A partir del análisis de la filtración de la base de datos interna “Rocket” en mayo de 2026 y la telemetría global de múltiples firmas de ciberseguridad, se ha elaborado una sesión informativa de nivel defensivo sobre la operación de Ransomware-as-a-Service (RaaS) conocida como “The Gentlemen” (rastreada por Microsoft como Storm-2697). Este grupo, surgido de una disputa en el programa Qilin, representa actualmente una amenaza de Nivel 1 (Tier-1) para entornos corporativos y de tecnología operativa (OT) a nivel mundial.
Veredicto Analítico
- Estado: Operación RaaS Activa (Nivel 1). Recientemente comprometida a nivel interno (filtración de base de datos en mayo de 2026), pero la infraestructura de ataque sigue plenamente operativa.
- Confianza: Absoluta. Validado por la filtración de la base de datos backend, transcripciones de chat de los operadores y múltiples informes forenses independientes.
- Riesgo para SOC, TDIR y Redes: Crítico. El grupo destaca por su capacidad inigualable para neutralizar defensas (EDR/AV) mediante un framework propietario de controladores vulnerables (BYOVD) que termina procesos de seguridad de más de 48 proveedores.
- Urgencia Operativa: Crítica. La explotación inicial no depende de la interacción del usuario (phishing), sino de la explotación automatizada de dispositivos perimetrales (especialmente VPNs de Fortinet) y credenciales comprometidas.
- Base del Veredicto: Combinación de acceso inicial perimetral automatizado (CVE-2024-55591), desactivación a nivel de kernel (Ring-0) de las herramientas del SOC, propagación similar a un gusano (21 técnicas) y criptografía sólida (Curve25519/XChaCha20).
Hallazgos Clave
- Perfil del Atacante: Fundado por el operador “hastalamuerte” (zeta88). Sigue una política de exclusión de la Comunidad de Estados Independientes (CIS). Retienen solo el 10% de los ingresos, entregando el 90% a sus afiliados.
- Victimología Inusual: En lugar de centrarse exclusivamente en EE. UU., The Gentlemen tiene una fuerte presencia en el sudeste asiático, Sudamérica y Europa occidental (ej. ataque devastador a Mackay Sugar en Australia en junio de 2026). La selección de víctimas se basa en la exposición de vulnerabilidades perimetrales, no en la geografía.
- Inteligencia Filtrada: La base de datos “Rocket” expuso más de 3,366 mensajes internos, identidades de operadores, una lista de más de 1,570 víctimas confirmadas y el código fuente completo de su cadena de herramientas de evasión.
Análisis Técnico: Cadena de Explotación (Kill Chain)
El enfoque de este grupo abandona el phishing tradicional en favor de la explotación perimetral y el asalto directo a los controles de seguridad:
- Acceso Inicial: No utilizan phishing. Explotan sistemáticamente infraestructura de borde orientada a Internet. Su principal vector es la omisión de autenticación en Fortinet FortiOS/FortiProxy (CVE-2024-55591). Los registros filtrados muestran un inventario activo de más de 14,700 dispositivos comprometidos.
- Reconocimiento y Escalada: Utilizan herramientas de código abierto y propietarias (NetExec, RelayKing, TaskHound, CertiHound) para escalar privilegios a través de ataques de retransmisión NTLM y abusos de configuración en Active Directory Certificate Services (ADCS).
- Evasión de Defensas (El núcleo del ataque): Antes de encriptar, despliegan “GentleKiller”. Utilizan la técnica “Trae Tu Propio Controlador Vulnerable” (BYOVD), cargando controladores firmados pero vulnerables (ej. de motores antitrampas de juegos o software obsoleto) como servicios de Windows. Esto les otorga acceso al kernel (Ring-0) para matar más de 400 procesos EDR/AV, superando la protección contra manipulaciones en modo usuario.
- Movimiento Lateral y Persistencia: El módulo de propagación es similar a un gusano, intentando 21 técnicas de ejecución remota de forma independiente (SMB, PsExec, WMIC, WinRM, Tareas Programadas). Para la persistencia, crean tareas programadas (UpdateSystem) e instalan proxies SOCKS5 (SystemBC) o túneles de Cloudflare.
- Exfiltración y Cifrado: Extraen cientos de gigabytes mediante WinSCP. El cifrado utiliza un esquema híbrido (Curve25519 + XChaCha20), modificando la extensión de los archivos a .umc16h. Borran copias de volumen (VSS), limpian registros de eventos de Windows y sobrescriben el espacio libre en disco para impedir la recuperación forense.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (T1190) mediante CVE-2024-55591 (FortiOS) y CVE-2025-32433 (Erlang SSH). Cuentas Válidas (T1078).
- Evasión de Defensas: Desactivar o Modificar Herramientas (T1562.001) usando GentleKiller; Enmascaramiento (T1036) simulando firmas de Kaspersky, Valorant o Symantec.
- Escalada de Privilegios: Explotación para Escalada de Privilegios (T1068) usando el controlador vulnerable ThrottleBlood.sys (CVE-2025-7771).
- Impacto: Inhibición de Recuperación del Sistema (T1490) borrando shadow copies; Borrado de Disco (T1561).
Recomendaciones Operativas
Para Administración de Redes, Infraestructura y TI (Acción Prioritaria)
- Parcheo Perimetral Urgente: Auditar todos los dispositivos FortiGate, FortiProxy y FortiSwitch orientados a Internet y aplicar los parches para CVE-2024-55591 de inmediato. Forzar el restablecimiento de contraseñas de todas las cuentas VPN.
- MFA Resistente: Eliminar la autenticación de un solo factor en toda la infraestructura externa (VPN/RDP/OWA).
- Aislamiento y Copias de Seguridad: Implementar copias de seguridad fuera de línea, inmutables y aisladas de la red (air-gapped), ya que el grupo ataca activamente los servidores de Veeam Backup.
Para el Centro de Operaciones de Seguridad (SOC)
- Bloqueo de Controladores BYOVD: Habilitar el Control de Aplicaciones de Windows Defender (WDAC) y HVCI (Integridad de Memoria) para evitar la carga de controladores de kernel vulnerables. Incorporar la lista de bloqueos de controladores vulnerables de Microsoft.
- Monitorización de EID 6 de Sysmon: Alertar inmediatamente sobre cualquier evento de Sysmon ID 6 (Controlador Cargado) que coincida con los controladores abusados (ej. eb.sys, nseckrnl.sys, vgk.sys, stpm_old.sys, dmx.sys).
- Alertas Críticas: Monitorizar la creación de la tarea programada gentlemen_system y comandos como vssadmin.exe delete shadows, los cuales son precursores confirmados de la fase de cifrado.
Indicadores de Compromiso (IoC) Seleccionados
A continuación, se listan los identificadores clave de la amenaza para su ingestión en plataformas de seguridad.
Vulnerabilidades Explotadas (CVEs)
- CVE-2024-55591: Omitir autenticación en Fortinet FortiOS / FortiProxy (Vector principal de acceso inicial).
- CVE-2025-32433: Ejecución remota de código en Erlang SSH (Cisco).
- CVE-2025-33073: Escalamiento de privilegios vía Windows NTLM Relay.
- CVE-2025-7771: Ejecución de código a nivel de kernel mediante el controlador ThrottleStop.sys (BYOVD).
Hashes de Archivos (SHA-256 / SHA-1)
- 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67: Binario principal del Ransomware The Gentlemen (Windows).
- 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b: Binario de PsExec incrustado en el encriptador.
- BA914FE77B177B45799403B16DD14765C510A074: eb.sys (Driver rootkit personalizado imitando a Kaspersky).
- 7556AE58C215B8245A43F764F0676C7A8F0FDD1A: vgk.sys (Driver vulnerable de Vanguard/Valorant utilizado por GentleKiller).
- 82ED942A52CDCF120A8919730E00BA37619661A3: ThrottleBlood.sys (Driver vulnerable para matar procesos EDR).
- A5CF917EC4A7DFBDFA43621398604805D860C718: buildx641.exe (Herramienta OxideHarvest para robo de credenciales).
Infraestructura de Red (IPs)
- 193.233.202[.]17: IP de Comando y Control (SOCKS proxy, baliza svchost32.exe en el puerto 44729).
- 77.110.122[.]137: IP de Comando y Control alternativa (puerto 37182).
- 45[.]86[.]230[.]112: Host de montaje previo a la ejecución del ransomware.
Artefactos del Sistema de Archivos
- .umc16h: Extensión principal de archivos encriptados.
- README-GENTLEMEN.txt: Nombre de la nota de rescate.
- gentlemen.bmp: Archivo de fondo de escritorio desplegado tras el cifrado (ubicado en %TEMP%).
- gentlemen_system: Tarea programada creada para ejecutar el cifrado con privilegios SYSTEM.
- GentlemenCollection\: Directorio utilizado para montar la suite de herramientas para matar EDRs.




