The Gentlemen : analyse complĂšte des TTPs du nouveau groupe RaaS issu de Qilin

🔍 Contexte PubliĂ© le 22 mars 2026 par Group-IB, ce rapport analyse en profondeur les tactiques, techniques et procĂ©dures (TTPs) du groupe The Gentlemen, une opĂ©ration Ransomware-as-a-Service (RaaS) Ă©mergente composĂ©e d’environ 20 membres, anciennement connue sous le nom ArmCorp en tant qu’affiliĂ© de Qilin. đŸ§‘â€đŸ’» Origine et historique du groupe L’opĂ©ration est administrĂ©e par un russophone utilisant le pseudonyme hastalamuerte. Le groupe s’est sĂ©parĂ© de Qilin suite Ă  un litige financier de 48 000 USD de commission non versĂ©e, rendu public le 22 juillet 2025 sur le forum RAMP. Un premier Ă©chantillon Windows du ransomware avait dĂ©jĂ  Ă©tĂ© uploadĂ© sur VirusTotal le 17 juillet 2025 (SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2), confirmant que le dĂ©veloppement Ă©tait en cours avant la rupture publique avec Qilin. Le DLS est devenu public dĂ©but septembre 2025. ...

22 mars 2026 Â· 5 min

Campagne Akira: attaques éclair via SonicWall SSL VPN (CVE-2024-40766), MFA contourné et chiffrement < 4 h

Source et contexte: Arctic Wolf Labs publie une analyse approfondie d’une campagne toujours active (dĂ©butĂ©e fin juillet 2025) oĂč le ransomware Akira cible des environnements Ă©quipĂ©s de pare-feux SonicWall via des connexions SSL VPN malveillantes, avec des temps de compromission et de chiffrement mesurĂ©s en heures. ‱ Vecteur initial et vulnĂ©rabilitĂ©s: Les intrusions dĂ©butent par des connexions SSL VPN provenant de VPS/ASNs d’hĂ©bergement, souvent suivies en minutes par du scan rĂ©seau et l’usage d’Impacket. Des comptes locaux et LDAP-synchronisĂ©s (y compris des comptes AD de synchro non censĂ©s se connecter en VPN) sont utilisĂ©s. Les acteurs valident des dĂ©fis OTP/MFA sur SonicOS, bien que la mĂ©thode exacte de contournement reste non Ă©lucidĂ©e. SonicWall lie la campagne Ă  CVE‑2024‑40766 (improper access control) et Ă©voque la possibilitĂ© d’identifiants dĂ©robĂ©s sur des versions vulnĂ©rables puis rĂ©utilisĂ©s aprĂšs mise Ă  jour. Arctic Wolf mentionne aussi l’incident MySonicWall cloud backup sans lien Ă©tabli avec cette campagne. ...

3 octobre 2025 Â· 4 min

Vague d’intrusions via SonicWall SSL VPN menant Ă  Akira, liĂ©e Ă  CVE‑2024‑40766

Selon Arctic Wolf Labs, depuis fin juillet 2025, une hausse d’intrusions impliquant des connexions suspectes aux SonicWall SSL VPN est observĂ©e, rapidement suivies de scans rĂ©seau, d’activitĂ© SMB via Impacket et du dĂ©ploiement du ransomware Akira. SonicWall relie ces connexions malveillantes Ă  la vulnĂ©rabilitĂ© CVE‑2024‑40766 (improper access control), laissant penser Ă  une rĂ©utilisation d’identifiants rĂ©coltĂ©s sur des appareils auparavant vulnĂ©rables, mĂȘme aprĂšs correctif. L’infrastructure de la campagne a encore Ă©voluĂ© au 20 septembre 2025. ...

30 septembre 2025 Â· 2 min
Derniùre mise à jour le: 14 juillet 2026 📝