The Gentlemen RaaS : analyse de la fuite interne révélant 10% des victimes mondiales en 2026

🔍 Contexte

Le 14 mai 2026, KELA Cyber Intelligence Center publie une analyse approfondie d’une fuite de données internes concernant The Gentlemen, une opération RaaS (Ransomware-as-a-Service) active depuis septembre 2025. La fuite, initialement postée le 4 mai 2026 sur Exploit.in par l’utilisateur XxHDSandwichxX, couvre des communications internes du 7 novembre 2025 au 30 avril 2026.

📊 Ampleur et positionnement

Entre janvier et mai 2026, KELA a recensé 3 349 victimes de ransomware revendiquées publiquement (+14,5% vs 2025). The Gentlemen revendique 328 victimes sur cette période, soit 10% des attaques mondiales, se positionnant en 2e place mondiale derrière Qilin (17%).

👥 Structure interne identifiée

Les chats révèlent les membres suivants :

• zeta88 : administrateur principal, gère panel, locker, infrastructure, affiliés, négociations — perçoit 10% des rançons
• Wick : acteur d’intrusion, chiffrement, reconnaissance, vol de données
• mAst3r : sélection de cibles, reconnaissance, support intrusion
• Kunder : validation d’accès aux environnements victimes
• qbit : recherche de vulnérabilités et outillage
• quant : accès via logs, brute-force, phishing, outils de collecte
• Protagor / JeLLy : support outillage et opérationnel
• Hastala/hastalamuerte : Initial Access Broker (IAB) externe

Groupes référencés comme adjacents : DragonForce, Devman, LockBit, Qilin, Black Basta.

🏗️ Infrastructure et arsenal

• Communication interne : instance Rocket.Chat auto-hébergée en .onion (migration depuis Mattermost)
• Communications externes/négociations : Tor DLS, Tox, Session, Element
• Routage du trafic : VPS bulletproof (4vps.su, JustHost.asia), Amnezia VPN, WireGuard, Cloudflare ZeroTrust, outil custom ZeroPulse
• Vulnérabilités exploitées : CVE-2023-34039, CVE-2025-33073, CVE-2024-55591 (FortiOS), CVE-2025-32433 (Erlang SSH / Cisco)
• Techniques complémentaires : PetitPotam, PrinterBug, WebDAV WebClient, ZeroLogon, exploitation iDRAC, serveurs Veeam, élévation de privilèges via RegPwn (Windows MSI)

🤖 Usage de l’IA

• zeta88 a « vibe-codé » un panel en 3 jours via LLM
• Modèles utilisés : Qwen, DeepSeek, Kimi, Ernie/Baidu, chat.z.ai
• qbit a partagé le modèle Huihui-Qwen3.5-35B-A3B-abliterated (LLM non censuré)
• Protagor a suggéré de louer des GPU sur Vast.ai pour analyser des centaines de Go de données volées avec Qwen 3.5

📧 Vecteurs d’accès initial

• Exploitation de Outlook Web Access (OWA) compromis pour phishing, staging de payload et extorsion
• Réutilisation du playbook Black Basta : compromission de boîtes mail internes, messages courts naturels, impersonation d’employés
• Extorsion via boîtes mail personnelles des victimes avec données médicales sensibles
• Reconnaissance via Censys, test de credentials sur VPN, Citrix, Cisco, Fortinet, RDP

💰 Modèle RaaS

• Split 90/10 (affilié/opérateur)
• Builds personnalisés générés via panel
• Notes de rançon incluant Tox et Session de l’affilié
• Wallets appartenant à l’affilié ; zeta88 perçoit 10%
• Ciblage : pays Tier 1-3 et Amérique Latine, exclusion Inde/Afrique ; critères : LDAP, domain admin, valeur des données, impact opérationnel

📰 Nature de l’article

Il s’agit d’une publication de recherche / analyse de menace produite par KELA, visant à documenter la structure, les TTPs et l’écosystème d’un groupe RaaS émergent à partir de matériaux internes leakés.

🧠 TTPs et IOCs détectés

Acteurs de menace

• The Gentlemen (cybercriminal) — orkl.eu · Malpedia
• Black Basta (cybercriminal) — MITRE ATT&CK
• Qilin (cybercriminal) —
• LockBit (cybercriminal) — MITRE ATT&CK
• DragonForce (cybercriminal) — orkl.eu · Malpedia

TTP

• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1078 — Valid Accounts (Initial Access)
• T1190 — Exploit Public-Facing Application (Initial Access)
• T1133 — External Remote Services (Initial Access)
• T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
• T1592 — Gather Victim Host Information (Reconnaissance)
• T1589.002 — Gather Victim Identity Information: Email Addresses (Reconnaissance)
• T1557 — Adversary-in-the-Middle (Credential Access)
• T1110 — Brute Force (Credential Access)
• T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
• T1210 — Exploitation of Remote Services (Lateral Movement)
• T1486 — Data Encrypted for Impact (Impact)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
• T1657 — Financial Theft (Impact)
• T1491 — Defacement (Impact)

IOC

• Domaines : 4vps.su — VT · URLhaus · ThreatFox
• Domaines : JustHost.asia — VT · URLhaus · ThreatFox
• CVEs : CVE-2023-34039 — NVD · CIRCL
• CVEs : CVE-2025-33073 — NVD · CIRCL
• CVEs : CVE-2024-55591 — NVD · CIRCL
• CVEs : CVE-2025-32433 — NVD · CIRCL

Malware / Outils

• ZeroPulse (tool)
• Amnezia VPN (tool)
• WireGuard (tool)
• PetitPotam (tool)
• PrinterBug (tool)
• RegPwn (tool)
• Rocket.Chat (self-hosted .onion) (tool)
• Huihui-Qwen3.5-35B-A3B-abliterated (other)

🟡 Indice de vérification factuelle : 63/100 (moyenne)

• ⬜ kelacyber.com — source non référencée (0pts)
• ✅ 12997 chars — texte complet (fulltext extrait) (15pts)
• ✅ 6 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 1/2 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
• ✅ 17 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : The Gentlemen, Black Basta, Qilin (5pts)
• ⬜ 0/4 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

• 4vps.su (domain) → VT (8/92 détections)

🔗 Source originale : https://www.kelacyber.com/blog/the-gentlemen-ransomware-internal-chat-leak-analysis-2026/