🔍 Contexte

Publié le 9 juin 2026 par PRODAFT (Threat Intelligence), ce rapport TLP:CLEAR présente une analyse approfondie de l’opération Phantom Mantis, un groupe cybercriminel à motivation financière actif depuis mars 2025.

🧑‍💻 Acteur de la menace

Le groupe a évolué sous plusieurs identités :

  • ArmCorp (mars 2025 – juillet 2025) : affilié à d’autres groupes RaaS
  • The Gentlemen (depuis juillet 2025) : programme de partenariat indépendant, ne dépendant plus d’autres opérateurs RaaS

L’acteur principal, suivi sous le nom LARVA-368 par PRODAFT, utilise les pseudonymes hastalamuerte, ArmCorp, zeta88, nobody0 et santamuerte. Il est évalué avec haute confiance comme le fondateur et administrateur du groupe.

🛠️ Infrastructure et organisation

  • Communication interne via Rocket.Chat : 34 utilisateurs identifiés, dont les comptes administrateurs hastalamuerte et zeta88
  • Présence underground documentée
  • Panel affilié opérationnel

💣 Ransomware multiplateforme

Le ransomware Gentlemen supporte plusieurs architectures et systèmes d’exploitation :

  • Windows (x86, amd64, incluant Windows XP et Windows Server 2003)
  • Linux (amd64, arm64, armv7)
  • FreeBSD (amd64)
  • ESXi (ciblage des datastores VMware /vmfs/)

L’archive malveillante contient notamment :

  • Binaires par plateforme (G_xxxxxx_*)
  • USAGE.txt : instructions complètes en ligne de commande
  • note.txt, password.txt, passwordESXi.txt, noteXP.txt, passwordXP.txt

⚙️ Capacités techniques du ransomware

  • Chiffrement avec mot de passe obligatoire (--password)
  • Modes d’exécution : local (--system), partages réseau (--shares), combiné (--full)
  • Mouvement latéral : via --spread (credentials explicites ou session courante) et déploiement GPO (--gpo) depuis un contrôleur de domaine
  • Vitesses de chiffrement configurables : défaut 27%, --fast 9%, --superfast 3%, --ultrafast 1%
  • Options supplémentaires : timer de déclenchement (--T), mode silencieux (--silent), effacement d’espace libre (--wipe), impression de la note sur imprimantes accessibles (--print), auto-suppression post-chiffrement
  • Ciblage ESXi : spécification du chemin /vmfs/ et possibilité d’ignorer certaines VMs (--ignore)

📄 Type d’article

Il s’agit d’une publication de recherche / analyse de menace produite par PRODAFT, visant à documenter l’acteur LARVA-368, son évolution organisationnelle, son infrastructure et les capacités techniques de son ransomware multiplateforme.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Phantom Mantis (cybercriminal) —
  • LARVA-368 (cybercriminal) —

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1484.001 — Domain Policy Modification: Group Policy Modification (Defense Evasion)
  • T1078 — Valid Accounts (Lateral Movement)
  • T1489 — Service Stop (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1485 — Data Destruction (Impact)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1570 — Lateral Tool Transfer (Lateral Movement)

IOC

  • Fichiers : gentlemen.exe
  • Fichiers : USAGE.txt
  • Fichiers : note.txt
  • Fichiers : password.txt
  • Fichiers : passwordESXI.txt
  • Fichiers : noteXP.txt
  • Fichiers : passwordXP.txt
  • Chemins : /vmfs/
  • Chemins : /volume1/
  • Chemins : /home/user
  • Chemins : /etc
  • Chemins : /mnt/backup

Malware / Outils

  • Gentlemen Ransomware (ransomware)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ catalyst.prodaft.com — source non référencée (0pts)
  • ✅ 5635 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 12 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Phantom Mantis, LARVA-368 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://catalyst.prodaft.com/public/report/inside-the-phantom-mantis-operation/overview#paragraph-1094|662