🔍 Contexte

PubliĂ© le 22 mars 2026 par Group-IB, ce rapport analyse en profondeur les tactiques, techniques et procĂ©dures (TTPs) du groupe The Gentlemen, une opĂ©ration Ransomware-as-a-Service (RaaS) Ă©mergente composĂ©e d’environ 20 membres, anciennement connue sous le nom ArmCorp en tant qu’affiliĂ© de Qilin.

đŸ§‘â€đŸ’» Origine et historique du groupe

L’opĂ©ration est administrĂ©e par un russophone utilisant le pseudonyme hastalamuerte. Le groupe s’est sĂ©parĂ© de Qilin suite Ă  un litige financier de 48 000 USD de commission non versĂ©e, rendu public le 22 juillet 2025 sur le forum RAMP. Un premier Ă©chantillon Windows du ransomware avait dĂ©jĂ  Ă©tĂ© uploadĂ© sur VirusTotal le 17 juillet 2025 (SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2), confirmant que le dĂ©veloppement Ă©tait en cours avant la rupture publique avec Qilin. Le DLS est devenu public dĂ©but septembre 2025.

🎯 Victimologie

  • ~94 organisations attaquĂ©es Ă  ce jour
  • Ciblage prioritaire : secteurs Ă  haute valeur, implications lĂ©gales fortes, intĂ©gration LDAP, services critiques
  • Secteurs incluant la santĂ© et les infrastructures critiques

🔓 Accùs initial

  • CVE-2024-55591 : bypass d’authentification critique dans FortiOS/FortiProxy via une chaĂźne de 4 failles (WebSocket non authentifiĂ©, abus du paramĂštre local_access_token, race condition, absence de validation de credentials)
  • RĂ©sultat : accĂšs super_admin, crĂ©ation de comptes backdoor (support_fortinet, badmin, forti-api), attaque AiTM
  • Base de donnĂ©es de ~14 700 appareils FortiGate exploitĂ©s partagĂ©e avec les affiliĂ©s via une page HTML
  • 969 credentials FortiGate VPN obtenus par brute force validĂ©s et prĂȘts Ă  l’emploi
  • Reconnaissance active ciblant SonicWall VPN, Cisco ASA et Oracle E-Business Suite

⚙ ExĂ©cution et persistance

  • Activation de Windows PowerShell Web Access (PSWA)
  • Script Python custom userpassfort.py pour extraction de credentials depuis configs Fortinet + exĂ©cution de NetExec
  • TĂąches planifiĂ©es (schtasks) pour exĂ©cution de rclone.ps1 au dĂ©marrage avec privilĂšges SYSTEM
  • CrĂ©ation de comptes de domaine (MicrosoftSupporte) avec ajout aux groupes Domain Admins et Veeam db_owner
  • Manipulation de GPO pour activer SMB, RDP, dĂ©placer des objets AD

đŸ›Ąïž Évasion et contournement des dĂ©fenses

  • BYOVD (Bring Your Own Vulnerable Driver) avec ThrottleBlood.sys et viragt64.sys pour terminer les processus EDR/AV au niveau kernel
  • DĂ©sactivation de Windows Defender, Bitdefender, SentinelOne, CrowdStrike via GPO, registre et PowerShell
  • Modification des clĂ©s de registre HKLM\SYSTEM\CurrentControlSet\Control\WMI (AutoLogger/GlobalLogger)
  • Renommage de RClone en avastrclone.exe pour masquer l’exfiltration
  • Effacement des journaux d’Ă©vĂ©nements Windows (wevtutil cl Security/Application/System)

🔑 Accùs aux credentials

  • Extraction des clĂ©s DPAPI via Impacket dpapi.py
  • Extraction de credentials Veeam depuis la base SQL (soap_creds)
  • Exploitation de CVE-2023-27532 (Veeam Backup)
  • Outil custom ChromeKB3.exe pour extraction de mots de passe Chrome
  • Attaque LLMNR/NBT-NS poisoning via NetExec + module coerce_plus (PetitPotam)

đŸ“€ Exfiltration et impact

  • Exfiltration via RClone (SFTP vers 194.87.31[.]69:2222) et MEGA
  • ArrĂȘt massif de services (Veeam, SQL, Oracle, SAP, VMware, backup engines)
  • Suppression des shadow copies (vssadmin, wmic)
  • Chiffrement avec extension .7mtzhh, note de rançon README-GENTLEMEN.txt
  • Propagation WMI rĂ©cursive sur tout le domaine
  • Locker ESXi dĂ©diĂ© (suppression snapshots, kill processus, chiffrement)
  • Builder GLOCKER pour dĂ©ploiement one-click
  • Timer d’exĂ©cution diffĂ©rĂ©e (--T flag)

đŸ€– CapacitĂ©s avancĂ©es

  • Utilisation de ChatGPT, Gemini, Claude AI pour le dĂ©veloppement du ransomware
  • Reverse-engineering de Babuk, Qilin, LockBit 5.0, Medusa pour intĂ©grer leurs routines de chiffrement
  • IntĂ©gration MCP (Model Context Protocol) avec Kali Linux pour tests de pĂ©nĂ©tration automatisĂ©s

📋 Type d’article

Rapport de threat intelligence technique publiĂ© par Group-IB, visant Ă  documenter exhaustivement les TTPs d’un groupe RaaS Ă©mergent pour permettre aux Ă©quipes de sĂ©curitĂ© de dĂ©tecter et contrer ses intrusions.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • The Gentlemen (cybercriminal)
  • hastalamuerte (cybercriminal)
  • Qilin (cybercriminal)
  • Devman (cybercriminal)
  • Nightspire (cybercriminal)
  • rose87168 (cybercriminal)

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1110.001 — Brute Force: Password Guessing (Initial Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1053 — Scheduled Task/Job (Execution)
  • T1098 — Account Manipulation (Persistence)
  • T1098.007 — Account Manipulation: Additional Local or Domain Groups (Persistence)
  • T1136.002 — Create Account: Domain Account (Persistence)
  • T1484.001 — Domain or Tenant Policy Modification: Group Policy Modification (Privilege Escalation)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1112 — Modify Registry (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1036 — Masquerading: Rename Legitimate Utilities (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1222.001 — File and Directory Permissions Modification: Windows File and Directory Permissions Modification (Defense Evasion)
  • T1003.004 — OS Credential Dumping: LSA Secrets (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1557.001 — Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (Credential Access)
  • T1087.002 — Account Discovery: Domain Account (Discovery)
  • T1615 — Group Policy Discovery (Discovery)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1048 — Exfiltration Over Alternate Protocol (Exfiltration)
  • T1490 — Inhibit System Recovery (Impact)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

  • IPv4 : 194.87.31.69
  • SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2
  • SHA256 : 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235
  • SHA256 : 2834114ff7e487c4ca3f50ca39f7d652dea1be98f885c388f01b6ff35309307b
  • MD5 : d65c293efb5e6d033c83b2ac472bf0cb
  • MD5 : 42c062d6299ca9f76554441a29429404
  • MD5 : efd5366eb7473d6f7fb97ec7ac59f09d
  • MD5 : 8901ce810f999f79c51c4d4f6c93fe6b
  • CVEs : CVE-2024-55591
  • CVEs : CVE-2023-27532
  • CVEs : CVE-2025-32463
  • CVEs : CVE-2024-37085
  • Fichiers : userpassfort.py
  • Fichiers : rclone.ps1
  • Fichiers : avastrclone.exe
  • Fichiers : ChromeKB3.exe
  • Fichiers : VCENTER.ps1
  • Fichiers : ThrottleBlood.sys
  • Fichiers : viragt64.sys
  • Fichiers : README-GENTLEMEN.txt
  • Fichiers : GLOCKER
  • Fichiers : Keyloggerold.go
  • Fichiers : Keylogger.go
  • Fichiers : Keylogger2.go
  • Fichiers : deploy.cmd
  • Fichiers : anydesk.exe
  • Chemins : C:\Windows\Temp\rclone.ps1
  • Chemins : C:\ProgramData\AnyDesk.exe
  • Chemins : C:\ProgramData\AnyDesk

Malware / Outils

  • The Gentlemen Ransomware (ransomware)
  • RClone (tool)
  • NetExec (framework)
  • Chisel (tool)
  • Impacket (framework)
  • DonPAPI (tool)
  • AntSword (backdoor)
  • MeshCentral (tool)
  • AnyDesk (tool)
  • ChromeKB3.exe (stealer)
  • VCENTER.ps1 (tool)
  • SoftPerfect Network Scanner (tool)
  • Velociraptor (tool)
  • GLOCKER (tool)
  • ThrottleBlood.sys (other)
  • viragt64.sys (other)

🔗 Source originale : https://www.group-ib.com/blog/hastalamuerte-gentlemen-raas-ttps/