RaaS

🎯 Contexte Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opérateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classé parmi les cinq groupes ransomware les plus actifs au T1 2026. 👤 Acteurs et structure Le groupe a été fondé par un acteur connu sous le pseudonyme hastalamuerte, ancien affilié de Qilin, avec des liens documentés vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publié des éléments d’identification réelle de cet acteur le 10 juin 2026. Le groupe propose à ses affiliés une part de revenus de 90%. ...

🔍 Contexte Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US) Sélection des victimes basée sur les mauvaises configurations FortiGate 🛠️ Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentées, chacune abusant d’un driver différent Cible plus de 400 processus mappés à 48 produits de sécurité Déployé dans le répertoire GentlemenCollection Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique Intégration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusés par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intégrés : HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) 🛡️ Stratégie d’évasion défensive Protection binaire avancée : Enigma ou Themida Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides) Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641) Vole les credentials de navigateurs Chromium et Gecko Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) Emballé dans différents packers avec usurpation d’identité similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives. ...

🔍 Contexte Publié le 17 juin 2026 par l’Acronis Threat Research Unit (TRU), ce rapport constitue une analyse technique et stratégique approfondie du groupe INC Ransomware, opération RaaS découverte mi-2023 et désormais classée parmi les cinq groupes ransomware les plus actifs mondialement en 2026. 📈 Évolution et historique INC Ransomware a émergé en 2023 comme une opération semi-privée basée sur un modèle d’affiliation. Le groupe a rapidement développé des variantes Windows et Linux/ESXi, ciblant notamment les hyperviseurs VMware. En 2024, le code source (Windows + Linux/ESXi) a été mis en vente sur des forums underground par un utilisateur nommé “salfetka” (lié aux alias “rinc” et “farnetwork”, associé aux opérations Nokoyawa, JSWORM, Nefilim, Karma et Nemty) pour 300 000 USD (limité à trois acheteurs). Cette vente a conduit à l’émergence des familles Lynx et Sinobi avec un chevauchement de code significatif. ...

🔍 Contexte Publié le 9 juin 2026 par PRODAFT (Threat Intelligence), ce rapport TLP:CLEAR présente une analyse approfondie de l’opération Phantom Mantis, un groupe cybercriminel à motivation financière actif depuis mars 2025. 🧑‍💻 Acteur de la menace Le groupe a évolué sous plusieurs identités : ArmCorp (mars 2025 – juillet 2025) : affilié à d’autres groupes RaaS The Gentlemen (depuis juillet 2025) : programme de partenariat indépendant, ne dépendant plus d’autres opérateurs RaaS L’acteur principal, suivi sous le nom LARVA-368 par PRODAFT, utilise les pseudonymes hastalamuerte, ArmCorp, zeta88, nobody0 et santamuerte. Il est évalué avec haute confiance comme le fondateur et administrateur du groupe. ...

🕵️ Contexte Source : KrebsOnSecurity — publié le 10 juin 2026. L’article présente une enquête d’attribution sur le groupe ransomware The Gentlemen, identifié comme le deuxième groupe ransomware le plus actif par nombre de victimes. 🦹 Le groupe The Gentlemen The Gentlemen opère selon un modèle Ransomware-as-a-Service (RaaS) avec une stratégie de recrutement agressive : Les affiliés reçoivent 90 % des rançons perçues L’administrateur conserve 10 % de toutes les rançons Le groupe a rapidement attiré un vivier de hackers talentueux grâce à cette structure financière avantageuse 🔍 Attribution Selon Check Point, l’administrateur et opérateur principal du groupe : ...

🔍 Contexte Analyse publiée le 27 mai 2026 par le KELA Cyber Intelligence Center, portant sur le groupe Infrastructure Destruction Squad (IDS), actif depuis au moins juin 2025 et toujours opérationnel en mai 2026. Le groupe opère principalement via Telegram et le forum PWN Forums. 🎭 Profil du groupe Infrastructure Destruction Squad se présente comme un collectif hacktivist politiquement motivé, mais ses activités révèlent un profil criminel à but lucratif. Le groupe revendique des membres principalement en Chine, ainsi qu’en Russie, Biélorussie et aux États-Unis. Il communique en anglais, russe et chinois, et affiche des positions pro-Chine, anti-États-Unis, anti-Israël, pro-palestiniennes et anti-Inde/pro-Pakistan. ...

🔍 Contexte Publié le 28 mai 2026 par Microsoft Threat Intelligence sur le blog officiel Microsoft Security, cet article présente une analyse technique approfondie du ransomware The Gentlemen, opéré par le groupe Storm-2697. 🎭 Acteur de la menace Storm-2697 est un acteur à motivation financière qui gère la plateforme RaaS (Ransomware-as-a-Service) « The Gentlemen » Le groupe a émergé mi-2025 en tant que groupe fermé, avant d’ouvrir son programme d’affiliation en septembre 2025 Un partenariat officiel avec BreachForums a été établi pour recruter des affiliés, notamment des testeurs d’intrusion et des initial access brokers (IAB) ⚙️ Caractéristiques techniques Ransomware écrit en Go, obfusqué avec Garble Cible l’environnement Windows Techniques documentées : exécution, évasion de défense, chiffrement des fichiers, mouvement latéral et auto-propagation réseau Tactique de double extorsion : chiffrement des données ET exfiltration pour pression supplémentaire 🌍 Secteurs et zones géographiques ciblés Secteurs : éducation, transport, santé, finance Zones : Amérique du Nord, Amérique du Sud, Europe, Afrique, Asie 📄 Nature de l’article Il s’agit d’une analyse technique publiée par Microsoft, destinée aux défenseurs, aux équipes de réponse à incident et à la communauté de sécurité. L’article inclut le flux d’exécution, les comportements d’évasion, la conception du chiffrement, les techniques de mouvement latéral, des détections Microsoft Defender, des requêtes de chasse et des indicateurs de compromission (IOCs). ...

📌 Contexte Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS). 🔗 Chaîne d’attaque Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine. ...

🕵️ Contexte Source : Analyst1 (https://analyst1.com/threat-actors/dragonforce/), publiée le 22 mai 2026. L’article présente une analyse approfondie du groupe DragonForce, opération de ransomware-as-a-service (RaaS) observée depuis août 2023. 🎯 Modèle opérationnel DragonForce conduit des attaques de double extorsion à l’échelle mondiale, combinant : Chiffrement des données des victimes Exfiltration et publication des données sur un site de fuite dédié (DLS) Le groupe opère selon un modèle affilié structuré et scalable, avec une organisation de type cartel. ...

🏛️ Contexte Le Centre for Cybersecurity Belgium (CCB), département CyTRIS, a publié le 29 avril 2026 un rapport de threat intelligence (version 1.0, TLP:CLEAR) consacré au groupe DragonForce, avec une date de coupure renseignement au 16 avril 2026. Ce rapport constitue un profil complet de l’acteur, couvrant sa motivation, son attribution, ses victimes, ses capacités techniques et son infrastructure. 🎯 Présentation de l’acteur DragonForce est un opérateur Ransomware-as-a-Service (RaaS) à double extorsion apparu en décembre 2023. Le groupe a compromis plus de 400 victimes à ce jour, dont deux organisations belges (secteurs construction et services aux entreprises). Sa motivation est exclusivement financière, sans affiliation politique ni sponsoring étatique identifié. ...