Uma análise abrangente da operação de ransomware **The Gentlemen** lançou luz sobre sua evolução intrincada, revelando um grupo de ameaças com motivação financeira que transitou de um modelo de afiliado para um programa de parceria independente. Inicialmente operando sob o pseudônimo **Phantom Mantis**, o grupo alavancou recursos de esquemas proeminentes de Ransomware-as-a-Service (**RaaS**), como **LockBit** (também conhecido como Tenacious Mantis), **Qilin** (também conhecido como Pestilent Mantis) e **Medusa** (também conhecido como Venomous Mantis) para realizar ataques de dupla extorsão.  ### A Ascensão de LARVA-368 De acordo com um relatório detalhado da **PRODAFT**, a operação é liderada por um cibercriminoso de língua russa identificado como **LARVA-368**, que usa vários aliases online, incluindo hastalamuerte, ArmCorp, zeta88, nobody0 e santamuerte. **The Gentlemen** está ativo desde março de 2025, acumulando um total de 478 vítimas até o momento, de acordo com dados do Ransomware.Live. Em julho de 2025, **Phantom Mantis** transitou para **The Gentlemen**, estabelecendo-se como um programa independente. Essa mudança coincidiu com uma disputa de pagamento entre **LARVA-368** e **Qilin**, onde o primeiro acusou a operação **RaaS** de um golpe de saída e de fraudá-los em US$ 48.000. Notavelmente, **LARVA-368** depende fortemente de inteligência artificial para o desenvolvimento e manutenção de ransomware e ferramentas, bem como para assistência com procedimentos pós-exploração. O jornalista de cibersegurança Brian Krebs identificou **LARVA-368** como Alexander Andreevich Yapaev, de 36 anos, de Izhevsk, Rússia, uma descoberta corroborada com alta confiança pela **PRODAFT**. ### Táticas Sofisticadas e Programa de Afiliados **The Gentlemen** é caracterizado por seu modelo operacional sofisticado e adaptativo: * **Modelo Agressivo de Afiliados**: O grupo oferece uma participação de lucro atraente de 90% para afiliados, com 10% para o operador. * **Verificação de Afiliados**: Afiliados em potencial devem fornecer pelo menos 1 GB de dados exfiltrados para obter acesso ao painel de afiliados, uma tática projetada para dissuadir pesquisadores e autoridades. * **Ransomware Multiplataforma**: **Phantom Mantis** fornece cinco versões de ransomware adaptadas para Windows, Linux, ESXi, Windows XP+ e Logical Volume Manager (**LVM**). * **Suporte Impulsionado por IA**: **LARVA-368** usa contas do aplicativo IM **The Gentlemen** para dar suporte a afiliados, oferecendo assistência com problemas relacionados à criptografia e intrusão, incluindo o fornecimento de EDR killers para contornar soluções de segurança por meio da técnica Bring Your Own Vulnerable Driver (**BYOVD**). * **Canais de Comunicação**: O suporte está disponível via Tox, SimpleX Chat e plataformas de mensagens de código aberto Ricochet Refresh.  ### Vetores de Ataque e Evasão de Defesa **The Gentlemen** prioriza alvos corporativos, obtendo acesso inicial por meio de serviços vulneráveis voltados para a internet ou credenciais roubadas, com foco particular em dispositivos de borda como appliances **Cisco** e **Fortinet FortiGate** VPN e firewalls. O grupo emprega uma variedade de utilitários de red teaming, como **NetExec**, **RelayKing**, **TaskHound**, **PrivHound** e **CertiHound** para descoberta do Active Directory, abuso de certificados, escalonamento de privilégios e descoberta de compartilhamento de arquivos. Para evasão de defesa, ferramentas como **EDRStartupHinder**, gfreeze, glinker e DumpBrowserSecrets são utilizadas, enquanto **Velociraptor** serve como um framework de comando e controle (**C2**). Os ataques também envolvem a limpeza dos Logs de Eventos do Windows do Sistema, Aplicativo e Segurança, a desativação do **Microsoft Defender** e a adição de exclusões de antivírus. ### Análise Técnica Aprofundada A **Microsoft**, rastreando o cluster como **Storm-2697**, observa que o ransomware **The Gentlemen** é escrito em Go e ofuscado com **Garble**. Quando executado com o argumento `--spread`, ele se transforma em um worm autopropagante, implantando seu criptografador em todos os sistemas alcançáveis na rede. O argumento `--wipe` aciona uma rotina adicional pós-criptografia para eliminar artefatos recuperáveis do disco. O ransomware emprega um esquema criptográfico híbrido, combinando troca de chaves **X25519** com criptografia simétrica **XChaCha20**. **The Gentlemen** também exibe uma abordagem de extorsão multicanal, integrando ataques de ransomware com contato por e-mail e táticas de pressão por telefone contra vítimas. Seu ciclo de desenvolvimento altamente responsivo foi demonstrado pela rápida liberação de um patch no mesmo dia após um decriptador para seu ransomware ter sido tornado público em abril de 2026. Embora apenas 13% de suas vítimas estejam baseadas nos EUA, a maioria está concentrada na Tailândia, Reino Unido, Brasil, Alemanha e Índia, destacando um alcance global. O tempo médio de permanência do grupo em redes comprometidas é de aproximadamente 15 dias.