Eine umfassende Analyse der **The Gentlemen** Ransomware-Operation hat Licht auf ihre komplexe Entwicklung geworfen und eine finanziell motivierte Bedrohungsgruppe enthüllt, die von einem Affiliate-Modell zu einem unabhängigen Partnerschaftsprogramm übergegangen ist. Ursprünglich unter dem Namen **Phantom Mantis** operierend, nutzte die Gruppe die Ressourcen bekannter Ransomware-as-a-Service (**RaaS**) Schemata wie **LockBit** (auch bekannt als Tenacious Mantis), **Qilin** (auch bekannt als Pestilent Mantis) und **Medusa** (auch bekannt als Venomous Mantis), um Double-Extortion-Angriffe durchzuführen.  ### Der Aufstieg von LARVA-368 Laut einem detaillierten Bericht von **PRODAFT** wird die Operation von dem russischsprachigen Cyberkriminellen **LARVA-368** angeführt, der verschiedene Online-Aliase wie hastalamuerte, ArmCorp, zeta88, nobody0 und santamuerte verwendet. **The Gentlemen** ist seit März 2025 aktiv und hat laut Daten von Ransomware.Live bisher insgesamt 478 Opfer gefordert. Im Juli 2025 wechselte **Phantom Mantis** zu **The Gentlemen** und etablierte sich als unabhängiges Programm. Dieser Schritt fiel mit einem Zahlungsstreit zwischen **LARVA-368** und **Qilin** zusammen, bei dem ersterer der **RaaS**-Operation einen Exit-Scam und Betrug in Höhe von 48.000 US-Dollar vorwarf. Bemerkenswerterweise stützt sich **LARVA-368** stark auf künstliche Intelligenz für die Entwicklung und Wartung von Ransomware und Tools sowie für die Unterstützung bei Post-Exploitation-Verfahren. Der Cybersicherheitsjournalist Brian Krebs identifizierte **LARVA-368** als den 36-jährigen Alexander Andreevich Yapaev aus Ischewsk, Russland, eine Erkenntnis, die von **PRODAFT** mit hoher Zuverlässigkeit bestätigt wurde. ### Hochentwickelte Taktiken und Affiliate-Programm **The Gentlemen** zeichnet sich durch sein hochentwickeltes und adaptives Betriebsmodell aus: * **Aggressives Affiliate-Modell**: Die Gruppe bietet Affiliates eine attraktive Gewinnbeteiligung von 90 %, wobei 10 % an den Betreiber gehen. * **Überprüfung von Affiliates**: Potenzielle Affiliates müssen mindestens 1 GB exfiltrierter Daten vorlegen, um Zugang zum Affiliate-Panel zu erhalten, eine Taktik, die darauf abzielt, Forscher und Strafverfolgungsbehörden abzuschrecken. * **Multi-Plattform-Ransomware**: **Phantom Mantis** bietet fünf Ransomware-Versionen, die für Windows, Linux, ESXi, Windows XP+ und Logical Volume Manager (**LVM**) angepasst sind. * **KI-gestützte Unterstützung**: **LARVA-368** nutzt **The Gentlemen** IM-App-Konten, um Affiliates zu unterstützen und Hilfe bei Verschlüsselungs- und Intrusion-bezogenen Problemen anzubieten, einschließlich der Bereitstellung von EDR-Killern zur Umgehung von Sicherheitslösungen über die Bring Your Own Vulnerable Driver (**BYOVD**)-Technik. * **Kommunikationskanäle**: Unterstützung ist über Tox, SimpleX Chat und die Open-Source-Messaging-Plattform Ricochet Refresh verfügbar.  ### Angriffsvektoren und Abwehrumgehung **The Gentlemen** priorisiert Unternehmensziele und erlangt initialen Zugriff über anfällige internetseitige Dienste oder gestohlene Anmeldeinformationen, mit besonderem Fokus auf Edge-Geräte wie **Cisco** und **Fortinet FortiGate** VPN-Appliances und Firewalls. Die Gruppe setzt eine Reihe von Red-Team-Dienstprogrammen wie **NetExec**, **RelayKing**, **TaskHound**, **PrivHound** und **CertiHound** für die Active Directory-Erkennung, Zertifikatsmissbrauch, Privilegienerweiterung und Dateifreigabeerkennung ein. Zur Abwehrumgehung werden Tools wie **EDRStartupHinder**, gfreeze, glinker und DumpBrowserSecrets verwendet, während **Velociraptor** als Command-and-Control (**C2**)-Framework dient. Angriffe beinhalten auch das Löschen von System-, Anwendungs- und Sicherheitsereignisprotokollen unter Windows, das Deaktivieren von **Microsoft Defender** und das Hinzufügen von Antivirus-Ausschlüssen. ### Technische Details **Microsoft**, das den Cluster als **Storm-2697** verfolgt, stellt fest, dass die **The Gentlemen** Ransomware in Go geschrieben und mit **Garble** verschleiert ist. Wenn sie mit dem Argument `--spread` ausgeführt wird, verwandelt sie sich in einen sich selbst verbreitenden Wurm, der seinen Verschlüsseler auf jedes erreichbare System im Netzwerk verteilt. Das Argument `--wipe` löst eine zusätzliche Routine nach der Verschlüsselung aus, um wiederherstellbare Artefakte von der Festplatte zu löschen. Die Ransomware verwendet ein hybrides kryptografisches Schema, das den **X25519**-Schlüsselaustausch mit **XChaCha20**-Symmetieverschlüsselung kombiniert. **The Gentlemen** zeigt auch einen Multi-Channel-Erpressungsansatz, der Ransomware-Angriffe mit E-Mail-Kontaktaufnahme und telefonischen Drucktaktiken gegen Opfer integriert. Ihr hochreaktiver Entwicklungszyklus zeigte sich in der schnellen Veröffentlichung eines Patches am selben Tag, nachdem ein Entschlüsseler für ihre Ransomware im April 2026 öffentlich zugänglich gemacht wurde. Obwohl nur 13 % ihrer Opfer in den USA ansässig sind, konzentriert sich die Mehrheit in Thailand, dem Vereinigten Königreich, Brasilien, Deutschland und Indien, was eine globale Reichweite unterstreicht. Die durchschnittliche Verweildauer der Gruppe in kompromittierten Netzwerken beträgt etwa 15 Tage.