet ou des identifiants compromis.

L'analyse suggère en outre que les opérateurs peuvent modifier dynamiquement leurs tactiques lors des intrusions. Parmi les activités observées figurent la manipulation des objets de stratégie de groupe (GPO), la compromission de comptes privilégiés et le déploiement de techniques personnalisées conçues pour contourner les contrôles de sécurité des terminaux.

La répartition des victimes révèle une prédominance internationale. Environ 13 % seulement des victimes connues se trouvent aux États-Unis, tandis que les plus fortes concentrations de victimes ont été observées en Thaïlande, au Royaume-Uni, au Brésil, en Allemagne et en Inde.

Soutien aux affiliés et opérations commerciales criminelles

The Gentlemen maintient un écosystème d'affiliation structuré, soutenu directement par LARVA-368. Des comptes dédiés sur la plateforme IM de The Gentlemen fournissent une assistance pour les processus de chiffrement et les défis liés aux intrusions, y compris l'accès à des outils de contournement EDR qui exploitent les techniques Bring Your Own Vulnerable Driver (BYOVD).

Les services d'assistance pour The Gentlemen et The Gentlemen Data sont disponibles via les plateformes de messagerie Tox, SimpleX Chat et Ricochet Refresh. Les candidats au programme d'affiliation doivent soumettre au moins 1 Go de données volées aux victimes avant d'obtenir l'accès au portail d'affiliation. Cette exigence vise à empêcher les chercheurs et les forces de l'ordre d'infiltrer la plateforme en se faisant passer pour des affiliés.

Le portail de gestion des affiliés permet l'administration des utilisateurs, la configuration des cibles et la gestion du déploiement des ransomwares. Afin d'attirer des participants, l'opération propose une structure de partage des revenus très avantageuse : 90 % des bénéfices reviennent aux affiliés et 10 % aux opérateurs.

Infrastructure technique et méthodologie d’attaque

Le groupe propose cinq variantes de ransomware conçues pour cibler les systèmes Windows, Linux, ESXi, Windows XP et versions ultérieures, ainsi que les environnements utilisant Logical Volume Manager (LVM). Les premières attaques visent généralement les infrastructures exposées à Internet, telles que les appliances VPN, les pare-feu et les périphériques de périphérie.

Le cycle de vie d'une intrusion intègre un large arsenal d'outils et de techniques offensives :

• Les outils d'intrusion tels que NetExec, RelayKing, TaskHound, PrivHound et CertiHound servent à la reconnaissance d'Active Directory, à l'exploitation abusive de certificats, à l'élévation de privilèges et à la découverte des partages réseau. D'autres outils, comme EDRStartupHinder, gfreeze, glinker et DumpBrowserSecrets, facilitent le contournement des défenses et le vol d'identifiants, tandis que Velociraptor prend en charge les activités de commande et de contrôle.
• Les actions entreprises après une compromission consistent souvent à effacer les journaux d'événements système, d'application et de sécurité de Windows, à désactiver Microsoft Defender et à créer des exclusions antivirus afin de réduire les risques de détection.

Le ransomware utilise un modèle de chiffrement hybride combinant l'échange de clés X25519 et le chiffrement symétrique XChaCha20. Les chercheurs qui suivent l'activité du groupe Storm-2697 ont déterminé que le logiciel malveillant est écrit en Go et obfusqué à l'aide de Garble.

Le paramètre « --spread » active une fonctionnalité particulièrement dangereuse, transformant le ransomware, initialement conçu pour chiffrer un seul hôte, en un ver auto-réplicatif capable de se propager sur les systèmes du réseau accessibles. Lorsqu'il est exécuté avec l'argument « --wipe », le logiciel malveillant effectue des actions supplémentaires visant à supprimer toute trace récupérable après le chiffrement.

Tactiques d’extorsion et agilité opérationnelle

Tout porte à croire que le groupe « The Gentlemen » utilise une stratégie d'extorsion multicanale qui va au-delà du simple déploiement de rançongiciels. Les victimes peuvent également être contactées directement par courriel et subir des campagnes de pression téléphonique visant à obtenir le paiement.

Le cycle de développement du groupe témoigne d'une réactivité exceptionnelle. Un exemple notable s'est produit en avril 2026, lorsque les opérateurs ont publié un correctif le jour même où un outil de déchiffrement est devenu public.

Les intrusions restent généralement indétectées pendant deux à six semaines avant le chiffrement. Les organisations utilisant une infrastructure VMware semblent être particulièrement visées.

Des fuites internes révèlent la structure organisationnelle

Une importante avancée en matière de renseignement a eu lieu en mai 2026 suite à la divulgation d'une base de données interne Rocket.Chat utilisée par le groupe. La fuite contenait 3 366 messages échangés entre novembre 2025 et fin avril 2026, offrant un aperçu précieux de la structure interne et des processus de l'opération.

Les communications ont révélé une répartition claire des responsabilités entre les membres et ont documenté l'exploitation de vulnérabilités affectant les technologies VMware Aria Operations, Fortinet, Cisco et Microsoft. Les documents ont mis en lumière une organisation criminelle bien structurée, avec des rôles spécialisés pour chaque phase des attaques.

Les informations divulguées ont également révélé une surveillance et une évaluation actives des vulnérabilités émergentes, notamment CVE-2024-55591, CVE-2025-32433 et CVE-2025-33073. Ces exploits étaient combinés à d'autres vecteurs d'attaque impliquant l'exploitation abusive des systèmes de sauvegarde, la compromission du contrôleur de gestion et les techniques de relais NTLM, créant ainsi un cadre d'exploitation extrêmement flexible.

Présentation d’une boîte à outils complète pour opérateur

En mars 2026, des chercheurs en cybersécurité ont identifié un répertoire vulnérable hébergé sur le service d'hébergement sécurisé Proton66. Ce répertoire contenait 126 fichiers attribués à une filiale de The Gentlemen RaaS et exposait de fait l'ensemble des outils nécessaires à un opérateur de ransomware.

La boîte à outils divulguée couvrait presque toutes les étapes du cycle de vie d'une attaque :

• Reconnaissance et profilage des victimes
• Élévation des privilèges

• évasion défensive

• Vol d'identifiants

• Mouvement latéral

• Mécanismes de persistance

• Activités préparatoires avant le chiffrement

L'étendue de la boîte à outils a mis en évidence la maturité opérationnelle de l'écosystème et a offert un aperçu rare des ressources mises à la disposition des affiliés.

La menace qui se cache derrière la marque

LARVA-368 est impliqué dans des activités cybercriminelles axées sur l'extorsion depuis au moins 2020. L'expérience acquise grâce à des collaborations avec de multiples opérations de ransomware semble lui avoir fourni l'expertise technique, les connaissances opérationnelles et le réseau criminel nécessaires pour établir et développer The Gentlemen en une importante entreprise RaaS indépendante.

La combinaison de sophistication technique, de pratiques commerciales axées sur les affiliés, de cycles de développement rapides et de tactiques d'extorsion agressives a positionné The Gentlemen parmi les menaces de ransomware les plus importantes auxquelles sont actuellement confrontées les organisations du monde entier.