Un nuevo análisis de las operaciones de The Gentlemen revela que el grupo de amenazas con motivación financiera inicialmente operó como un afiliado que llevaba a cabo ataques de extorsión dual, aprovechando los recursos de varios esquemas de ransomware como servicio (RaaS), incluidos LockBit (también conocido como Tenacious Mantis), Qilin (también conocido como Pestilent Mantis) y Medusa (también conocido como Venomous Mantis).
Según un informe detallado publicado por PRODAFT, el grupo, rastreado como Phantom Mantis, está liderado por un cibercriminal de habla rusa rastreado como LARVA-368 y recibe los apodos de Hasta La Muerte, Armcorp, Zeta 88, Nobody 0 y Santa Muerte. Según los datos de Ransomware.Live, se sabe que los caballeros han estado activos desde marzo de 2025 y han cobrado un total de 478 víctimas hasta la fecha.
«En julio de 2025, Phantom Mantis pasó a The Gentlemen, un programa de asociación independiente de otros grupos RaaS», dijo la empresa suiza de ciberseguridad. «Además, LARVA-368 depende en gran medida de la inteligencia artificial para desarrollar y mantener su ransomware y sus herramientas, así como para ayudar con los procedimientos posteriores a la explotación».
En cuanto a LARVA-368, se cree que el actor fue miembro del grupo de ransomware Embargo (también conocido como Primeval Mantis) antes de comenzar su propia operación bajo el nombre de ArmCorp. Luego, cuatro meses después, la marca se cambió a ‘The Gentlemen’.
El periodista de ciberseguridad Brian Krebs reveló más tarde la identidad de la persona como Alexander Andreevich Yapayev (Япаев Алексанр Андреевич), un hombre de 36 años de la ciudad rusa de Izhevsk. PRODAFT dijo a The Hacker News que sus hallazgos coinciden con la misma persona con «alta confianza».
Como detalló Dark Atlas en agosto de 2025, este cambio coincide con una disputa de pago entre LARVA-368 y Qilin, en la que el actor de amenazas acusó a la operación RaaS de realizar una estafa de salida para defraudarlos por 48.000 dólares.
«Phantom Mantis era un grupo afiliado muy activo con más de 20 objetivos registrados en el panel de afiliados en 30 días, pero el administrador del grupo (LARVA-368) y LARVA-367 (también conocido como DevMan), un ex miembro de Phantom Mantis, han confirmado que Pestilent Mantis está estafando a los afiliados y que los afiliados de Pestilent Mantis afirmaron que existía una ‘puerta trasera’ dentro de los chats de las víctimas del panel», dijo PRODAFT. señaló.
«Si bien no pudimos confirmar estas afirmaciones, es posible que LARVA-368 y LARVA-367 difundieran intencionalmente desinformación con el objetivo de desacreditar al grupo y reclutar asociados de Pestilent Mantis para Phantom Mantis».
También se ha observado que Phantom Mantis paga por cuentas premium en foros clandestinos para aumentar su visibilidad y defenderse de la competencia, y las comunicaciones y el soporte técnico del grupo están a cargo de otra persona de habla rusa llamada The Gentlemen Data.
Algunos de los otros aspectos destacados del esquema de extorsión compilados a partir de varios informes son:
En un análisis de ransomware a finales del año pasado, el equipo Cybereason de LevelBlue describió a The Gentlemen como una «operación de ransomware altamente adaptable y de rápido movimiento» que combina tecnología de ransomware madura con capacidades RaaS, extorsión dual, casilleros multiplataforma, propagación flexible y soporte para afiliados. Este grupo se ha convertido en uno de los actores de amenazas más activos, representando el 10% de la actividad de ransomware en abril de 2026. «Gentleman sigue una cadena centrada en la empresa que comienza desde el acceso inicial a través de servicios vulnerables conectados a Internet y credenciales robadas», dijo NCC Group. «El análisis sugiere que The Gentlemen puede adaptarse y cambiar tácticas durante los ataques, incluida la manipulación de GPO, comprometer cuentas privilegiadas y utilizar métodos personalizados para eludir la protección de los puntos finales». Sólo alrededor del 13% de las víctimas se encuentran en los Estados Unidos, y la mayoría de las víctimas se concentran en Tailandia, el Reino Unido, Brasil, Alemania y la India. LARVA-368 utiliza la cuenta de la aplicación The Gentlemen IM para ayudar a los afiliados con problemas relacionados con el cifrado y la intrusión. Por ejemplo, proporciona un eliminador de EDR que evita las soluciones de seguridad mediante técnicas de «traiga su propio controlador vulnerable» (BYOVD). Los servicios de soporte para The Gentlemen y The Gentlemen Data están disponibles a través de las plataformas de mensajería de código abierto Tox, SimpleX Chat y Ricochet Refresh. Los afiliados potenciales deben proporcionar al administrador al menos 1 GB de datos filtrados de la víctima para poder acceder al panel de afiliados. Esta es una táctica diseñada para evitar que los investigadores y las autoridades accedan a nuestra infraestructura haciéndose pasar por afiliados. El panel de afiliados admite la gestión de usuarios, la configuración de nuevos objetivos y la descarga de ransomware para objetivos específicos. Phantom Mantis ofrece cinco versiones de ransomware diseñadas para Windows, Linux, ESXi, Windows XP+ y Logical Volume Manager (LVM). El grupo corteja a los afiliados con un modelo agresivo de participación en las ganancias del 90% para los afiliados y del 10% para los operadores. El acceso inicial se obtiene a través de dispositivos periféricos, como dispositivos VPN, firewalls y otros sistemas conectados a Internet, con especial atención en plataformas como Cisco y Fortinet FortiGate. La cadena de infección utiliza utilidades de Red Team como NetExec, RelayKing, TaskHound, PrivHound y CertiHound para realizar descubrimiento de Active Directory, abuso de certificados, escalada de privilegios y detección de archivos compartidos. Otro conjunto de herramientas como EDRStartupHinder, gfreeze, glinker y DumpBrowserSecrets se utilizan para evadir programas de seguridad, y Velociraptor se utiliza para comando y control (C2). El ataque intenta borrar los registros de eventos de seguridad, aplicaciones y sistemas de Windows, deshabilitar Microsoft Defender y agregar exclusiones de antivirus. Este ransomware utiliza un esquema de cifrado híbrido que combina el intercambio de claves X25519 y el cifrado simétrico XChaCha20. Microsoft, que está rastreando el clúster bajo el nombre Storm-2697, dijo que el ransomware fue escrito en Go y ofuscado con Garble para apuntar a entornos Windows. «Cuando se habilita con el argumento –spread, el malware se transforma de un programa de cifrado de un solo host a un gusano autopropagante que intenta difundir el programa de cifrado a todos los sistemas accesibles en la red», dijo el gigante tecnológico. «Si se especifica el argumento –wipe, el ransomware The Gentlemen ejecuta rutinas adicionales posteriores al cifrado para eliminar artefactos recuperables del disco». ZeroFox dijo que el equipo de ransomware probablemente esté ejecutando una campaña de extorsión multicanal que combina ataques de ransomware con alcance por correo electrónico y tácticas de presión telefónica dirigidas a las víctimas. El grupo ha implementado un «ciclo de desarrollo responsivo», que incluye el lanzamiento de un parche el mismo día después del lanzamiento de la herramienta de descifrado en abril de 2026. El tiempo promedio de permanencia de la intrusión es de 2 a 6 semanas desde el acceso inicial al cifrado, con un enfoque particular en organizaciones que ejecutan infraestructura VMware.
El mes pasado, se filtró la base de datos interna Rocket.Chat utilizada por el grupo, que consta de 3366 mensajes desde noviembre de 2025 hasta finales de abril de 2026, lo que reveló más sobre el funcionamiento interno del grupo, incluida su explotación de fallas de seguridad conocidas en el software VMware Aria Operations, Fortinet, Cisco y Microsoft, y proporcionó una imagen completa de una empresa criminal cuyos miembros tienen distintas funciones y responsabilidades.
«El grupo rastrea y evalúa activamente las últimas vulnerabilidades, como CVE-2024-55591, CVE-2025-32433 y CVE-2025-33073, y las combina con rutas impulsadas por la tecnología, como la copia de seguridad y la explotación del controlador de gestión y los flujos de trabajo de retransmisión NTLM para proporcionar un canal de explotación flexible», afirmó Check Point.
Eso no es todo. En marzo de 2026, Hunt.io anunció que había descubierto un directorio abierto alojado en 176.120.22(.)127:80 en el proveedor ruso de alojamiento a prueba de balas Proton66, exponiendo 126 archivos que contenían un conjunto completo de herramientas de operador de ransomware que supuestamente pertenecían a la filial de The Gentlemen RaaS.
Esto incluye herramientas de reconocimiento, escalada de privilegios, evasión de defensa, robo de credenciales, movimiento lateral, persistencia y preparación previa al cifrado, que esencialmente abarcan todas las etapas del ciclo de vida de la intrusión.
“LARVA-368 es un actor de amenazas que se especializa en actividades relacionadas con la extorsión y ha estado activo desde al menos 2020”, dijo PRODAFT. «La experiencia adquirida a través de colaboraciones anteriores con varios grupos de RaaS proporcionó la base técnica necesaria para establecer The Gentlemen RaaS».
Source link
