Uma nova análise da operação The Gentlemen revelou que o grupo de ameaça, motivado financeiramente, começou atuando como um afiliado responsável por conduzir ataques de dupla extorsão, enquanto utilizava recursos de diferentes esquemas de ransomware-as-a-service (RaaS), como LockBit (também conhecido como Tenacious Mantis), Qilin (também conhecido como Pestilent Mantis) e Medusa (também conhecido como Venomous Mantis).
Segundo um relatório detalhado publicado pela PRODAFT, o grupo, monitorado pela empresa como Phantom Mantis, é liderado por um cibercriminoso que fala russo e que a companhia chama de LARVA-368.
Ele usa os pseudônimos online hastalamuerte, ArmCorp, zeta88, nobody0 e santamuerte.
O The Gentlemen está ativo desde março de 2025 e já reivindicou 478 vítimas até o momento, de acordo com dados do Ransomware.Live.
“Em julho de 2025, o Phantom Mantis passou a se chamar The Gentlemen, um programa de parceria independente que não depende mais de outros grupos de RaaS”, afirmou a empresa suíça de cibersegurança.
“Além disso, LARVA-368 depende fortemente de inteligência artificial para desenvolver e manter o ransomware e suas ferramentas, bem como para auxiliar em procedimentos de pós-exploração.”
No caso de LARVA-368, a avaliação é de que esse threat actor fez parte do grupo de ransomware Embargo, também conhecido como Primeval Mantis, antes de lançar sua própria operação sob o nome ArmCorp.
Quatro meses depois, a marca foi alterada para The Gentlemen.
A identidade do indivíduo acabou sendo revelada pelo jornalista de cibersegurança Brian Krebs como Alexander Andreevich Yapaev, de 36 anos, natural da cidade russa de Izhevsk.
A PRODAFT disse, segundo o The Hacker News, que suas conclusões correspondem à mesma pessoa com “alta confiança”.
Como detalhou a Dark Atlas em agosto de 2025, a mudança coincidiu com uma disputa de pagamento entre LARVA-368 e a Qilin, quando o threat actor acusou a operação de RaaS de aplicar um golpe de saída e de desviar US$ 48.000.
“Embora o Phantom Mantis fosse um grupo afiliado muito ativo, com mais de 20 alvos cadastrados em seu painel de afiliados em menos de 30 dias, o administrador do grupo, LARVA-368, e LARVA-367, também conhecido como DevMan e ex-membro do Phantom Mantis, alegaram que o Pestilent Mantis estava enganando afiliados e que havia um suposto backdoor nos chats de vítimas do painel de afiliados do Pestilent Mantis”, observou a PRODAFT.
“Embora não tenhamos conseguido confirmar essas alegações, há a possibilidade de que LARVA-368 e LARVA-367 tenham espalhado desinformação de forma intencional, com a intenção de recrutar afiliados do Pestilent Mantis para o Phantom Mantis, desacreditando o grupo.”
Também foi observado que o Phantom Mantis pagava por contas Premium em fóruns clandestinos para aumentar sua visibilidade e afastar concorrentes.
A comunicação do grupo e o suporte técnico ficam a cargo de uma outra persona de língua russa chamada The Gentlemen Data.
Outros aspectos relevantes do esquema de extorsão, compilados a partir de diferentes relatórios, incluem:
No fim do ano passado, em uma análise do ransomware, a equipe Cybereason da LevelBlue descreveu o The Gentlemen como uma “operação de ransomware altamente adaptável e de rápida movimentação”, que combina técnicas maduras de ransomware com recursos de RaaS, dupla extorsão, bloqueadores multiplataforma e propagação flexível, além de suporte a afiliados.
O grupo se consolidou como um dos threat actors mais ativos, respondendo por 10% da atividade de ransomware em abril de 2026.
“O The Gentlemen segue uma cadeia voltada para o ambiente corporativo, começando pelo acesso inicial, por meio de serviços expostos na internet vulneráveis ou credenciais roubadas”, afirmou a NCC Group.
“A análise sugere que o The Gentlemen pode se adaptar e mudar de tática durante um ataque, como manipular GPOs, comprometer contas privilegiadas e usar métodos personalizados para contornar proteções de endpoint.”
Apenas cerca de 13% das vítimas estão nos Estados Unidos.
A maior parte se concentra na Tailândia, no Reino Unido, no Brasil, na Alemanha e na Índia.
LARVA-368 usa contas do aplicativo de mensagens The Gentlemen IM para orientar afiliados sobre criptografia e qualquer problema relacionado à intrusão, inclusive com a oferta de EDR killers para contornar soluções de segurança por meio da técnica bring your own vulnerable driver (BYOVD).
Os serviços de suporte para The Gentlemen e The Gentlemen Data estão disponíveis nas plataformas de mensagens open source Tox, SimpleX Chat e Ricochet Refresh.
Os potenciais afiliados precisam fornecer ao administrador pelo menos 1 GB de dados roubados de uma vítima para obter acesso ao painel de afiliados.
A estratégia foi criada para impedir que pesquisadores e autoridades policiais acessem a infraestrutura se passando por afiliados.
O painel oferece gerenciamento de usuários, configuração de novos alvos e download do ransomware para um alvo específico.
O Phantom Mantis disponibiliza cinco versões do ransomware, projetadas para Windows, Linux, ESXi, Windows XP+ e Logical Volume Manager (LVM).
O grupo também atrai afiliados com um modelo agressivo de divisão de lucros: 90% para os afiliados e 10% para o operador.
O acesso inicial é obtido por meio de dispositivos de borda, como appliances de VPN, firewalls e outros sistemas expostos na internet, com foco específico em plataformas como Cisco e Fortinet FortiGate.
As cadeias de infecção envolvem o uso de utilitários de red team, como NetExec, RelayKing, TaskHound, PrivHound e CertHiound, para realizar reconhecimento do Active Directory, abuso de certificados, escalada de privilégios e descoberta de compartilhamentos de arquivos.
Um conjunto separado de ferramentas, como EDRStartupHinder, gfreeze, glinker e DumpBrowserSecrets, é usado para evasão de segurança, enquanto o Velociraptor é empregado para command and control (C2).
Os ataques também tentam limpar os Windows Event Logs de System, Application e Security, desativar o Microsoft Defender e adicionar exclusões no antivírus.
O ransomware usa um esquema criptográfico híbrido, com troca de chaves X25519 combinada com criptografia simétrica XChaCha20.
A Microsoft, que acompanha o cluster sob o nome Storm-2697, informou que o ransomware foi escrito em Go e ofuscado com Garble para atingir o ambiente Windows.
“Quando ativado com o argumento --spread, ele transforma o malware de um criptografador de máquina única em um worm de autopropagação, que tenta implantar seu criptografador em todos os sistemas alcançáveis na rede”, afirmou a empresa.
“Se o argumento --wipe for fornecido, o ransomware The Gentlemen executa uma rotina adicional pós-criptografia para eliminar artefatos recuperáveis do disco.”
Segundo a ZeroFox, o grupo provavelmente opera uma extorsão multicanal, combinando ataques de ransomware com abordagens por e-mail e pressão por telefone contra as vítimas.
O grupo adota um “ciclo de desenvolvimento altamente responsivo”, algo exemplificado pelo lançamento de um patch no mesmo dia em que um decryptor foi divulgado, em abril de 2026.
O tempo médio de permanência na rede varia de duas a seis semanas entre o acesso inicial e a criptografia, e o grupo tem foco especial em organizações que operam infraestrutura VMware.
No mês passado, o vazamento de um banco de dados interno do Rocket.Chat usado pelo grupo, com 3.366 mensagens entre novembro de 2025 e o fim de abril de 2026, trouxe mais detalhes sobre o funcionamento interno da operação.
O material mostrou o uso de fraquezas conhecidas em softwares da VMware Aria Operations, Fortinet, Cisco e Microsoft, além de revelar uma estrutura criminosa com clara divisão de funções e responsabilidades.
“O grupo acompanha e avalia ativamente vulnerabilidades modernas, incluindo
CVE-2024-55591
,
CVE-2025-32433
e
CVE-2025-33073
, e as combina com caminhos orientados por técnicas, como abuso de backup e de controladores de gerenciamento e fluxos de NTLM relay, criando um pipeline de exploração flexível”, afirmou a Check Point.
Em março de 2026, a Hunt.io informou ter descoberto um diretório aberto hospedado em “176.120.22[.]127:80” na provedora russa de hospedagem bulletproof Proton66, que expunha 126 arquivos contendo um kit completo de ferramentas de um operador de ransomware atribuído a um afiliado do RaaS The Gentlemen.
O material incluía ferramentas para reconhecimento, escalada de privilégios, evasão de defesa, roubo de credenciais, movimento lateral, persistência e preparação pré-criptografia, cobrindo praticamente todas as fases do ciclo de intrusão.
“LARVA-368 é um threat actor especializado em atividades relacionadas à extorsão e está ativo desde pelo menos 2020”, afirmou a PRODAFT.
“A experiência adquirida por meio de colaborações anteriores com vários grupos de RaaS forneceu a base técnica necessária para estabelecer o The Gentlemen RaaS.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...