**The Gentlemen**, una banda de ciberdelincuentes rusos, ha estado muy activa en el panorama del ransomware, comprometiendo presuntamente a cientos de organizaciones solo en los primeros cinco meses de 2026. Según **Check Point Research**, se clasificaron como el segundo grupo de ransomware más productivo de este año, siguiendo de cerca a **Qilin**. ### Los Caballeros Prueban su Propia Medicina Alrededor del 4 de mayo, **The Gentlemen** experimentó una brecha en su base de datos interna de backend. Los atacantes ahora venden más de 16 GB de comunicaciones internas, herramientas y datos por $10,000 en Bitcoin. Este incidente ofrece una rara visión del funcionamiento interno de una operación de ransomware. ### Perspectivas de la Filtración Si bien la brecha puede no paralizar las operaciones de **The Gentlemen**, los datos filtrados, incluida una muestra de 44 MB analizada por **Check Point Research**, ofrecen inteligencia valiosa. Este análisis arroja luz sobre su estructura operativa, tácticas, técnicas y procedimientos (TTPs). ### Cómo Operan The Gentlemen El grupo está liderado por un individuo conocido como "zeta88", quien supervisa el desarrollo de malware, la gestión de infraestructura, la selección de objetivos y la negociación. Zeta88 cuenta con el apoyo de los especialistas operativos "qbit" y "quant", quienes se centran en el escaneo de vulnerabilidades, el reconocimiento, la persistencia y la obtención de acceso a través de registros y credenciales, respectivamente. La organización también incluye un equipo de red teamers, brokers de acceso y un especialista en publicidad. Aunque no se menciona explícitamente, es probable que el grupo dependa de afiliados para expandir su alcance. El modelo de pago incentiva la colaboración, con zeta88 recibiendo el 10% de cada rescate y el 90% restante distribuido entre los otros hackers involucrados. Eli Smadja de **Check Point** destaca la estructura organizativa del grupo como un factor clave en su éxito, enfatizando la clara división de responsabilidades y la experiencia práctica del administrador como ex afiliado. ### Conjunto de Herramientas y Técnicas **The Gentlemen** aprovecha vulnerabilidades conocidas y técnicas de explotación, combinadas con un conjunto de aproximadamente 30 herramientas. Su arsenal incluye escáneres, VPN, herramientas de acceso remoto y técnicas para evadir programas de detección y respuesta de endpoints (EDR) y antivirus, como la táctica de "traer tu propio driver vulnerable". Si bien es efectiva, **Check Point** describe su conjunto de herramientas como "bastante maduro" en lugar de vanguardista. ### Experimentando con IA Los miembros de **The Gentlemen** han explorado el potencial de los modelos de lenguaje grandes (LLMs) para fines maliciosos, incluida la asistencia en el desarrollo de código. Sin embargo, se han encontrado con limitaciones en la tecnología de IA actual, reconociendo la necesidad de supervisión humana y pensamiento crítico. ### Manteniéndose al Tanto de la Competencia **The Gentlemen** monitorea y discute activamente otros grupos de ransomware, aprendiendo de sus éxitos y fracasos. Incluso exploraron formas de capitalizar la filtración de **Black Basta** del año pasado, demostrando su conciencia del panorama de amenazas en evolución.