TheGentlemen, une enseigne de ransomware aux débuts fracassants

TheGentlemen est une enseigne de ransomware relativement récente, suivie depuis début septembre 2025. À ce jour, elle a été associée à la revendication de près de 350 victimes - dont plus de 80 en février 2026.

Selon les chercheurs de Check Point, l'enseigne pourrait avoir à sa disposition un éventuel de victimes en puissance bien plus important : « Check Point Research a analysé les données de télémétrie des victimes provenant [d'un] serveur de commande et de contrôle SystemBC concerné, révélant ainsi l'existence d'un botnet comptant plus de 1 570 victimes ».

Précision toutefois : « On ignore encore si SystemBC est directement intégré à l'écosystème du ransomware The Gentlemen ou s'il s'agit simplement d'un outil utilisé par cet affilié particulier à des fins d'exfiltration et d'accès à distance. À l'heure actuelle, Check Point Research ne dispose d'aucun élément permettant de déterminer la nature exacte de cette relation ».

Cette enseigne de rançongiciel en mode service (ou RaaS, pour Ransomware-as-a-Service) propose des outils de chiffrement implémentés en Go pour Windows, Linux, les NAS, et les systèmes BSD, et en C pour ESXi. À cela s'ajoute des outils de suppression d'EDR.

L'incident sur lequel sont intervenues les équipes de Check Point suit un schéma somme toute classique : après un accès initial non déterminé, l'assaillant est parvenu à se déplacer dans l'environnement jusqu'à obtenir des droits de niveau administrateur sur un contrôleur de domaine : « à partir de cette position, l'attaquant semble avoir procédé à une validation systématique des identifiants et à des tests d'accessibilité des hôtes dans l'ensemble de l'environnement, comme en témoignent les premières tentatives de connexion réseau infructueuses, suivies d'authentifications réussies provenant du contrôleur de domaine ».

L'affidé impliqué a ensuite déployé des balises Cobalt Strie sur les systèmes qui lui étaient accessibles. Ce n'est qu'après cela qu'il a déployé SystemBC. Mais sans parvenir à établir le canal de communication voulu. Il s'est donc rabattu sur Cobalt Strike pour récupérer le ransomware. Là, Cobalt Strike relève des arguments « indiquant à la fois une exécution contrôlée et des capacités d'auto-propagation intégrées ».

L'attaquant est parvenu à désactiver la supervision en temps réel de Windows Defender et a cherché à affecter les stratégies de groupe durant la propagation, jusqu'à activer les services RDP et déployer AnyDesk - avec un mot de passe prédéfini.

Toujours en parallèle du déploiement du ransomware, l'assaillant a utilisé Mimikatz sur les hôtes compromis pour en extraire les identifiants : « l'accès aux identifiants est survenu en parallèle du déplacement latéral et du déploiement du maliciel », indiquent les équipes de Check Point.

Leur analyse des activités de l'assaillants fait en outre ressortir des efforts pour arrêter les processus des hyperviseurs, et ceux de systèmes de sauvegarde, entre autres.

Le rapport de Check Point survient un mois après celui de Hunt.io : ses chercheurs venaient de tomber sur un dossier ouvert à tous les vents sur Internet, hébergé sur Proton666 OOO, et contenant la trousse à outils d'un affidé de TheGentlemen.

Là, se trouvait en particulier « un script batch de 35 Ko [servant] d'outil de déploiement à exécution unique préalable à l'attaque par ransomware ; il combine la destruction des produits de sécurité de 12 éditeurs, complétée par un nettoyage du registre ciblant plus de 40 produits, la suppression des images fantômes VSS, la création de partages réseau pour la propagation, l'installation d'une porte dérobée d'accès, le contournement du contrôle de compte d'utilisateur (UAC), l'activation du protocole RDP et l'effacement des journaux d'événements ».

Quelques jours avant cela, Group-IB décrivait TheGentlemen comme une enseigne « comportant approximativement 20 membres » : « avant d'être un RaaS, cette opération était connue sous le nom d'ArmCorp, un groupe affidé de Qilin très actif ». Le changement de nom apparaît remonter à la mi-juillet 2025.

Aux commandes de cette franchise se trouverait un individu utilisant le pseudonyme hastalamuerte : « il encourage les discussions techniques et fournit aux affiliés des ressources pour mener des intrusions. Cela comprend notamment : des appareils Fortinet compromis pour l'accès initial, des "killers" permettant de contourner les antivirus et les solutions EDR, des scripts, des outils et bien plus encore. À première vue, compte tenu des ressources fournies par son administrateur, d'un point de vue criminel, rejoindre The Gentlemen peut sembler une bonne idée ».

Cet acteur aurait également des liens avec l'enseigne Embargo et ne serait pas inconnu de Devman, passé lui aussi par Qilin. Hastalamuerte ne cache pas très fortement ses traces. À l'été dernier, un chercheur s'était penché sur ses activités sur... GitHub, allant jusqu'à documenter ses centres d'intérêt principaux en termes d'outillage et de vulnérabilités exploitables.