「**The Gentlemen**」ランサムウェア攻撃に関する包括的な分析により、その複雑な進化の過程が明らかになり、金銭目的の脅威グループがアフィリエイトモデルから独立したパートナーシッププログラムへと移行したことが判明しました。 当初は「**Phantom Mantis**」という名称で活動していたこのグループは、「**LockBit**」（別名Tenacious Mantis）、「**Qilin**」（別名Pestilent Mantis）、「**Medusa**」（別名Venomous Mantis）といった著名なRansomware-as-a-Service（**RaaS**）スキームのリソースを活用し、二重恐喝攻撃を実行していました。  ### LARVA-368の台頭 **PRODAFT**による詳細なレポートによると、この攻撃はロシア語話者のサイバー犯罪者**LARVA-368**によって主導されており、彼はhastalamuerte、ArmCorp、zeta88、nobody0、santamuerteといった様々なオンラインエイリアスを使用しています。Ransomware.Liveのデータによると、「**The Gentlemen**」は2025年3月から活動しており、これまでに合計478件の被害者を抱えています。 2025年7月、「**Phantom Mantis**」は「**The Gentlemen**」へと移行し、独立したプログラムとしての地位を確立しました。この移行は、**LARVA-368**と**Qilin**の間での支払い論争と重なり、前者は**RaaS**攻撃がエグジット詐欺を行い、48,000ドルを詐取したと非難しました。 特筆すべきは、**LARVA-368**がランサムウェアやツールの開発・保守、および攻撃後の手順の支援に人工知能を多用している点です。 サイバーセキュリティジャーナリストのBrian Krebsは、**LARVA-368**をロシアのイジェフスク出身の36歳、Alexander Andreevich Yapaevであると特定しており、この情報は**PRODAFT**によって高い確度で裏付けられています。 ### 洗練された戦術とアフィリエイトプログラム 「**The Gentlemen**」は、その洗練された適応性の高い運用モデルを特徴としています。 * **積極的なアフィリエイトモデル**: グループは、アフィリエイトに魅力的な90%の利益分配を提供し、オペレーターには10%を分配します。 * **アフィリエイトの審査**: 潜在的なアフィリエイトは、アフィリエイトパネルへのアクセスを得るために、少なくとも1GBの流出データを提供する必要があります。これは、研究者や法執行機関を阻止するための戦術です。 * **マルチプラットフォームランサムウェア**: 「**Phantom Mantis**」は、Windows、Linux、ESXi、Windows XP+、Logical Volume Manager（**LVM**）向けにカスタマイズされた5つのランサムウェアバージョンを提供しています。 * **AIによるサポート**: **LARVA-368**は、「**The Gentlemen**」IMアプリアカウントを使用してアフィリエイトをサポートし、Bring Your Own Vulnerable Driver（**BYOVD**）技術を介してセキュリティソリューションをバイパスするためのEDRキラーの提供を含む、暗号化および侵入関連の問題の支援を提供します。 * **コミュニケーションチャネル**: Tox、SimpleX Chat、Ricochet Refreshといったオープンソースメッセージングプラットフォームを通じてサポートが利用可能です。  ### 攻撃ベクトルと防御回避 「**The Gentlemen**」はエンタープライズターゲットを優先し、脆弱なインターネット接続サービスまたは盗難された認証情報を通じて初期アクセスを獲得します。特に、**Cisco**や**Fortinet FortiGate** VPNアプライアンスおよびファイアウォールといったエッジデバイスに焦点を当てています。 このグループは、Active Directoryの検出、証明書の悪用、権限昇格、ファイル共有の検出のために、**NetExec**、**RelayKing**、**TaskHound**、**PrivHound**、**CertiHound**などの様々なレッドチームユーティリティを採用しています。 防御回避のためには、**EDRStartupHinder**、gfreeze、glinker、DumpBrowserSecretsといったツールが利用され、**Velociraptor**はコマンド＆コントロール（**C2**）フレームワークとして機能します。 攻撃には、システム、アプリケーション、セキュリティのWindowsイベントログの消去、**Microsoft Defender**の無効化、およびアンチウイルス除外の追加も含まれます。 ### 技術的詳細 **Microsoft**は、このクラスターを**Storm-2697**として追跡しており、「**The Gentlemen**」ランサムウェアはGoで記述され、**Garble**で難読化されていると指摘しています。`--spread`引数で実行されると、自己増殖型ワームに変貌し、ネットワーク上の到達可能なすべてのシステムにエンクリプターを展開します。`--wipe`引数は、ディスクから回復可能なアーティファクトを削除するための追加の攻撃後ルーチンをトリガーします。 このランサムウェアは、**X25519**キー交換と**XChaCha20**対称暗号化を組み合わせたハイブリッド暗号化スキームを採用しています。 「**The Gentlemen**」は、ランサムウェア攻撃と電子メールでの連絡、および被害者に対する電話での圧力戦術を統合したマルチチャネル恐喝アプローチも示しています。彼らの非常に応答性の高い開発サイクルは、ランサムウェアの復号ツールが2026年4月に公開された後、同日パッチが迅速にリリースされたことで実証されました。 被害者のうち米国に拠点を置くのはわずか13%ですが、大半はタイ、英国、ブラジル、ドイツ、インドに集中しており、グローバルなリーチを浮き彫りにしています。このグループの侵害されたネットワーク内での平均潜伏期間は約15日間です。