Grupo TheGentleman

TheGentleman

TheGentleman opera un modelo RaaS con foco en objetivos de alto impacto económico. El grupo explota activamente appliances FortiGate como puerta de entrada a redes corporativas, desplegando a continuación una infraestructura de control remoto propia (G-BOT) y herramientas de tunelización para el movimiento lateral. La fase de exfiltración precede siempre al cifrado, aplicando una doble presión sobre las víctimas. Sus operaciones han afectado a más de 400 organizaciones en múltiples continentes desde su aparición a mediados de 2025.

Cronología y evolución

  • Julio-Agosto 2025: Aparición de TheGentlemen como operación RaaS de habla rusa. El 9 de septiembre se registra su primera publicación en el sitio de filtración público. Las plataformas de monitorización de amenazas les atribuyen más de 400 víctimas desde sus primeras semanas.

  • Noviembre 2025: El grupo traslada sus comunicaciones internas desde Mattermost a una instancia de Rocket.Chat alojada en Tor. Comienzan los primeros accesos documentados a través de dispositivos FortiGate y se registran las primeras víctimas confirmadas.

  • Diciembre 2025: Puesta en marcha de una infraestructura de entrega de payloads basada en correo electrónico con documentos HTML como vector principal. Incorporación de los primeros objetivos a través del canal interno de selección PODBOR.

  • Enero 2026: Integración de G-BOT como plataforma de C2 y Velociraptor como herramienta de control remoto complementaria. Intrusión documentada contra un operador de telecomunicaciones de gran envergadura. Mes con mayor volumen de actividad interna registrado.

  • Febrero-Marzo 2026: Campaña de cifrado masivo contra dispositivos NAS. Ataques a empresas de transporte marítimo y logística internacional. Incorporación de modelos de IA para asistir en las negociaciones con víctimas y en el análisis de la información robada.

  • Abril 2026: Alquiler de GPU para el procesado de grandes volúmenes de datos exfiltrados. El grupo monitoriza activamente su posición en clasificaciones públicas de grupos de ransomware, donde figura como el segundo más activo del año 2026.

  • Mayo 2026: La infraestructura de comunicaciones resulta comprometida tras un ataque al proveedor de hosting 4VPS.SU. El 8 de mayo el corpus completo de comunicaciones internas es publicado gratuitamente en foros clandestinos, exponiendo víctimas, herramientas y operaciones del grupo.

Resumen del ataque

Fase Descripción
Acceso inicial Acceso mediante explotación de vulnerabilidades críticas en appliances FortiGate (CVE-2024-55591). Uso del cliente openconnect con credenciales VPN obtenidas de los dispositivos comprometidos. Las contraseñas de acceso VPN son reutilizadas entre víctimas bajo un patrón de nomenclatura interno.
Reconocimiento interno Enumeración de recursos SMB con NetExec (nxc) enrutado a través de túneles SOCKS5. Extracción de credenciales LDAP directamente de las configuraciones de FortiGate para la enumeración de Active Directory. Uso de BloodHound para el mapeo de rutas de escalada de privilegios.
Acceso a credenciales Volcado de credenciales de LSASS con Mimikatz y variantes parcheadas para versiones modernas de Windows. Extracción de secretos de navegadores mediante DumpBrowserSecrets y XenAllPasswords.
Persistencia y C2 Despliegue de balizas G-BOT (C2 personalizado con gestión de implantes y proxy SOCKS5 integrado) y Velociraptor (reaprovechado como agente de control remoto). Tunelización con Chisel y encadenamiento de proxies mediante proxychains.
Movimiento lateral Ejecución remota mediante PsExec y WMI. Conexión interactiva vía RDP con credenciales robadas. Pivoting a través de los canales SOCKS5 de los implantes G-BOT.
Exfiltración Transferencia masiva de datos mediante Rclone y WinSCP. Datos organizados en directorios temporales o comprimidos antes de la transferencia hacia infraestructura controlada por el atacante.
Pre-cifrado Detención de contenedores, máquinas virtuales y servicios de base de datos mediante scripts predefinidos. Eliminación de snapshots y volúmenes de sombra para bloquear la recuperación.
Cifrado Locker Linux desplegado desde /opt/updateamd con parámetros de ruta, contraseña y modo ultrafast. Cifrado de volúmenes Hyper-V directamente a nivel de hipervisor. Extensión resultante: .i8p14s. Nota de rescate: README-GENTLEMEN.txt.
Impacto y destrucción Eliminación de copias de seguridad mediante vssadmin delete shadows y wmic shadowcopy delete. Deshabilitación del arranque de recuperación con bcdedit. Destrucción de snapshots ESXi e instantáneas NAS.

Acceso inicial

El grupo obtiene acceso a redes corporativas principalmente a través de la explotación de CVE-2024-55591 en dispositivos FortiGate, una omisión de autenticación crítica que permite el acceso a la consola de administración sin credenciales. Una vez en el dispositivo, extraen las configuraciones completas que incluyen credenciales VPN y parámetros de enlace LDAP en texto claro. El cliente openconnect con --protocol=fortinet es la herramienta de conexión documentada, utilizando contraseñas reutilizadas entre objetivos distintos bajo un esquema de nomenclatura del propio grupo.

Como vector secundario, el grupo dispone del kit FOBOS Loader, que agrupa múltiples métodos de entrega de payloads: contrabando HTML, variantes ClickFix, archivos LNK, paquetes MSI, droppers Python y explotación de CVE-2024-21412 para la omisión de SmartScreen. El kit integra además Phemedrone Stealer v2.3.2 y herramientas de validación de credenciales robadas.

Acceso a credenciales

Las credenciales de enlace LDAP extraídas de configuraciones FortiGate proporcionan acceso de lectura al directorio corporativo sin necesidad de comprometer un host adicional. Sobre los sistemas Windows el grupo utiliza Mimikatz y versiones modificadas compatibles con las últimas actualizaciones del sistema operativo, así como KslKatz y KslDump para la extracción de tickets Kerberos. La extracción de credenciales almacenadas en navegadores se realiza mediante DumpBrowserSecrets y XenAllPasswords.

Persistencia y evasión

Los implantes G-BOT y Velociraptor proporcionan el canal de control persistente. El primero expone un proxy SOCKS5 por baliza que permite al atacante enrutar tráfico de reconocimiento a través de los propios hosts comprometidos. Se documenta además la evaluación de herramientas de neutralización de EDR, incluyendo un módulo específico contra CrowdStrike disponible como herramienta premium dentro del ecosistema del grupo.

Movimiento lateral

El movimiento dentro de la red se realiza enrutando herramientas de enumeración como NetExec a través de los canales SOCKS5 establecidos. El acceso interactivo se realiza mediante RDP y la conexión SSH a hipervisores ESXi con credenciales de administrador. La herramienta BloodHound se emplea para identificar rutas de escalada de privilegios en entornos Active Directory.

Exfiltración

Rclone es la herramienta principal de transferencia, complementada por WinSCP y evaluaciones internas de clientes de montaje en la nube. Los datos son organizados y comprimidos antes de su transferencia hacia infraestructura controlada por el atacante. Se documenta la capacidad de procesamiento de grandes volúmenes de datos exfiltrados mediante GPU en alquiler.

Cifrado

El locker Linux se despliega desde /opt/updateamd con parámetros de ruta, contraseña y modo de cifrado acelerado. El grupo cifra volúmenes de disco virtual directamente a nivel de hipervisor en entornos Hyper-V, evadiendo los controles de seguridad instalados en las máquinas invitadas y amplificando el impacto a todos los sistemas alojados con una única operación. La extensión resultante en los entornos documentados es .i8p14s y la nota de rescate se deposita como README-GENTLEMEN.txt.

Víctimas y geografía

Las víctimas documentadas incluyen entidades bancarias en Irak, grupos de servicios financieros en Mauricio, fabricantes de cemento en el Golfo Pérsico, empresas cerámicas en España, firmas de inversión en Asia y compañías de transporte marítimo internacional. La selección de objetivos se basa en criterios de ingresos investigados a través de plataformas de inteligencia empresarial, priorizando organizaciones con facturación superior a varios cientos de millones de dólares. La huella geográfica del grupo es global, con presencia documentada en Europa, Oriente Medio, Asia y América.

Fuentes

  • Ransom-ISAC: The Gentlemen Leak Analysis (Technical Intelligence Report, mayo 2026)
  • RansomLook: Victim tracking data and repository analysis
  • Unit 42 by Palo Alto Networks: Ransomware Group Analysis
  • BleepingComputer: Ransomware News
  • CrowdStrike Blog: Threat Intelligence Updates
Sectores Objetivo

Sectores Objetivo

Sectores de actividad en los que el grupo TheGentleman ha concentrado sus ataques.

Objetivo prioritario por el volumen y sensibilidad de los datos de clientes y transacciones. Se han documentado ataques a entidades bancarias comerciales y grupos de servicios financieros. La interrupción operativa genera presión adicional para el pago del rescate dada la criticidad regulatoria del sector.

Atacado para interrumpir cadenas de producción y robar propiedad intelectual industrial. El impacto sobre líneas de fabricación con escasa tolerancia al tiempo de inactividad incrementa la disposición a pagar. Se han documentado objetivos en sectores como cerámica y materiales de construcción.

El grupo ha comprometido empresas navieras y operadores de transporte internacional, donde el volumen de datos operacionales y la continuidad del servicio representan una presión negociadora elevada. La interrupción logística tiene un efecto cascada sobre cadenas de suministro globales.

Objetivo por la criticidad de los servicios y el valor de los datos clínicos. La interrupción de sistemas hospitalarios puede comprometer la atención a pacientes, generando incentivos adicionales para el pago inmediato.

Objetivo por grandes volúmenes de datos de investigación y personales. Las infraestructuras académicas complejas presentan habitualmente una superficie de exposición elevada con recursos de seguridad limitados.

Atacado por el valor de la información ciudadana y la dependencia de la continuidad de los servicios esenciales. Los organismos públicos con recursos de seguridad limitados representan objetivos de alta rentabilidad relativa.

Reglas XDR

Detection & Response Rules

Reglas listas para importar en SentinelOne XDR. Contacta con nosotros para acceso completo al repositorio actualizado.

Detecta la ejecución de herramientas de extracción de credenciales como Mimikatz, KslKatz o KslDump apuntando al proceso LSASS. La detección temprana es crítica para cortar el movimiento lateral antes de que el atacante obtenga credenciales de dominio.

S1QL v2 
event.type = 'Process Creation' AND tgt.process.name = 'lsass.exe' AND tgt.process.cmdline IN ('dump', 'sekurlsa', 'kslkatz', 'ksldump')

Detecta procesos ejecutados desde directorios temporales realizando conexiones HTTP/HTTPS/WebSocket en puertos no estándar. Patrón característico de herramientas de tunelización como Chisel dropeadas por el atacante, que raramente se alojan en rutas de sistema legítimas.

S1QL v2 
event.network.protocolName in ('http', 'https', 'websocket') AND !(dst.port.number in (443, 8080, 8443)) AND src.process.image.path contains 'Temp' AND !(src.process.name in ('AdobeARMHelper.exe'))

Alerta sobre el uso de vssadmin.exe o wmic.exe para eliminar instantáneas de volumen. Es un paso sistemático del grupo previo al despliegue del cifrador. La detección temprana permite preservar los puntos de recuperación.

S1QL v2 
event.type = 'Process Creation' AND (tgt.process.cmdline CONTAINS 'vssadmin delete shadows' OR tgt.process.cmdline CONTAINS 'wmic shadowcopy delete')

Detecta la ejecución de nxc o netexec para el escaneo y enumeración de recursos SMB en la red interna. Su uso combinado con proxychains indica que el atacante ya tiene un túnel activo y está realizando reconocimiento interno.

S1QL v2 
event.type = 'Process Creation' AND (tgt.process.name IN ('nxc', 'netexec') OR tgt.process.cmdline CONTAINS 'smb')

Detecta la ejecución de Rclone con parámetros de copia o sincronización hacia servicios externos. El grupo emplea Rclone junto con RcloneView para la transferencia masiva de datos robados antes del cifrado.

S1QL v2 
event.type = 'Process Creation' AND tgt.process.name = 'rclone.exe' AND tgt.process.cmdline IN ('copy', 'sync', 'move') AND tgt.process.cmdline IN ('mega', 'dropbox', 's3', 'ftp')

Identifica la ejecución de PsExec o el servicio PSEXESVC en hosts de la red. Utilizado por el grupo para el despliegue del cifrador en múltiples sistemas de forma simultánea.

S1QL v2 
event.type = 'Process Creation' AND (tgt.process.name = 'psexec.exe' OR tgt.process.name = 'PSEXESVC.exe')

Alerta sobre inicios de sesión SSH inusuales en hosts ESXi o Hyper-V. El grupo accede a hipervisores para ejecutar el cifrado directamente sobre volúmenes de disco virtual, maximizando el impacto sin necesidad de comprometer cada VM individualmente.

S1QL v2 
event.network.protocolName in ('ssh')
Tags: Ransomware Doble extorsión RaaS Exfiltración de datos FortiGate Tunneling Pivoting Linux Ransomware ESXi Ransomware NAS Ransomware Hyper-V Phishing Acceso inicial