Une analyse complète de l'opération de ransomware **The Gentlemen** a mis en lumière son évolution complexe, révélant un groupe de menace motivé par l'argent qui est passé d'un modèle d'affilié à un programme de partenariat indépendant. Initialement opérant sous le nom de **Phantom Mantis**, le groupe a exploité les ressources de programmes Ransomware-as-a-Service (**RaaS**) de premier plan tels que **LockBit** (alias Tenacious Mantis), **Qilin** (alias Pestilent Mantis) et **Medusa** (alias Venomous Mantis) pour mener des attaques de double extorsion.  ### L'ascension de LARVA-368 Selon un rapport détaillé de **PRODAFT**, l'opération est dirigée par un cybercriminel russophone identifié comme **LARVA-368**, qui utilise divers pseudonymes en ligne, notamment hastalamuerte, ArmCorp, zeta88, nobody0 et santamuerte. **The Gentlemen** est actif depuis mars 2025, accumulant un total de 478 victimes à ce jour, selon les données de Ransomware.Live. En juillet 2025, **Phantom Mantis** est devenu **The Gentlemen**, s'établissant comme un programme indépendant. Ce changement a coïncidé avec un différend de paiement entre **LARVA-368** et **Qilin**, où le premier a accusé l'opération **RaaS** d'une sortie frauduleuse et de les avoir escroqués de 48 000 $. Notamment, **LARVA-368** s'appuie fortement sur l'intelligence artificielle pour le développement et la maintenance des ransomwares et des outils, ainsi que pour l'assistance aux procédures post-exploitation. Le journaliste en cybersécurité Brian Krebs a identifié **LARVA-368** comme étant Alexander Andreevich Yapaev, 36 ans, originaire d'Izhevsk, en Russie, une découverte corroborée avec une grande confiance par **PRODAFT**. ### Tactiques sophistiquées et programme d'affiliation **The Gentlemen** se caractérise par son modèle opérationnel sophistiqué et adaptatif : * **Modèle d'affiliation agressif** : Le groupe offre une part de profit attrayante de 90 % aux affiliés, avec 10 % pour l'opérateur. * **Vérification des affiliés** : Les affiliés potentiels doivent fournir au moins 1 Go de données exfiltrées pour accéder au panneau d'affiliation, une tactique conçue pour dissuader les chercheurs et les forces de l'ordre. * **Ransomware multi-plateforme** : **Phantom Mantis** fournit cinq versions de ransomware adaptées pour Windows, Linux, ESXi, Windows XP+ et Logical Volume Manager (**LVM**). * **Support alimenté par l'IA** : **LARVA-368** utilise des comptes IM de **The Gentlemen** pour soutenir les affiliés, offrant une assistance pour le chiffrement et les problèmes liés à l'intrusion, y compris la fourniture de tueurs EDR pour contourner les solutions de sécurité via la technique Bring Your Own Vulnerable Driver (**BYOVD**). * **Canaux de communication** : Le support est disponible via les plateformes de messagerie open-source Tox, SimpleX Chat et Ricochet Refresh.  ### Vecteurs d'attaque et évasion de la défense **The Gentlemen** privilégie les cibles d'entreprise, obtenant un accès initial via des services vulnérables exposés sur Internet ou des identifiants volés, avec un accent particulier sur les appareils périphériques tels que les appliances VPN et les pare-feu **Cisco** et **Fortinet FortiGate**. Le groupe utilise une gamme d'utilitaires de red teaming tels que **NetExec**, **RelayKing**, **TaskHound**, **PrivHound** et **CertiHound** pour la découverte Active Directory, l'abus de certificats, l'escalade de privilèges et la découverte de partages de fichiers. Pour l'évasion de la défense, des outils comme **EDRStartupHinder**, gfreeze, glinker et DumpBrowserSecrets sont utilisés, tandis que **Velociraptor** sert de framework de command-and-control (**C2**). Les attaques impliquent également l'effacement des journaux d'événements Windows (Système, Application et Sécurité), la désactivation de **Microsoft Defender** et l'ajout d'exclusions antivirus. ### Analyse technique approfondie **Microsoft**, qui suit ce groupe sous le nom de **Storm-2697**, note que le ransomware **The Gentlemen** est écrit en Go et obfusqué avec **Garble**. Lorsqu'il est exécuté avec l'argument `--spread`, il se transforme en un ver auto-propagateur, déployant son encryptor sur tous les systèmes accessibles sur le réseau. L'argument `--wipe` déclenche une routine post-chiffrement supplémentaire pour éliminer les artefacts récupérables du disque. Le ransomware utilise un schéma cryptographique hybride, combinant l'échange de clés **X25519** avec le chiffrement symétrique **XChaCha20**. **The Gentlemen** présente également une approche d'extorsion multicanal, intégrant des attaques par ransomware avec des campagnes d'emailing et des tactiques de pression téléphonique contre les victimes. Leur cycle de développement très réactif a été démontré par la publication rapide d'un correctif le jour même après la mise à disposition publique d'un déchiffreur pour leur ransomware en avril 2026. Bien que seulement 13 % de leurs victimes soient basées aux États-Unis, la majorité est concentrée en Thaïlande, au Royaume-Uni, au Brésil, en Allemagne et en Inde, soulignant une portée mondiale. Le temps de résidence moyen du groupe au sein des réseaux compromis est d'environ 15 jours.