🔍 Contexte

Publié le 28 mai 2026 par Microsoft Threat Intelligence sur le blog officiel Microsoft Security, cet article présente une analyse technique approfondie du ransomware The Gentlemen, opéré par le groupe Storm-2697.

🎭 Acteur de la menace

  • Storm-2697 est un acteur à motivation financière qui gère la plateforme RaaS (Ransomware-as-a-Service) « The Gentlemen »
  • Le groupe a émergé mi-2025 en tant que groupe fermé, avant d’ouvrir son programme d’affiliation en septembre 2025
  • Un partenariat officiel avec BreachForums a été établi pour recruter des affiliés, notamment des testeurs d’intrusion et des initial access brokers (IAB)

⚙️ Caractéristiques techniques

  • Ransomware écrit en Go, obfusqué avec Garble
  • Cible l’environnement Windows
  • Techniques documentées : exécution, évasion de défense, chiffrement des fichiers, mouvement latéral et auto-propagation réseau
  • Tactique de double extorsion : chiffrement des données ET exfiltration pour pression supplémentaire

🌍 Secteurs et zones géographiques ciblés

  • Secteurs : éducation, transport, santé, finance
  • Zones : Amérique du Nord, Amérique du Sud, Europe, Afrique, Asie

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par Microsoft, destinée aux défenseurs, aux équipes de réponse à incident et à la communauté de sécurité. L’article inclut le flux d’exécution, les comportements d’évasion, la conception du chiffrement, les techniques de mouvement latéral, des détections Microsoft Defender, des requêtes de chasse et des indicateurs de compromission (IOCs).

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Storm-2697 (cybercriminal) —

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1021 — Remote Services (Lateral Movement)
  • T1570 — Lateral Tool Transfer (Lateral Movement)
  • T1059 — Command and Scripting Interpreter (Execution)

Malware / Outils

  • The Gentlemen (ransomware)
  • Garble (tool)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ✅ microsoft.com — source reconnue (liste interne) (20pts)
  • ✅ 1996 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Storm-2697 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/