Un análisis exhaustivo de la operación de ransomware **The Gentlemen** ha arrojado luz sobre su intrincada evolución, revelando un grupo de amenazas con motivaciones financieras que ha pasado de un modelo de afiliado a un programa de asociación independiente. Inicialmente operando bajo el nombre de **Phantom Mantis**, el grupo aprovechó los recursos de esquemas prominentes de Ransomware-as-a-Service (**RaaS**) como **LockBit** (también conocido como Tenacious Mantis), **Qilin** (también conocido como Pestilent Mantis) y **Medusa** (también conocido como Venomous Mantis) para llevar a cabo ataques de doble extorsión.  ### El Ascenso de LARVA-368 Según un informe detallado de **PRODAFT**, la operación está encabezada por un ciberdelincuente de habla rusa identificado como **LARVA-368**, quien utiliza varios alias en línea, incluidos hastalamuerte, ArmCorp, zeta88, nobody0 y santamuerte. **The Gentlemen** ha estado activo desde marzo de 2025, acumulando un total de 478 víctimas hasta la fecha, según datos de Ransomware.Live. En julio de 2025, **Phantom Mantis** hizo la transición a **The Gentlemen**, estableciéndose como un programa independiente. Este cambio coincidió con una disputa de pago entre **LARVA-368** y **Qilin**, donde el primero acusó a la operación **RaaS** de una estafa de salida y de defraudarles $48,000. Notablemente, **LARVA-368** depende en gran medida de la inteligencia artificial para el desarrollo y mantenimiento de ransomware y herramientas, así como para la asistencia en procedimientos post-explotación. El periodista de ciberseguridad Brian Krebs ha identificado a **LARVA-368** como Alexander Andreevich Yapaev, de 36 años, de Izhevsk, Rusia, un hallazgo corroborado con alta confianza por **PRODAFT**. ### Tácticas Sofisticadas y Programa de Afiliados **The Gentlemen** se caracteriza por su modelo operativo sofisticado y adaptable: * **Modelo de Afiliados Agresivo**: El grupo ofrece una atractiva participación de beneficios del 90% a los afiliados, con un 10% para el operador. * **Verificación de Afiliados**: Los afiliados potenciales deben proporcionar al menos 1 GB de datos exfiltrados para obtener acceso al panel de afiliados, una táctica diseñada para disuadir a investigadores y fuerzas del orden. * **Ransomware Multiplataforma**: **Phantom Mantis** proporciona cinco versiones de ransomware adaptadas para Windows, Linux, ESXi, Windows XP+ y Logical Volume Manager (**LVM**). * **Soporte Impulsado por IA**: **LARVA-368** utiliza cuentas de la aplicación IM de **The Gentlemen** para apoyar a los afiliados, ofreciendo asistencia con problemas relacionados con la encriptación y la intrusión, incluida la provisión de EDR killers para eludir soluciones de seguridad a través de la técnica Bring Your Own Vulnerable Driver (**BYOVD**). * **Canales de Comunicación**: El soporte está disponible a través de las plataformas de mensajería de código abierto Tox, SimpleX Chat y Ricochet Refresh.  ### Vectores de Ataque y Evasión de Defensas **The Gentlemen** prioriza los objetivos empresariales, obteniendo acceso inicial a través de servicios vulnerables expuestos a Internet o credenciales robadas, con un enfoque particular en dispositivos de borde como los electrodomésticos VPN y firewalls de **Cisco** y **Fortinet FortiGate**. El grupo emplea una variedad de utilidades de equipo rojo como **NetExec**, **RelayKing**, **TaskHound**, **PrivHound** y **CertiHound** para el descubrimiento de Active Directory, abuso de certificados, escalada de privilegios y descubrimiento de recursos compartidos de archivos. Para la evasión de defensas, se utilizan herramientas como **EDRStartupHinder**, gfreeze, glinker y DumpBrowserSecrets, mientras que **Velociraptor** sirve como un framework de comando y control (**C2**). Los ataques también implican la limpieza de los registros de eventos de Windows del Sistema, Aplicación y Seguridad, la deshabilitación de **Microsoft Defender** y la adición de exclusiones antivirus. ### Análisis Técnico Profundo **Microsoft**, que rastrea el clúster como **Storm-2697**, señala que el ransomware **The Gentlemen** está escrito en Go y ofuscado con **Garble**. Cuando se ejecuta con el argumento `--spread`, se transforma en un gusano autoprogresivo, desplegando su cifrador en cada sistema alcanzable en la red. El argumento `--wipe` activa una rutina post-cifrado adicional para eliminar artefactos recuperables del disco. El ransomware emplea un esquema criptográfico híbrido, que combina el intercambio de claves **X25519** con el cifrado simétrico **XChaCha20**. **The Gentlemen** también exhibe un enfoque de extorsión multicanal, integrando ataques de ransomware con alcance por correo electrónico y tácticas de presión telefónica contra las víctimas. Su ciclo de desarrollo altamente receptivo se demostró con el lanzamiento rápido de un parche el mismo día después de que se hiciera público un descifrador para su ransomware en abril de 2026. Si bien solo el 13% de sus víctimas se encuentran en EE. UU., la mayoría se concentra en Tailandia, el Reino Unido, Brasil, Alemania e India, lo que destaca un alcance global. El tiempo promedio de permanencia del grupo dentro de las redes comprometidas se sitúa en aproximadamente 15 días.