The Gentlemen : analyse d'un ransomware Go auto-propagant opéré par Storm-2697

Mon, 01 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 28 mai 2026 par Microsoft Threat Intelligence sur le blog officiel Microsoft Security, cet article présente une analyse technique approfondie du ransomware The Gentlemen, opéré par le groupe Storm-2697.

🎭 Acteur de la menace

Storm-2697 est un acteur à motivation financière qui gère la plateforme RaaS (Ransomware-as-a-Service) « The Gentlemen »
Le groupe a émergé mi-2025 en tant que groupe fermé, avant d’ouvrir son programme d’affiliation en septembre 2025
Un partenariat officiel avec BreachForums a été établi pour recruter des affiliés, notamment des testeurs d’intrusion et des initial access brokers (IAB)

⚙️ Caractéristiques techniques

Ransomware écrit en Go, obfusqué avec Garble
Cible l’environnement Windows
Techniques documentées : exécution, évasion de défense, chiffrement des fichiers, mouvement latéral et auto-propagation réseau
Tactique de double extorsion : chiffrement des données ET exfiltration pour pression supplémentaire

🌍 Secteurs et zones géographiques ciblés

Secteurs : éducation, transport, santé, finance
Zones : Amérique du Nord, Amérique du Sud, Europe, Afrique, Asie

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par Microsoft, destinée aux défenseurs, aux équipes de réponse à incident et à la communauté de sécurité. L’article inclut le flux d’exécution, les comportements d’évasion, la conception du chiffrement, les techniques de mouvement latéral, des détections Microsoft Defender, des requêtes de chasse et des indicateurs de compromission (IOCs).

Storm-2697 on CyberVeille

The Gentlemen : analyse d'un ransomware Go auto-propagant opéré par Storm-2697

🔍 Contexte

🎭 Acteur de la menace

⚙️ Caractéristiques techniques

🌍 Secteurs et zones géographiques ciblés

📄 Nature de l’article