The Gentlemen Ransomware
Las investigaciones sobre la operación de The Gentlemen revelan que este grupo de ciberdelincuentes, motivado por intereses económicos, funcionaba originalmente como una filial que realizaba ataques de doble extorsión, aprovechando la infraestructura y los recursos proporcionados por múltiples ecosistemas de Ransomware como Servicio (RaaS), incluidos LockBit, Qilin y Medusa.
La operación es rastreada por varios investigadores bajo el nombre de Mantis Fantasma y está liderada por un ciberdelincuente de habla rusa identificado como LARVA-368. Este individuo ha estado asociado con múltiples alias en línea, incluyendo hastalamuerte, ArmCorp, zeta88, nobody0 y santamuerte. Activo desde marzo de 2025, el grupo ha reivindicado públicamente la autoría de 478 víctimas.
Tabla de contenido
Surgimiento del grupo amenazante
En julio de 2025 se produjo una importante transformación cuando Phantom Mantis evolucionó a The Gentlemen, un programa de colaboración independiente que ya no dependía de operadores externos de RaaS. Esta transición estuvo acompañada de un uso extensivo de inteligencia artificial para respaldar el desarrollo de ransomware, el mantenimiento de herramientas y las actividades posteriores a la explotación.
Las evaluaciones de inteligencia sobre amenazas indican que LARVA-368 operaba previamente dentro del grupo de ransomware Embargo antes de lanzar una operación independiente bajo la marca ArmCorp. Cuatro meses después, la operación pasó a llamarse The Gentlemen.
El momento de esta transición coincidió estrechamente con una disputa pública entre LARVA-368 y el grupo de ransomware Qilin. El atacante acusó a Qilin de llevar a cabo una estafa de salida y de retener aproximadamente 48 000 dólares en ganancias.
Para fortalecer su presencia en el mercado clandestino, Phantom Mantis ha invertido en membresías premium en foros de ciberdelincuentes. Las funciones de comunicación y soporte técnico son gestionadas principalmente por un individuo de habla rusa conocido como The Gentlemen Data.
Un ecosistema de ransomware maduro y en rápido crecimiento.
Los investigadores de seguridad describen a The Gentlemen como una operación de ransomware altamente adaptable y de rápida evolución que combina técnicas tradicionales de ransomware con capacidades modernas de RaaS (Ransomware como Servicio). Su modelo operativo incorpora doble extorsión, variantes de ransomware multiplataforma, mecanismos de propagación flexibles y un amplio soporte de afiliados.
Este grupo se ha consolidado rápidamente como uno de los actores de ransomware más activos en el panorama de amenazas, representando aproximadamente el 10 % de toda la actividad de ransomware observada durante abril de 2026. Las campañas de ataque suelen seguir una cadena de intrusión centrada en las empresas, que comienza a través de servicios vulnerables conectados a Internet o credenciales comprometidas.
Los análisis sugieren además que los operadores pueden modificar dinámicamente las tácticas durante las intrusiones. Entre las actividades realizadas se incluyen la manipulación de objetos de directiva de grupo (GPO), el compromiso de cuentas privilegiadas y la implementación de técnicas personalizadas diseñadas para eludir los controles de seguridad de los puntos finales.
La distribución de las víctimas indica un enfoque predominantemente internacional. Solo alrededor del 13 % de las víctimas conocidas se encuentran en Estados Unidos, mientras que las mayores concentraciones se han observado en Tailandia, el Reino Unido, Brasil, Alemania e India.
Apoyo a afiliados y operaciones comerciales delictivas
The Gentlemen mantiene un ecosistema de afiliados estructurado con el respaldo directo de LARVA-368. Las cuentas dedicadas en la plataforma de mensajería instantánea de The Gentlemen ofrecen asistencia para los procesos de cifrado y los desafíos relacionados con las intrusiones, incluido el acceso a herramientas para eludir la protección contra ataques EDR que utilizan técnicas de "Traiga su propio controlador vulnerable" (BYOVD).
Los servicios de soporte para The Gentlemen y The Gentlemen Data están disponibles a través de las plataformas de mensajería Tox, SimpleX Chat y Ricochet Refresh. Los posibles afiliados deben enviar al menos 1 GB de datos robados de víctimas antes de obtener acceso al portal de afiliados. Este requisito parece tener como objetivo evitar que investigadores y organismos encargados de hacer cumplir la ley se infiltren en la plataforma haciéndose pasar por afiliados.
El portal de gestión de afiliados permite administrar usuarios, configurar objetivos y gestionar el despliegue de ransomware. Para atraer participantes, la operación promueve una agresiva estructura de reparto de ingresos que asigna el 90 % de las ganancias a los afiliados y el 10 % a los operadores.
Infraestructura técnica y metodología de ataque
El grupo ofrece cinco variantes de ransomware diseñadas para atacar sistemas Windows, Linux, ESXi, Windows XP y versiones posteriores, así como entornos que utilizan Logical Volume Manager (LVM). Las operaciones de acceso inicial suelen centrarse en la infraestructura conectada a internet, como dispositivos VPN, cortafuegos y dispositivos perimetrales.
El ciclo de vida de una intrusión incorpora un amplio arsenal de herramientas y técnicas ofensivas:
- Las herramientas de pruebas de penetración (red team) como NetExec, RelayKing, TaskHound, PrivHound y CertiHound se utilizan para el reconocimiento de Active Directory, el abuso de certificados, la escalada de privilegios y el descubrimiento de recursos compartidos de red. Otras herramientas, como EDRStartupHinder, gfreeze, glinker y DumpBrowserSecrets, facilitan la evasión de las defensas y el robo de credenciales, mientras que Velociraptor admite actividades de comando y control.
- Las acciones posteriores a una intrusión suelen incluir la eliminación de los registros de eventos del sistema, de las aplicaciones y de seguridad de Windows, la desactivación de Microsoft Defender y la creación de exclusiones de antivirus para reducir las oportunidades de detección.
El ransomware emplea un modelo de cifrado híbrido que combina el intercambio de claves X25519 con el cifrado simétrico XChaCha20. Los investigadores que rastrearon el clúster de actividad, denominado Storm-2697, determinaron que el malware está escrito en Go y ofuscado mediante Garble.
Una capacidad particularmente peligrosa se habilita mediante el parámetro '--spread', que convierte el ransomware, originalmente un cifrador de un solo host, en un gusano autopropagante capaz de distribuirse a través de sistemas de red accesibles. Al ejecutarse con el argumento '--wipe', el malware realiza acciones adicionales destinadas a eliminar los archivos recuperables tras el cifrado.
Tácticas de extorsión y agilidad operativa
Las pruebas sugieren que The Gentlemen utiliza una estrategia de extorsión multicanal que va más allá del despliegue de ransomware. Las víctimas también pueden enfrentarse a comunicaciones directas por correo electrónico y campañas de presión telefónica diseñadas para aumentar la probabilidad de que paguen.
El ciclo de desarrollo del grupo demuestra un nivel de respuesta excepcionalmente alto. Un ejemplo notable ocurrió en abril de 2026, cuando los operadores lanzaron un parche el mismo día en que se hizo público un descifrador.
Las intrusiones suelen pasar desapercibidas durante periodos de entre dos y seis semanas antes de que se ejecute el cifrado. Las organizaciones que utilizan infraestructura VMware parecen ser un objetivo prioritario de los ataques.
Filtraciones internas revelan la estructura organizativa.
En mayo de 2026 se produjo un importante avance en materia de inteligencia tras la filtración de una base de datos interna de Rocket.Chat utilizada por el grupo. La filtración contenía 3366 mensajes intercambiados entre noviembre de 2025 y finales de abril de 2026, lo que proporcionó información valiosa sobre la estructura interna y los flujos de trabajo de la operación.
Las comunicaciones revelaron una clara división de responsabilidades entre los miembros y documentaron el uso de vulnerabilidades que afectaban a las tecnologías de VMware Aria Operations, Fortinet, Cisco y Microsoft. Los registros describían una organización criminal bien estructurada, con roles especializados que apoyaban las diferentes fases de las operaciones de ataque.
La información filtrada también reveló la monitorización y evaluación activas de vulnerabilidades emergentes, incluidas CVE-2024-55591, CVE-2025-32433 y CVE-2025-33073. Estas vulnerabilidades se combinaron con vías de ataque adicionales que implicaban el abuso del sistema de respaldo, el compromiso del controlador de gestión y técnicas de retransmisión NTLM, creando un marco de explotación altamente flexible.
Presentación de un conjunto completo de herramientas para el operador.
En marzo de 2026, investigadores de ciberseguridad identificaron un directorio expuesto alojado en el servicio de alojamiento a prueba de ataques Proton66. El directorio contenía 126 archivos atribuidos a una filial de The Gentlemen RaaS y, en la práctica, exponía un conjunto completo de herramientas para operadores de ransomware.
El conjunto de herramientas filtrado abarcaba prácticamente todas las etapas del ciclo de vida del ataque:
- Reconocimiento y elaboración de perfiles de víctimas
- Escalada de privilegios
- Evasión de defensa
- Robo de credenciales
- Movimiento lateral
- Mecanismos de persistencia
- Actividades de preparación previas al cifrado
La amplitud del conjunto de herramientas puso de manifiesto la madurez operativa del ecosistema y ofreció una visión excepcional de los recursos disponibles para los afiliados.
La amenaza detrás de la marca
LARVA-368 ha estado involucrado en actividades ciberdelictivas centradas en la extorsión desde al menos 2020. La experiencia adquirida a través de colaboraciones con múltiples operaciones de ransomware parece haber proporcionado la experiencia técnica, el conocimiento operativo y la red criminal necesarios para establecer y expandir The Gentlemen hasta convertirla en una importante empresa independiente de RaaS (Ransomware como Servicio).
La combinación de sofisticación técnica, prácticas comerciales centradas en afiliados, ciclos de desarrollo rápidos y tácticas de extorsión agresivas ha posicionado a The Gentlemen entre las amenazas de ransomware más destacadas a las que se enfrentan actualmente las organizaciones de todo el mundo.
