The Gentlemen RaaS : analyse technique complète du ransomware multi-plateforme et de SystemBC

🔍 Contexte

Publié le 20 avril 2026 par Check Point Research, cet article constitue une analyse technique approfondie du programme Ransomware-as-a-Service (RaaS) The Gentlemen, apparu vers mi-2025 et ayant revendiqué plus de 320 victimes, dont 240 en 2026.

🎯 Le programme RaaS The Gentlemen

The Gentlemen opère un modèle RaaS classique avec recrutement d’affiliés via des forums underground. Le groupe fournit :

• Des lockers multi-OS (Windows, Linux, NAS, BSD) écrits en Go
• Un locker ESXi écrit en C
• Des outils de kill EDR et une infrastructure de pivot multi-chaîne
• Un site onion de fuite de données
• Un compte X/Twitter (@TheGentlemen25) pour pression publique sur les victimes
• Négociations via Tox ID ou Session ID (P2P chiffré)

🔗 Chaîne d’attaque observée (DFIR)

L’attaquant est détecté initialement avec des privilèges Domain Admin sur un contrôleur de domaine. La séquence documentée est :

1. Validation de credentials et test d’accessibilité des hôtes depuis le DC
2. Déploiement de Cobalt Strike via partages ADMIN$ (\\host\ADMIN$\<random_7_char>.exe) et exécution par RPC
3. Reconnaissance : systeminfo, whoami, dir c:\users, lecture de fichiers internes
4. Tentative de déploiement de SystemBC (socks.exe) vers 45.86.230[.]112 — bloquée par l’EDR
5. C2 Cobalt Strike établi vers 91.107.247[.]163 via rundll32.exe (ports 443/80)
6. Téléchargement du ransomware (grand.exe → c:\programdata\r.exe) depuis un DC interne via PowerShell
7. Désactivation de Windows Defender et exclusions étendues
8. Activation RDP et installation d’AnyDesk (mot de passe : Camry@12345)
9. Credential harvesting via Mimikatz
10. Énumération AD : sessions, trusts, DC, groupes privilégiés
11. Déploiement final via GPO sur tous les systèmes joints au domaine

🦠 Analyse technique du ransomware Windows (Go)

• Argument obligatoire : --password (hardcodé dans le binaire)
• Modes : --system, --shares, --full
• Propagation : --spread domain\user:pass via PsExec, WMI, schtasks, services, WinRM
• Déploiement GPO : --gpo copie le locker dans NETLOGON et crée une GPO avec tâche planifiée immédiate
• Chiffrement : X25519 pour dérivation de clé, XChaCha20 pour le chiffrement des fichiers
  • Petits fichiers (<1 MB) : chiffrement intégral
  • Grands fichiers : chiffrement partiel (fast=9%, superfast=3%, ultrafast=1%)
• Footer : --eph--$BASE64--marker--GENTLEMEN\nGENTLEMEN
• Persistance : tâches planifiées (UpdateSystem, UpdateUser) + clé Run registry (GupdateU)
• Évasion : désactivation Defender, exclusions, désactivation firewall, réactivation SMB1, modification LSA
• Destruction : suppression VSS, logs événements, prefetch, logs Defender et RDP
• Wiping : création de wipefile.tmp par chunks de 64 MB (option --wipe)

🖥️ Variante ESXi (C/ELF)

• Arrêt gracieux puis forcé des VMs via vim-cmd et esxcli
• Persistance : copie vers /bin/.vmware-authd + /etc/rc.local.d/local.sh + crontab @reboot
• Optimisation VMFS avant chiffrement (esxcfg-advcfg, vmkfstools)
• Désactivation de l’autostart des VMs

🌐 Botnet SystemBC

Le serveur C2 SystemBC utilisé (45.86.230[.]112) avait infecté plus de 1 570 victimes à l’échelle mondiale, majoritairement aux États-Unis, Royaume-Uni et Allemagne, avec un profil suggérant un ciblage corporate.

📋 Type d’article

Il s’agit d’une publication de recherche combinant rapport d’incident (DFIR) et analyse technique de malware, produite par Check Point Research dans le but de documenter les capacités et la chaîne d’attaque complète du groupe The Gentlemen RaaS.

🧠 TTPs et IOCs détectés

Acteurs de menace

• The Gentlemen (cybercriminal) — orkl.eu · Malpedia

TTP

• T1078 — Valid Accounts (Initial Access)
• T1133 — External Remote Services (Initial Access)
• T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1072 — Software Deployment Tools (Execution)
• T1569.002 — System Services: Service Execution (Execution)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Execution)
• T1047 — Windows Management Instrumentation (Execution)
• T1543.003 — Create or Modify System Process: Windows Service (Persistence)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1484.001 — Domain Policy Modification: Group Policy Modification (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1562.004 — Impair Defenses: Disable or Modify System Firewall (Defense Evasion)
• T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
• T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
• T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
• T1018 — Remote System Discovery (Discovery)
• T1082 — System Information Discovery (Discovery)
• T1069.002 — Permission Groups Discovery: Domain Groups (Discovery)
• T1087.002 — Account Discovery: Domain Account (Discovery)
• T1135 — Network Share Discovery (Discovery)
• T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
• T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
• T1021.006 — Remote Services: Windows Remote Management (Lateral Movement)
• T1570 — Lateral Tool Transfer (Lateral Movement)
• T1090.001 — Proxy: Internal Proxy (Command and Control)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1486 — Data Encrypted for Impact (Impact)
• T1490 — Inhibit System Recovery (Impact)
• T1489 — Service Stop (Impact)

IOC

• IPv4 : 91.107.247.163 — AbuseIPDB · VT · ThreatFox
• IPv4 : 45.86.230.112 — AbuseIPDB · VT · ThreatFox
• URLs : http://tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion/ — URLhaus
• SHA256 : 992c951f4af57ca7cd8396f5ed69c2199fd6fd4ae5e93726da3e198e78bec0a5 — VT · MalwareBazaar
• SHA256 : 025fc0976c548fb5a880c83ea3eb21a5f23c5d53c4e51e862bb893c11adf712a — VT · MalwareBazaar
• SHA256 : 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67 — VT · MalwareBazaar
• SHA256 : 2ed9494e9b7b68415b4eb151c922c82c0191294d0aa443dd2cb5133e6bfe3d5d — VT · MalwareBazaar
• SHA256 : 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235 — VT · MalwareBazaar
• SHA256 : 48d9b2ce4fcd6854a3164ce395d7140014e0b58b77680623f3e4ca22d3a6e7fd — VT · MalwareBazaar
• Fichiers : grand.exe
• Fichiers : socks.exe
• Fichiers : README-GENTLEMEN.txt
• Fichiers : gentlemen.bmp
• Fichiers : wipefile.tmp
• Chemins : c:\programdata\r.exe
• Chemins : c:\programdata\g.exe
• Chemins : c:\programdata\o.exe
• Chemins : c:\program files (x86)\anydesk\anydesk.exe
• Chemins : /bin/.vmware-authd
• Chemins : /etc/rc.local.d/local.sh

Malware / Outils

• The Gentlemen Ransomware (ransomware)
• SystemBC (other)
• Cobalt Strike (framework)
• Mimikatz (tool)
• AnyDesk (tool)
• PsExec (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

• ✅ research.checkpoint.com — source reconnue (liste interne) (20pts)
• ✅ 102281 chars — texte complet (fulltext extrait) (15pts)
• ✅ 20 IOCs dont des hashes (15pts)
• ✅ 3/6 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 30 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : The Gentlemen (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 992c951f4af57ca7… (sha256) → VT (60/77 détections)
• 025fc0976c548fb5… (sha256) → VT (51/77 détections)
• 22b38dad7da097ea… (sha256) → VT (49/77 détections)

🔗 Source originale : https://research.checkpoint.com/2026/dfir-report-the-gentlemen/