“The Gentlemen” es un grupo de ransomware emergente identificado a mediados de 2025 que rápidamente evolucionó hacia un modelo Ransomware-as-a-Service (RaaS) con capacidades avanzadas. Su operación combina doble extorsión, lockers multiplataforma (Windows, Linux y ESXi), automatización, persistencia, y propagación lateral, convirtiéndolo en un adversario ideal para ejercicios de emulación realista.
Desde una perspectiva de Adversary Emulation, este actor representa un escenario moderno donde los atacantes no dependen de un solo vector, sino de cadenas completas de ataque optimizadas para velocidad, impacto y evasión.
Perfil Operativo del Adversario
El grupo opera bajo un esquema RaaS con afiliados, ofreciendo:
Lockers para Windows (Go), Linux y VMware ESXi
Velocidades de cifrado configurables (1 %–9 %)-t
Persistencia automática (run-on-boot)
Ejecución silenciosa
Propagación lateral vía WMI y PowerShell Remoting
Borrado antiforense de artefactos clave
Exfiltración de datos previa al cifrado
En menos de dos meses, publicaron decenas de víctimas en su DLS, demostrando alta cadencia operativa.
Cadena de Ataque para Emulación
Para fines de emulación, el comportamiento de “The Gentlemen” puede modelarse en las siguientes fases:
Preparación y despliegue del locker
Evasión de defensas (AV/EDR)
Persistencia y escalamiento de privilegios
Descubrimiento y propagación lateral
Cifrado local, de red y virtualización
Borrado de evidencias
Impacto y extorsión
Tabla de TTPs (MITRE ATT&CK)
| Táctica | Técnica | ID | Evidencia observada |
|---|---|---|---|
| Initial Access | Uso de loader/dropper | T1204 | Parámetro --password requerido para iniciar |
| Execution | PowerShell | T1059.001 | Invoke-Command, ejecución remota |
| Execution | Windows Service | T1569.002 | Uso de sc y schtasks |
| Persistence | Run Keys | T1547.001 | HKLM/HKCU Run |
| Persistence | Boot Autostart (Linux) | T1547 | Reinicio automático al boot |
| Privilege Escalation | SYSTEM execution | T1134 | Flag --system |
| Defense Evasion | Disable Defender | T1562.001 | Set-MpPreference |
| Defense Evasion | Exclusion Paths | T1562.001 | Exclusión de C: |
| Defense Evasion | Clear Logs | T1070.001 | Borrado de RDP, Defender, Prefetch |
| Discovery | File and Directory Discovery | T1083 | Enumeración de volúmenes |
| Discovery | Network Share Discovery | T1135 | UNC y CSV |
| Lateral Movement | WMI | T1047 | Win32_Process.Create |
| Lateral Movement | PowerShell Remoting | T1021.006 | Ejecución distribuida |
| Impact | Data Encrypted | T1486 | XChaCha20 + Curve25519 |
| Impact | Inhibit Recovery | T1490 | Wipe-after, servicios detenidos |
| Impact | Extortion | T1657 | Publicación en DLS |
Detalles Técnicos Relevantes para Emulación
Desactivación de Defender
Exclusión de rutas y procesos
Habilitación de Network Discovery
Ejecución remota por WMI
Antiforense
Eliminación de logs RDP
Limpieza de Prefetch
Borrado de artefactos de Defender
Auto-eliminación del binario tras ejecución
Servicios y procesos objetivo
Bases de datos (SQL, PostgreSQL, MySQL)
Backups (Veeam)
Virtualización (VMMS, ESXi)
Acceso remoto y correo
Enfoque ESXi y Virtualización
“The Gentlemen” demuestra una clara orientación a entornos virtualizados, con lockers optimizados para:
Cifrado concurrente en clústeres
Soporte vSAN
Operación silenciosa
Alta velocidad de impacto
Esto lo vuelve especialmente relevante para emulación en entornos híbridos y cloud-adjacent.
Valor para Ejercicios de Adversary Emulation
Este actor permite simular:
Ransomware moderno con automatización real
Movimiento lateral distribuido
Impacto transversal (endpoints, servidores, virtualización)
Técnicas reales de evasión y antiforense
Comportamiento de afiliados RaaS
Es ideal para:
Purple Team
BAS
Validación de detecciones
Pruebas de IR readiness
Conclusión
“The Gentlemen” representa un adversario maduro, rápido y adaptable, cuyo modelo operativo refleja el estado actual del ransomware moderno. Su combinación de RaaS, doble extorsión, multiplataforma, persistencia automática y lateral movement agresivo lo convierte en un caso de alto valor para emulación de adversarios realista y evaluación de capacidades defensivas frente a ransomware avanzado.
