The Gentlemen 勒索软件声称有 478 名受害者，可像蠕虫一样传播

对 The Gentlemen 行动的一项新分析显示，这个以经济为动机的威胁组织最初是作为附属机构运营的，负责实施双重勒索攻击，同时利用来自 LockBit（又名 Tenacious Mantis）、Qilin（又名 Pestilent Mantis）和 Medusa（又名 Venomous Mantis）等多个勒索软件即服务（RaaS）计划的资源。

根据 PRODAFT 发布的一份详细报告，该组织（其追踪代号为 Phantom Mantis）由一名俄语网络犯罪分子领导，PRODAFT 称其为 LARVA-368，其在线别名包括 hastalamuerte、ArmCorp、zeta88、nobody0 和 santamuerte。据 Ransomware.Live 的数据显示，The Gentlemen 自 2025 年 3 月以来一直活跃，迄今已声称共有 478 名受害者。

这家瑞士网络安全公司表示："2025 年 7 月，Phantom Mantis 转型为 The Gentlemen，这是一个独立的合作计划，不再依赖其他 RaaS 组织。此外，LARVA-368 严重依赖人工智能来开发和维护勒索软件及工具，并协助进行后利用程序。"

至于 LARVA-368，该威胁行为者据评估在启动自己的 ArmCorp 行动之前曾是 Embargo（又名 Primeval Mantis）勒索软件组织的成员。四个月后，该组织更名为 The Gentlemen。

此后，网络安全记者 Brian Krebs 揭露了该人的身份，是来自俄罗斯伊热夫斯克市的 36 岁 Alexander Andreevich Yapaev（Япаев Алексанр Андреевич）。PRODAFT 告诉 The Hacker News，其调查结果与同一身份"高度吻合"。

正如 Dark Atlas 在 2025 年 8 月详述的那样，这一转变恰逢 LARVA-368 与 Qilin 之间的付款纠纷，该威胁行为者指责该 RaaS 运营实施退出骗局，骗取了他们 48,000 美元。

PRODAFT 指出："尽管 Phantom Mantis 是一个非常活跃的附属组织，在不到 30 天的时间里其附属面板上注册了超过 20 个目标，但该组织的管理员（LARVA-368）和前 Phantom Mantis 成员 LARVA-367（又名 DevMan）声称 Pestilent Mantis 在欺骗附属机构，并且 Pestilent Mantis 的附属面板受害者聊天中存在所谓的'后门'。虽然我们无法确认这些说法，但 LARVA-368 和 LARVA-367 有可能故意散布虚假信息，意图通过诋毁 Pestilent Mantis 来招募其附属机构加入 Phantom Mantis。"

Phantom Mantis 还被观察到付费购买地下论坛的 Premium 账户以提高其知名度并抵御竞争，该组织的沟通和技术支持由另一个名为 The Gentlemen Data 的俄语角色处理。

从各份报告中整理出的该勒索计划的其他一些显著方面如下：

• 在去年年底对该勒索软件的分析中，LevelBlue 的 Cybereason 团队将 The Gentlemen 描述为一个"高度适应、快速移动的勒索软件行动"，它结合了成熟的勒索软件技术与 RaaS 功能、双重勒索、跨平台锁定器、灵活的传播方式以及附属支持。
• 该组织已成为最活跃的威胁行为者之一，在 2026 年 4 月占勒索软件活动的 10%。NCC Group 表示："The Gentlemen 遵循以企业为中心的链条，从通过易受攻击的面向互联网服务或被盗凭证获得初始访问开始。分析表明，The Gentlemen 可以在攻击过程中调整和改变策略，例如操纵 GPO、入侵特权账户以及使用自定义方法绕过端点保护。"
• 其受害者中只有约 13% 位于美国。大多数受害者集中在泰国、英国、巴西、德国和印度。
• LARVA-368 使用 The Gentlemen IM 应用账户来支持附属机构处理加密和任何入侵相关问题，例如通过自带易受攻击驱动程序（BYOVD）技术提供 EDR 杀手来绕过安全解决方案。
• The Gentlemen 和 The Gentlemen Data 的支持服务可通过 Tox、SimpleX Chat 和 Ricochet Refresh 开源消息平台获得。
• 潜在附属机构需要向管理员提供从受害者处窃取的至少 1GB 数据，才能获得附属面板的访问权限，这是一种旨在防止研究人员和执法机构以附属机构为幌子获取基础设施访问权限的策略。附属面板支持用户管理、配置新目标以及将勒索软件下载到特定目标。
• Phantom Mantis 提供五个版本的勒索软件，分别针对 Windows、Linux、ESXi、Windows XP+ 和逻辑卷管理器（LVM）设计。
• 该组织以激进的利润分成模式吸引附属机构：附属机构 90%，运营者 10%。
• 初始访问通过 VPN 设备、防火墙和其他面向互联网的系统等边缘设备获得，特别关注 Cisco 和 Fortinet FortiGate 等平台。
• 感染链涉及使用 NetExec、RelayKing、TaskHound、PrivHound 和 CertiHound 等红队工具来执行 Active Directory 发现、证书滥用、权限提升和文件共享发现。另一套工具（如 EDRStartupHinder、gfreeze、glinker 和 DumpBrowserSecrets）用于规避安全程序，而 Velociraptor 则用于命令与控制（C2）。
• 攻击还试图清除 System、Application 和 Security Windows Event Log，禁用 Microsoft Defender，并添加防病毒排除项。
• 该勒索软件使用混合加密方案：X25519 密钥交换结合 XChaCha20 对称加密。
• Microsoft 以 Storm-2697 的代号追踪该集群，称该勒索软件使用 Go 语言编写，并通过 Garble 进行混淆，以针对 Windows 环境。微软表示："当启用 --spread 参数时，该恶意软件从单主机加密器转变为自我传播的蠕虫，试图将其加密器部署到网络上每个可达的系统。如果提供了 --wipe 参数，The Gentlemen 勒索软件会执行额外的加密后例程，从磁盘中清除可恢复的工件。"
• 据 ZeroFox 称，该勒索软件团伙可能运营多渠道勒索行动，将勒索软件攻击与电子邮件外联和基于电话的施压策略相结合，针对受害者。
• 该组织实施了"高度响应的开发周期"，一个例证是在 2026 年 4 月解密器发布后，当天就发布了补丁。
• 从初始访问到加密的平均驻留时间为两到六周，该组织特别关注运行 VMware 基础设施的组织。
• 上个月，该组织使用的内部 Rocket.Chat 数据库泄露（包含 2025 年 11 月至 2026 年 4 月底期间的 3,366 条消息）进一步揭示了该组织的内部运作，包括其利用 VMware Aria Operations、Fortinet、Cisco 和 Microsoft 软件中已知安全漏洞的情况，同时描绘了一个成员具有明确角色和职责分工的犯罪企业的图景。

Check Point 表示："该组织积极跟踪和评估现代漏洞，包括 CVE-2024-55591、CVE-2025-32433 和 CVE-2025-33073，并将它们与基于技术的路径（如备份和管理控制器滥用以及 NTLM 中继工作流）相结合，从而拥有灵活的攻击管道。"

这还不是全部。2026 年 3 月，Hunt.io 表示发现了一个托管在俄罗斯抗投诉主机提供商 Proton66 上 "176.120.22[.]127:80" 的开放目录，其中包含 126 个文件，包含一个完整的勒索软件操作工具包，归属于 The Gentlemen RaaS 附属机构。

这包括用于侦察、权限提升、防御规避、凭证窃取、横向移动、持久化和加密前准备的工具，基本上涵盖了入侵生命周期的所有阶段。

PRODAFT 表示："LARVA-368 是一个专门从事勒索相关活动的威胁行为者，至少自 2020 年以来一直活跃。通过与各种 RaaS 组织的先前合作所获得的专业知识，为建立 The Gentlemen RaaS 提供了必要的技术基础。"