Source: Trend Micro (analyse publiée le 9 septembre 2025). Le rapport couvre une campagne d’août 2025 menée par le groupe ransomware émergent The Gentlemen, caractérisée par des outils adaptatifs et des contournements ciblés des protections d’entreprise. Les secteurs les plus touchés sont la manufacture, la construction, la santé et l’assurance, avec un fort focus Asie‑Pacifique (notamment Thaïlande) et les États‑Unis (17 pays affectés).

Chaîne d’attaque et mouvements: l’accès initial est attribué avec probabilité à l’exploitation de services exposés ou à des identifiants compromis. Des indices montrent la compromission d’un compte administrateur FortiGate et d’un serveur FortiGate accessible depuis Internet. La découverte réseau s’appuie sur Advanced IP Scanner et des scripts batch (ex. “1.bat”) pour l’énumération massive des comptes/groupes Active Directory. La latéralisation utilise PsExec, l’affaiblissement des paramètres d’authentification via modifications du Registre, et la persistance via AnyDesk. Des scans internes sont réalisés avec Nmap; un usage de PuTTY/SSH est également évoqué.

Évasion et escalade: le groupe abuse de pilotes légitimes vulnérables pour tuer des processus protégés en chargeant ThrottleBlood.sys via All.exe (évasion noyau). Il adapte ensuite ses méthodes selon les agents de sécurité détectés, en recourant à PowerRun.exe (élévation) puis à un binaire sur mesure Allpatch2.exe ciblant des composants anti‑AV. La manipulation GPO (“gpmc.msc”/“gpme.msc”) et des PowerShell encodés servent à identifier le PDC et préparer un déploiement à l’échelle du domaine.

Collecte, exfiltration et impact: des données sont pré‑stagées dans “C:\ProgramData\data” avec une activité WebDAV soutenue vers des partages internes. L’exfiltration chiffrée passe par WinSCP. Le rançongiciel est propagé depuis le partage NETLOGON avec un exécutable protégé par mot de passe (paramètre “–password” de 8 caractères), après neutralisation de Windows Defender (Set‑/Add‑MpPreference) et activation RDP par règles firewall. Le binaire ajoute l’extension .7mtzhh, dépose la note README-GENTLEMEN.txt, arrête en masse des services/processus liés à sauvegardes, bases de données et sécurité, puis effectue un nettoyage (journaux RDP, Defender Support, Prefetch, événements, shadow copies via “vssadmin”/“wmic”).

📌 IOCs et artefacts clés:

  • Extensions/notes: .7mtzhh, README-GENTLEMEN.txt
  • Binaires/outils observés: All.exe, ThrottleBlood.sys, Allpatch2.exe, PowerRun.exe, PsExec, AnyDesk, Nmap, PuTTY, WinSCP.exe, Advanced IP Scanner
  • Chemins/commandes notables: “C:\ProgramData\data\…”, “C:\ProgramData\WinSCP.exe”, distribution via “\\.local\NETLOGON\.exe –password <8‑byte>”, commandes PowerShell encodées, modifications Registre (Lsa, RDP SecurityLayer), “Set-MpPreference” / “Add-MpPreference”, “netsh firewall set service type remotedesktop mode enable”, effacement journaux (“wevtutil cl …”), suppression VSS (“vssadmin delete shadows /all /quiet”).
  • Hachages SHA1 (Trend):
    • c12c4d58541cc4f75ae19b65295a52c559570054 — Ransom.Win64.GENTLEMAN.THHAIBE
    • c0979ec20b87084317d1bfa50405f7149c3b5c5f — Trojan.Win64.KILLAV.THHBHBE
    • df249727c12741ca176d5f1ccba3ce188a546d2 — (associé à KILLAV)
    • e00293ce0eb534874efd615ae590cf6aa3858ba4 — HackTool.Win32.PowerRun.THHBHBE
  • Indices de chasse Trend Vision One: recherche du motif “–password (\w{8})” avec présence .7mtzhh ou README-GENTLEMEN.txt.

🧩 TTPs (MITRE ATT&CK) mis en évidence:

  • Initial Access: T1190 (applications exposées), T1078.002 (comptes de domaine)
  • Discovery: T1046, T1018, T1087.002, T1069.002, T1482
  • Execution: T1059.003, T1059.001
  • Defense Evasion: T1562.001, T1014, T1112, T1562.004, T1027
  • Privilege Escalation: T1484.001 (modification GPO)
  • Persistence/C2: T1219 (AnyDesk), T1071.001 (WebDAV)
  • Lateral Movement: T1021.002, T1021.001, T1021.004
  • Collection/Exfiltration: T1074.001, T1039, T1048.001
  • Impact: T1486 (chiffrement), T1489 (arrêt services)

Conclusion: il s’agit d’une analyse de menace détaillant les TTPs, les IOCs et la mécanique opérationnelle de la campagne “The Gentlemen”, avec cartographie MITRE et éléments de chasse destinés aux équipes de défense.

🧠 TTPs et IOCs détectés

TTP

[‘T1190’, ‘T1078.002’, ‘T1046’, ‘T1018’, ‘T1087.002’, ‘T1069.002’, ‘T1482’, ‘T1059.003’, ‘T1059.001’, ‘T1562.001’, ‘T1014’, ‘T1112’, ‘T1562.004’, ‘T1027’, ‘T1484.001’, ‘T1219’, ‘T1071.001’, ‘T1021.002’, ‘T1021.001’, ‘T1021.004’, ‘T1074.001’, ‘T1039’, ‘T1048.001’, ‘T1486’, ‘T1489’]

IOC

{‘hashes’: [‘c12c4d58541cc4f75ae19b65295a52c559570054’, ‘c0979ec20b87084317d1bfa50405f7149c3b5c5f’, ‘df249727c12741ca176d5f1ccba3ce188a546d2’, ’e00293ce0eb534874efd615ae590cf6aa3858ba4’], ‘domains’: [’\\.local\NETLOGON\.exe’], ‘ips’: []}

🔗 Source originale : https://www.trendmicro.com/en_us/research/25/i/unmasking-the-gentlemen-ransomware.html