🔍 Contexte

Publié le 15 mai 2026 par la Ransom-ISAC Research Team, ce whitepaper technique de 120 minutes analyse le corpus Rocket.Chat du groupe The Gentlemen, un opérateur RaaS russophone actif depuis juillet/août 2025. La fuite a été initiée par un utilisateur « n345 » qui a proposé les données à la vente le 5 mai 2026 pour 10 000 USD en Bitcoin sur PwnForums, avant de les publier gratuitement le 8 mai sur CryptBB.

🏗️ Origine de la fuite

La compromission est attribuée à une attaque contre l’hébergeur 4VPS.SU (divulgation le 2 mai 2026), ayant permis un swap de proxy et l’accès partiel à l’infrastructure Rocket.Chat hébergée sur Tor (xcsqtdobtmdhsjkyjz6iydfowh7bps5dd3a2xg53oirylnohednc4syd.onion). Le groupe a confirmé publiquement la compromission partielle tout en affirmant que le panneau de contrôle, le blog et les lockers étaient intacts.

👥 Structure du groupe

Le corpus contient 3 366 messages uniques sur 22 salles exportées couvrant novembre 2025 à fin avril 2026, impliquant 9 opérateurs identifiés :

  • zeta88 (1 891 messages, 18 salles) : chef opérateur, orchestrateur principal
  • Protagor (430 messages) : affiliate/pentester actif
  • Wick (405 messages) : affiliate, exploitation Fortinet et déploiement locker
  • qbit (320 messages) : partenaire stratégique, partage de CVE et listes Fortinet
  • mAst3r (285 messages) : affiliate, déploiement ransomware
  • quant (217 messages) : opérateur phishing/credentials, fuseau horaire UTC+5 à +9
  • Kunder (182 messages) : développeur G-BOT, exploitation Fortinet, gestion sous-équipe

Les identités hastalamuerte et zeta88 sont évaluées comme deux personas du même individu ou d’un binôme très intégré. Hastalamuerte avait précédemment travaillé avec Embargo, LockBit, Medusa et Qilin avant de lancer The Gentlemen après un litige de paiement de 48 000 USD avec Qilin en juillet 2025.

⚔️ Chaîne d’attaque et TTPs

Accès initial :

  • Exploitation de CVE-2024-55591 (FortiOS auth bypass) comme vecteur principal
  • Commandes openconnect --protocol=fortinet avec mots de passe réutilisés : gentlemen25, Gentlemen25, gentle26
  • Toolkit FOBOS : HTML smuggling, ClickFix, PDF/DOC droppers, CVE-2024-21412 (WaterHydra), BobTheSmuggler

Reconnaissance et mouvement latéral :

  • NetExec/nxc (32 occurrences) pour énumération SMB
  • BloodHound, CertiHound (ESC1-ESC17) pour cartographie AD
  • NTLM relay : ntlmrelayx, Responder, coerce_plus
  • Pass-the-hash RDP via xfreerdp

C2 et persistance :

  • G-BOT : C2 custom avec UI web, gestion de beacons, SOCKS5 intégré, builder uploadant vers temp.sh/0x0.st
  • Velociraptor v0.76 détourné comme C2 avec configs multi-org et packaging MSI
  • ZeroPulse (github.com/jxroot/ZeroPulse)

Exfiltration :

  • rclone vers MEGA, WinSCP, outils de montage cloud
  • aaa.exe : outil d’exfiltration avec --bwlimit 3M, --transfers 8, ciblant C:\

Chiffrement :

  • Extension : .i8p14s
  • Note de rançon : README-GENTLEMEN.txt
  • Locker Linux/NAS : /opt/updateamd --password W8wNZteb --path "/volume1/DATA/..." --ultrafast --keep
  • Ciblage Hyper-V au niveau hyperviseur pour contourner les EDR invités

🤖 Intégration de l’IA

Le groupe utilise GPT et Claude pour la rédaction de textes de négociation, partage un modèle Qwen « ablitéré » (sans garde-fous) sur Hugging Face, et propose de louer des GPU sur vast.ai pour trier les données volées avec une IA non censurée. Le logo officiel a été généré via ChatGPT GPT-4o.

💰 Finances et paiements

  • Adresse BTC de zeta88 : 17U3tN7hzwYwwya8qkyZgnG9jy3unHG7xL
  • Paiement à Kunder : 1CgfAohwbTSYsyxPvphdcrcfSd1XE5C8Rr (~1 400 USD)
  • Transaction BTC : 7e366683f1d175278feefaaa35d87e87076931974506b9f373a775a428c28f10
  • Cash-out via codes QR Tinkoff Bank, règlements physiques en espèces
  • Exposition à Grinex, Rapira, Cryptomus

🔗 Liens avec Black Basta

L’analyse établit avec confiance modérée-haute que The Gentlemen est une faction successeur de Black Basta :

  • Screenshots du serveur Matrix bestflowers247.online (attribué à Black Basta par Cloudflare Cloudforce One) en possession des opérateurs
  • Handle Tinker présent dans les corpus Conti, Black Basta ET The Gentlemen avec les mêmes fonctions opérationnelles
  • Screenshot montrant un opérateur travaillant sur « les cibles de Devman » (Oleg Nefedov, leader de Black Basta)
  • Continuité procédurale : même méthodologie Censys → Fortinet → credential harvest → OWA phishing depuis 2023

🎯 Victimes

66 victimes confirmées sur 30+ pays, représentant ~16% du pool connu (400+ victimes publiques selon RansomLook). Secteurs touchés : finance, industrie, gouvernement, santé, transport, télécommunications. Une municipalité sud-africaine a été re-victimisée après LockBit5 (décembre 2025 → mars 2026).

📋 Type d’article

Whitepaper technique de threat intelligence produit par la Ransom-ISAC Research Team, visant à documenter exhaustivement l’écosystème opérationnel d’un groupe RaaS actif à partir d’une fuite interne, et à fournir des IOCs, TTPs MITRE et règles de détection exploitables.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • The Gentlemen (cybercriminal) — orkl.eu · Malpedia
  • Black Basta (cybercriminal) — MITRE ATT&CK
  • LockBit (cybercriminal) — MITRE ATT&CK
  • Qilin (cybercriminal) —
  • DragonForce (cybercriminal) — orkl.eu · Malpedia
  • Conti (cybercriminal) —
  • Embargo (cybercriminal) —
  • Medusa (cybercriminal) —
  • DeadBolt (cybercriminal) —

TTP

  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1593 — Search Open Websites/Domains (Reconnaissance)
  • T1589.002 — Gather Victim Identity Info: Email Addresses (Reconnaissance)
  • T1596.001 — Search Open Technical Databases: DNS/Passive DNS (Reconnaissance)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1003.003 — OS Credential Dumping: NTDS (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1557.001 — Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning (Credential Access)
  • T1018 — Remote System Discovery (Discovery)
  • T1087.002 — Account Discovery: Domain Account (Discovery)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1047 — Windows Management Instrumentation (Lateral Movement)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1219 — Remote Access Software (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1005 — Data from Local System (Collection)
  • T1213 — Data from Information Repositories (Collection)
  • T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage (Exfiltration)
  • T1030 — Data Transfer Size Limits (Exfiltration)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1489 — Service Stop (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1657 — Financial Theft (Impact)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)

IOC

Malware / Outils

  • G-BOT (framework)
  • Velociraptor (framework)
  • ZeroPulse (framework)
  • FOBOSLOADER (loader)
  • Phemedrone Stealer v2.3.2 (stealer)
  • XenAllPasswordPro (tool)
  • KslKatz (tool)
  • KslDump (tool)
  • Mimikatz (tool)
  • DumpBrowserSecrets (tool)
  • BloodHound (tool)
  • CertiHound (tool)
  • NetExec (tool)
  • chisel-ng (tool)
  • rclone (tool)
  • BobTheSmuggler (tool)
  • XENO RAT (rat)
  • EDRStartupHinder (tool)
  • RedSun (framework)
  • Nyx (tool)
  • PowerZure (tool)
  • RegPwn (tool)
  • Titanis (tool)
  • MANSPIDER (tool)
  • RelayKing-Depth (tool)
  • PrivHound (tool)
  • TaskHound (tool)
  • TailVNC (tool)
  • The Gentlemen locker (ransomware)

🟢 Indice de vérification factuelle : 68/100 (haute)

  • ⬜ ransom-isac.org — source non référencée (0pts)
  • ✅ 142143 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 31 IOCs dont des hashes (15pts)
  • ✅ 1/7 IOC(s) confirmé(s) (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 38 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : The Gentlemen, Black Basta, LockBit (5pts)
  • ⬜ 0/4 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 4vps.su (domain) → VT (8/92 détections)

🔗 Source originale : https://ransom-isac.org/blog/the-gentlemen-leak-analysis/