-
-
[原创]【深度解析】全球第二活跃的The Gentlemen勒索组织,老板竟是LinkedIn上可查的B2B营销主管
-
发表于: 3天前
-
前言
大约一个月前,我们发布了一篇关于The Gentlemen勒索组织的内部数据全景剖析,文章里重点分析了这个组织泄露的3733条聊天记录,聊到了他们的运营架构、攻击手法、目标筛选逻辑,以及一些颇具戏剧性的细节。
- 比如团队核心成员quant自称"曾在海南待过";
- 管理员zeta88说想念中国的食物和天气;
- zeta88对中国的大语言模型如数家珍;
- 攻击者在聊天中推荐了中国的哈希破解网站chamd5.org,甚至引用了中国人写的GitHub开源项目。
那篇文章发出后,有不少读者问:这些分析确实很有意思,但聊天记录毕竟只是"内部视角",有没有人能把这个组织的幕后人物真正挖出来?不是说网络身份,而是说真实姓名、真实背景?
这个问题问得非常好。实际上,在勒索病毒这个圈子里,能做到"实名溯源"的情况并不多见。绝大多数勒索组织运营者都隐藏在层层匿名之后:Tor、TOX、加密货币钱包、匿名邮箱,再加上俄罗斯等地对网络犯罪的默许态度,让追踪真实身份变成了一件极其困难的事。
但The Gentlemen有点不一样。或许是运营时间还不够长,或许是早期的操作安全意识没那么强,又或许是他们根本没想到自己的后端数据库会被一锅端。总之,当Check Point Research、Krebs on Security、Intel 471等多家机构的分析师拿到那份泄露数据后,事情开始变得有趣起来。
通过交叉比对泄露数据、暗网论坛历史记录、开源情报数据库以及俄罗斯政府数据库的泄露信息,一个36岁俄罗斯男子的轮廓逐渐清晰。
他叫Alexander Andreevich Yapaev,来自俄罗斯乌德穆尔特共和国的首府伊热夫斯克(Izhevsk)。在暗网论坛里,他的ID是Hastalamuerte,后来改叫Zeta88。他是The Gentlemen勒索组织的创始人、管理员、核心开发者,也是那个收取每笔赎金10%分成的"老板"。
本文将完整还原这个溯源过程,同时结合我们此前对聊天记录的分析以及全球多家安全机构的研究成果,对The Gentlemen这个组织进行一次全方位的画像:从技术武器库到商业运营模式,从攻击目标偏好到防御建议,尽量把能梳理的都梳理清楚。
一、当泄露的数据遇上开源情报
1.1 泄露事件回顾
2026年5月4日,暗网论坛Breach上出现了一条标价10,000美元的售卖帖,卖家声称手中握有The Gentlemen勒索组织的"全部内部数据"。
Breach论坛上用户n789发布的售卖帖,标价10,000美元出售The Gentlemen内部数据
几天后,这条帖子的卖家在评论区免费公开了下载链接。泄露的数据包名为8990.zip,包含23个顶层目录、3733条聊天记录、312张图片附件,时间跨度从2025年11月7日至2026年4月30日。数据的核心是一个名为Rocket的后端数据库,记录了组织内部的全部运营信息。
The Gentlemen的管理员zeta88在论坛上承认了这次泄露,但坚称入侵者因为"缺乏IP权限"而未能外传数据。然而8990.zip的公开彻底戳破了这个说法。
The Gentlemen在论坛上发表的声明帖,承认部分Rocket数据被泄露但声称关键组件未受影响
1.2 溯源的起点:两个论坛ID之间的关联
Check Point Research的分析师在梳理泄露数据时发现了一个关键线索:The Gentlemen的管理员在内部系统中使用的昵称是zeta88,而在此前的一些暗网论坛活动中,同一个个体还曾使用过另一个ID:Hastalamuerte。
这两个ID之间的关联是怎么确认的?答案藏在The Gentlemen的RaaS运营架构中。
The Gentlemen RaaS招募帖,由Zeta88于2025年9月12日发布,宣传90%分成比例
根据泄露的聊天记录,zeta88在团队中承担以下角色:
- 维护基础设施(Tor网络、Rocket.Chat服务器、泄露数据博客)
- 分配攻击目标
- 管理C2面板
- 处理赎金/资金分配(洗钱与AML防范)
- 团队建设(出资购买硬件补贴成员)
Check Point对比了暗网论坛上的公开信息后发现,一个名为Hastalamuerte的用户此前在多个俄罗斯网络犯罪论坛上活动,其发布的技能栈、合作意向和时间线与The Gentlemen的成立时间高度吻合。更重要的是,Hastalamuerte曾在RAMP论坛上公开仲裁Qilin勒索组织的运营者,指控对方拖欠48,000美元的附属机构佣金:而Qilin正是The Gentlemen管理员此前效力的组织。
这个仲裁帖成为了连接Hastalamuerte和zeta88的关键纽带。
1.3 六步交叉验证
确认了两个论坛ID属于同一人后,下一步就是找到真实身份。这个环节的突破来自多个情报源的交叉验证。
第一步:论坛注册IP定位
根据Intel 471的情报,用户Hastalamuerte在2019年至2025年间,先后在近十个网络犯罪论坛上注册,包括Exploit、Breachforums、Ramp_V2、BHF、Raidforums和Nulled等。
关键发现:
- Hastalamuerte于2025年1月在Breachforums上注册,注册IP地址位于俄罗斯伊热夫斯克(Izhevsk),乌德穆尔特共和国的首府
- 用户Zeta88于2022年8月在英文论坛Breached上注册,注册IP同样位于伊热夫斯克,但使用了不同的具体地址
第二步:邮箱与手机号关联
Intel 471发现,Hastalamuerte在2020年注册Raidforums时使用了邮箱地址hastalamuerte1488@protonmail.com。通过Epieos服务查询,该Protonmail地址关联到一个Apple账户和一个以04结尾的手机号码。
进一步分析发现,这个Protonmail地址还关联到一个GitHub账户,用户名为SantaMuerte。该账户设为私有,但其活动历史显示,该用户在关注和开发多个恶意软件工具和漏洞利用程序。
SantaMuerte的GitHub地址主页
第三步:Telegram ID关联
2020年4月,Hastalamuerte在Nulled论坛上表示可以通过Telegram用户名@hastalamuerte18联系他。威胁情报公司Flashpoint确认,这个Telegram用户名对应的唯一Telegram ID是30907522。
第四步:Constella Intelligence的关键突破
数据泄露追踪服务Constella Intelligence的报告指出,Telegram ID 30907522关联到了另一个用户名:"bu4vs",以及一个俄罗斯手机号码79127650004。
基于这个手机号码,Constella从多个被黑客入侵的俄罗斯政府数据库中检索到了对应记录:该号码登记在一名叫Alexander Andreevich Yapaev的36岁男子名下,住址位于伊热夫斯克。
第五步:社交媒体的佐证
Constella发现,这个手机号码还被用于在俄罗斯社交媒体平台Pikabu上注册账户,昵称为"4apai18"。此外,Yapaev在多个网站上使用姓氏Ivanov或"Chapaev"(数字4在俄语网络俚语中常作为"ch"的简写)进行注册。
在Intel 471中搜索昵称SantaMuerte时,分析师找到了一个2020年在俄罗斯黑客论坛Codeby上创建的同名账户。该用户最初注册时使用的昵称是Alexandr 4apaev,这里的"4apaev"正是"Chapaev"的网络变体写法。
第六步:LinkedIn上的"正职"
通过Epieos查询邮箱bu4vs@mail.ru,分析师找到了一个LinkedIn账户,归属人为Alexander Yapaev。他在LinkedIn上自称担任Uralenergo Udmurtia公司的B2B营销主管:这是一家俄罗斯大型电气和照明产品供应商。
Alexander Yapaev的LinkedIn个人主页
综合以上信息,Krebs on Security的记者Brian Krebs在2026年6月发布了他的调查结果,将The Gentlemen的管理员与Alexander Andreevich Yapaev进行了实名关联。记者多次尝试联系Yapaev本人,但未获回应。
二、36岁的俄罗斯男子Alexander Andreevich Yapaev的成长轨迹
2.1 一座俄罗斯小城的网络犯罪土壤:伊热夫斯克
Alexander Yapaev的家乡伊热夫斯克(Izhevsk)是俄罗斯乌德穆尔特共和国的首府,人口约60万。这座城市在俄罗斯以外鲜为人知,但在网络安全情报圈内却有着特殊的名气,它是多个网络犯罪分子的"产地"之一。
伊热夫斯克并非莫斯科或圣彼得堡那样的国际大都市,但它有着发达的军工传统(著名的卡拉什尼科夫步枪就是在这里生产的)和相对完善的技术教育体系。对于像Yapaev这样的年轻人来说,在这座城市里,技术能力是一条出路:既可以是合法的IT工作,也可以是地下经济的一部分。
2.2 Hastalamuerte的技能成长曲线
Krebs on Security在调查中发现了一个颇具讽刺意味的细节:Hastalamuerte在2020年初期的一些暗网论坛发帖,显示他当时还是一个相对"入门级"的黑客。
2020年6月,Hastalamuerte的Telegram账户加入了一个为期多个月的渗透测试培训课程(@pntst),学习如何使用流行的渗透测试工具。他在这个"黑客训练营"中的发言记录被保存了下来,内容显示他当时在努力掌握这些工具的使用方法,经常提出一些基础问题,偶尔也会因为操作失误而懊恼。
Hastalamuerte在Telegram的聊天记录
这种"从入门到精通"的成长轨迹,在勒索病毒运营者中其实相当典型。大多数人并非一开始就是"犯罪天才",而是在地下社区中逐步积累经验、建立人脉、提升技能,最终找到适合自己的细分领域。
从Hastalamuerte/Zeta88的发展路径来看,他的成长大致可以分为以下几个阶段:
| 时间段 | 阶段 | 关键事件 |
|---|---|---|
| 2019-2020 | 地下社区新人 | 在多个黑客论坛注册,学习渗透测试工具,建立初始人脉 |
| 2020-2022 | 技能积累期 | 开发恶意工具(SantaMuerte GitHub账户),参与黑客训练营,提升实操能力 |
| 2022 | 转向勒索 | 以Zeta88身份在Breached论坛注册,开始接触勒索病毒生态 |
| 2022-2025 | Qilin附属机构 | 作为Qilin勒索组织的附属机构运营者,学习RaaS模式,积累运营经验 |
| 2025.7 | 独立门户 | 因与Qilin的佣金纠纷(48,000美元)决裂,创立The Gentlemen |
| 2025.9 | RaaS正式运营 | The Gentlemen的RaaS平台正式对外开放,开始招募附属机构 |
| 2025-2026 | 快速扩张 | 凭借90/10的超高分成比例快速吸引附属机构,成为2026年第二活跃的勒索组织 |
2.3 一个俄罗斯黑客的中国情结:"想念中国的食物和天气"
这里要聊一个我们在上一篇文章中就提到过、但值得再展开说的细节。
在泄露的聊天记录中,团队核心成员quant曾提到自己"曾在海南待过",怀念那里的天气和食物。而zeta88(即后来被溯源的Yapaev)则在2026年2月5日发了一条消息:
"Я соскучился по китаю, точнее по китайской еде и погоде"
(我想念中国了,准确说是想念中国的食物和天气。)
zeta88在泄露聊天记录中发言
这说明quant和zeta88都曾经在中国生活、工作或旅行过,对中国的气候和饮食有亲身体验。结合团队在聊天中频繁提及中国的大语言模型(Kimi、DeepSeek、Qwen)、使用中国的哈希破解网站(chamd5.org)、引用中国人写的GitHub开源项目(TailVNC),这些线索综合起来,勾勒出了一幅有趣的画面:
这个以俄罗斯为基地、攻击全球企业的勒索组织,其核心技术团队与中国有着千丝万缕的联系。他们了解中国的技术生态,使用中国的AI工具辅助开发,这让他们在面对使用中文环境或中国技术栈的目标时,显得比其他勒索组织更为得心应手。
需要指出的是,我们目前无法确认quant和zeta88的中国经历是否为同一时期或同一地点。quant提到的是海南,zeta88说的是泛泛的"中国"。但两个人都对中国表现出明显的熟悉感和好感,这一点是确定的。
三、The Gentlemen的技术武器库:Go语言、蠕虫传播与AI辅助开发
3.1 Go语言编写的自传播勒索病毒
The Gentlemen的加密器是用Go语言编写的,并使用Garble进行混淆。这种技术选型的考量很实际:
- Go语言编译出的二进制文件是静态链接的,不依赖外部运行时,跨平台部署方便
- Go的并发模型(goroutine)适合实现大规模并行加密,提高加密速度
- Garble混淆可以有效增加逆向分析的难度
微软将The Gentlemen追踪为Storm-2697,在其2026年5月的技术分析中指出,该勒索病毒最令人担忧的特性是其自传播能力。
当加密器以--spread参数启动时,它会从"单机加密器"变身为"自传播蠕虫",尝试向网络中每一个可达的系统部署加密器。传播手段包括:
- 创建隐藏的SMB共享用于载荷分发
- 部署PsExec(内嵌或从Sysinternals下载)
- 利用WMI和PowerShell Remoting进行远程进程创建
- 在user和SYSTEM上下文中创建计划任务和服务
- 在远程主机上禁用Defender、修改防火墙设置、启用SMB1、放松LSA限制
这种设计让The Gentlemen在扁平化、分割不充分的网络中具有极大的破坏力:一旦初始入口被打通,加密器可以在数分钟内蔓延到整个网络。
The Gentlemen家族Windows加密器 变体命令行选项
3.2 混合加密方案:Curve25519 + XChaCha20
The Gentlemen采用了一种混合加密方案,结合了非对称密钥交换和对称加密:
- 密钥交换:Curve25519椭圆曲线密码学
- 对称加密:XChaCha20流密码
每一份文件生成一个独立的临时密钥对,使用运营者嵌入的公钥派生共享密钥,再用该密钥进行加密。文件小于1MB的完全加密,大于1MB的分三段进行部分加密:既保证了加密速度,又确保数据无法恢复。
加密后的文件会追加一个81字节的结构化尾部(footer),包含解密所需的元数据,文件扩展名被改为一个随机六字符后缀(如.umc16h)。
3.3 BYOVD:自带漏洞驱动程序攻击EDR
The Gentlemen在防御规避方面采用了**BYOVD(Bring-Your-Own-Vulnerable-Driver)**技术,这是当前勒索病毒领域最令安全厂商头疼的技术之一。
具体而言,The Gentlemen的附属机构会部署一个经过签名的合法驱动程序(如ThrottleStop.sys,被攻击者重命名为ThrottleBlood.sys),该驱动程序存在一个已知漏洞(CVE-2025-7771)。攻击者利用这个漏洞获得内核级代码执行权限,然后终止EDR和杀毒软件的进程。
为什么BYOVD这么难防?因为Windows必须信任任何带有微软有效数字签名的内核驱动程序。攻击者利用的就是这个"信任链",他们加载的是一个合法驱动程序,安全软件无法简单地区分"正常加载"和"恶意利用"。
除了BYOVD,The Gentlemen还使用了一套完整的EDR规避工具链:
| 工具/技术 | 用途 |
|---|---|
| EDRStartupHinder | 阻止EDR启动 |
| gfreeze | 冻结/挂起EDR进程 |
| glinker | 绕过EDR的API监控 |
| DumpBrowserSecrets | 提取浏览器凭证 |
| PowerShell脚本 | 禁用Defender、添加排除项、清除支持文件 |
| Velociraptor | C2命令执行 |
zeta88在TOOLS频道分享EDR规避工具链接,包括EDRStartupHinder等
3.4 AI辅助开发:"Vibe-Coding"在勒索病毒中的应用
泄露的聊天记录中最引人注目的发现之一,是这个组织对AI辅助开发的深度依赖。
zeta88在聊天中声称,他用"vibe-coding"(即依靠AI助手生成代码)在三天内搭建了整个GLOCKER管理面板。他偏好的AI模型是中国的DeepSeek和Qwen,认为这些模型在代码和技术查询方面最为有效。
zeta888在聊天记录中补充了国产大模型地址
更有趣的是,团队成员qbit在INFO频道分享了一个被他称为"最激进的神经网络"的模型:Huihui-Qwen3.5-35B-A3B-abliterated,这是一个去除了安全对齐限制的Qwen 3.5变种,能够生成"没有任何审查、没有任何限制"的内容。
Protagor甚至提出了一个更激进的设想:租用GPU云服务,在本地部署Qwen 3.5,让AI自动分析数百GB的窃取数据,识别管理面板、推理访问路径:换句话说,把"分拣赃物"的繁琐工作交给AI。
这个趋势值得所有安全从业者高度关注。当勒索病毒开发者开始系统性使用AI加速工具开发、自动化数据分析和攻击链优化时,攻击者的"迭代速度"将呈指数级提升。在2026年4月,当一款解密器短暂暴露了The Gentlemen加密器的一个弱点后,该组织在同一天就发布了补丁,这种响应速度在传统开发模式下几乎不可能实现。
四、攻击链全景:从边界设备到全域加密
4.1 初始访问:FortiGate是主要入口
The Gentlemen的初始访问途径高度聚焦于**边界设备:**VPN设备、防火墙和面向互联网的管理接口,尤其偏爱Fortinet FortiGate和Cisco设备。
该组织的主要攻击向量是利用CVE-2024-55591(FortiOS/FortiProxy认证绕过漏洞,CVSS 9.6)。这个漏洞的利用链包含四个关键环节:
- **WebSocket从未认证请求创建:**无需认证即可建立WebSocket连接
- **特殊参数滥用:**使用local_access_token参数跳过会话检查
- **竞态条件:**在服务器发起认证挑战前向CLI发送认证请求
- **无凭证验证:**认证不包含唯一密钥、密码或标识符,攻击者直接选择"super_admin"配置文件
结果:攻击者获得FortiGate设备的完全管理权限。
获得超级管理员权限后,攻击者会:
- 创建后门账户(如support_fortinet、badmin、forti-api)
- 下载包含网络拓扑、凭证和安全策略的系统配置
- 通过未记录的"guest"账户建立持久的SSL VPN访问
- 入侵现有的VPN账户
- 发起AiTM(Adversary-in-The-Middle)攻击以入侵域管理员账户
The Gentlemen维护了一个名为"FortiGate Inventory Overview"的内部HTML页面,持续追踪全球约14,700台已被入侵的FortiGate设备的状态、设备名称和直接连接链接。附属机构可以从中自由挑选目标。
qbit在聊天中分享的FortiGate目标清单,包含IP地址、国家、设备型号等信息
除了漏洞利用,该组织还使用暴力破解攻击FortiGate VPN。Group-IB观察到他们通过暴力破解获取了约1,000个Fortinet VPN的访问权限,使用的常见用户名和密码组合包括:
| 常见用户名 | 常见密码 |
|---|---|
| admin | password, 123456, admin, Password1 |
| guest | guest |
| vpnuser | fortinet |
| support | 123456789 |
| sslvpn | 1234 |
| testuser | test |
| administrator | P@ssw0rd |
 |
zeta88分享的FortiGate后门账户信息(support_forti / support_fortinet,密码Support_forti2024!)
此外,该组织还从第三方访问经纪商(IABs)购买初始访问权限,以及从信息窃取日志市场(如Snusbase)获取凭证。
4.2 权限提升与横向移动
一旦获得初始访问,The Gentlemen的操作流程非常标准化:
- **Active Directory枚举:**使用NetExec、TaskHound、CertiHound等工具进行AD发现和证书滥用
- **权限提升:**从本地管理员到域管理员,利用NTLM中继攻击(CVE-2025-33073/RelayKing)
- **凭证窃取:**使用Mimikatz从内存中转储凭据,使用XenAllPasswords和DPAPI提取浏览器凭证
- **EDR规避:**BYOVD + PowerShell禁用Defender + 添加排除项
- **横向移动:**PsExec、WMI、WinRM、远程计划任务、远程服务
- **数据窃取:**使用WinSCP和rclone将数据外传至云存储
Protagor在聊天中分享FortiGate管理界面截图,显示流量日志和VPN配置信息
zeta88在聊天中分享LDAP配置命令,用于对接受害者的Active Directory
4.3 加密部署:通过组策略全域同步
The Gentlemen最值得关注的一个技术特点是其加密部署方式。与其他勒索组织通常逐个主机手动部署加密器不同,The Gentlemen主要通过GPO操纵来在域范围内部署勒索病毒。
Wick和mAst3r在聊天中讨论加密器参数(--password、--path、--system、--superfast、--keep)
具体流程:
- 修改GPO以启用SMB服务
- 配置Windows防火墙规则以允许文件共享
- 将计算机对象从CN=Computers移动到目标OU
- 通过Invoke-GPUpdate和gpupdate /force命令强制所有域计算机更新GPO
- 通过NETLOGON共享分发加密载荷
这种"一键全网加密"的方式,使得The Gentlemen能够在极短时间内完成整个域的加密,大大压缩了应急响应的窗口时间。
4.4 勒索信与谈判风格
The Gentlemen的勒索信文件名为README-GENTLEMEN.txt,会出现在每个被加密的目录中。
README-GENTLEMEN.txt勒索信完整内容,包含TOX联系方式和Tor博客地址
与其他勒索组织相比,The Gentlemen的勒索策略有以下几个特点:
- 多重施压手段
根据ZeroFox的分析,The Gentlemen实施"多渠道勒索":结合加密攻击、电子邮件外联和电话施压来向受害者施压。KELA在泄露的聊天记录中发现了一个截图,显示攻击者使用被入侵的Outlook Web Access(OWA)账户向受害者发送勒索邮件,邮件中包含敏感的医疗/患者数据,威胁要将这些信息通知受影响的相关人员。
这种用受害者自己的邮箱发送勒索邮件的方式,不仅增加了勒索信的可信度,也让受害者感受到更大的心理压力,毕竟,看到自己的邮箱里冒出这样一封邮件,冲击力远大于从暗网论坛看到公司名字。
- 90/10分成模式下的附属机构自主权
The Gentlemen给附属机构的分成比例是**90%归附属机构、10%归核心运营团队,**这是整个RaaS市场中的最高比例,远超行业标准的80/20。
这种高分成模式的直接后果是:附属机构拥有极高的自主权。谈判由附属机构主导,赎金钱包属于附属机构,勒索信中留下的TOX和Session联系方式也是附属机构的。如果受害者试图联系"管理员",会被重定向回对应的附属机构。zeta88只收取固定的10%平台费。
泄露的谈判记录显示,初始赎金要求通常在25万美元左右,已确认的和解金额约为19万美元。
- 目标筛选的pragmatism
聊天记录显示,The Gentlemen在目标筛选上非常务实。Wick在聊天中告诉mAst3r,优先选择Tier 1-3国家或拉丁美洲的目标,避开印度/非洲地区。但他同时强调,原始收入不是唯一标准,一个收入2000万美元的公用事业公司,可能比一个收入2亿美元的制造企业更有价值,如果前者因运营中断而承受更大压力的话。
除地理和收入因素外,他们还会评估:
- 是否有LDAP集成
- 面板可用性(是否有管理面板暴露)
- 域管理员可能性
- 数据价值
- 文件共享规模
- 云态势
- 完全"锁定"对业务的实际伤害程度
五、目标画像:为什么制造业和医疗行业首当其冲
5.1 全球受害者分布
截至2026年6月,The Gentlemen已声称对478个确认的受害者负责。按地区分布:
The Gentlemen数据泄露博客网站首页,显示多个受害者的倒计时计时器
| 地区 | 占比 | 特点 |
|---|---|---|
| 泰国 | 最高 | 东南亚制造业集中地,防护相对薄弱 |
| 英国 | 高 | 金融服务和制造业发达 |
| 巴西 | 高 | 拉美制造业和物流业活跃 |
| 德国 | 高 | 工业4.0/制造业数字化程度高 |
| 印度 | 中高 | IT服务业和制造业并存 |
| 中国 | 中 | 制造业与IT服务业 |
| 美国 | 仅13% | 相对其他勒索组织,美国目标比例较低 |
与其他勒索组织相比,The Gentlemen的美国目标比例明显偏低(仅13%)。这可能反映了其运营团队的地理位置和语言偏好:俄语背景的团队在欧亚大陆和拉美市场操作起来更为顺手。
5.2 重点攻击行业
The Gentlemen的目标行业呈现高度机会主义特征,但有几个行业明显受到"重点关注":
制造业(18.5%相关度)
制造业是The Gentlemen的首要攻击目标。案例包括:
- 台湾Everbiz Industrial
- 津巴布韦制造业企业
- 法国重型机械行业
制造业成为首要目标的原因很现实:
- 许多制造企业的网络架构扁平,缺乏有效分割
- 遗留系统难以打补丁
- 远程访问需求普遍
- OT/IT融合增加了攻击面
- VMware基础设施(已知目标)在生产环境中广泛使用
- 停机成本极高,企业支付赎金的意愿更强
医疗行业
医疗行业也是The Gentlemen的频繁攻击目标,案例包括:
- 美国Devereux行为健康机构
- 阿根廷、巴西、阿曼的医疗单位
攻击医疗机构的原因同样现实:
- 患者数据极其敏感,泄露后的法律和声誉风险巨大
- 许多医疗机构的IT预算有限,安全防护薄弱
- 疫情期间大量部署的远程访问基础设施往往缺乏足够的安全加固
- 生命攸关的业务特性意味着停机成本几乎无法承受
The Gentlemen 目标行业与地区分布统计图(数据来源 Solar勒索家族情报平台)
技术供应链
2025年9月,The Gentlemen直接攻击了一家印尼数据恢复公司。这一行为的战略意图很明显:**切断受害者的外部救援渠道。**如果数据恢复公司本身都被加密了,受害者就失去了一个重要的"求救对象"。
需要说明的是,泄露数据确实显示The Gentlemen的攻击目标中包含一些中国企业,但由于法律风险考虑,本文不展开具体名单。相关企业已通过合法渠道收到预警通知。
六、一个"职业罪犯"的成长路径:从Qilin affiliate到The Gentlemen创始人
6.1 与Qilin的决裂
理解The Gentlemen的起源,需要回到2025年7月22日。那天,Hastalamuerte在RAMP论坛上开了一个公开仲裁帖,指控Qilin勒索组织的运营者拖欠一笔48,000美元的附属机构佣金。
这笔纠纷的具体细节没有公开,但其结果是明确的:Hastalamuerte与Qilin分道扬镳,决定自立门户。
这种"从附属机构到创始人"的转变,在勒索病毒生态中并不罕见。许多成功的RaaS运营者都有过在其他组织中"打工"的经历:他们在当附属机构的过程中,学习了RaaS的运营模式、积累了技术能力和人脉资源,然后在合适的时机独立出来,创建自己的平台。
Hastalamuerte/Zeta88的优势在于,他在Qilin期间不仅学会了怎么做附属机构,还深入了解了RaaS平台的运营逻辑:技术基础设施怎么搭、附属机构怎么招、赎金怎么分、怎么规避执法追踪。这些经验让他创建The Gentlemen时,少走了很多弯路。
6.2 The Gentlemen的组织架构
泄露的聊天记录显示,The Gentlemen的核心运营团队约有9名具名操作员,加上至少8个不同的附属机构TOX ID。
zeta88和qbit讨论团队扩张,qbit分享多个勒索家族列表(Gunra、Hyflock、ShadowByt3$、The Gentlemen's、Anubis等)
核心成员及其分工:
| 昵称 | 角色 |
|---|---|
| zeta88 / hastalamuerte | 管理员、核心开发者、基础设施运营、资金处理 |
| Protagor | 内网渗透、数据窃取 |
| Wick | 情报收集、目标评估、初始访问 |
| qbit | VPN扫描、FortiGate枚举、AI工具探索 |
| mAst3r | 内网渗透、加密部署 |
| quant | 凭证收集、暴力破解基础设施运营 |
| Kunder | 内网侦察、数据下载 |
| Bl0ck | 附属机构渗透操作 |
| JeLLy | 附属机构渗透操作 |
这个组织架构的特点是"小而精",不是松散的黑客集体,而是一个有着明确角色分工、结构化沟通渠道(INFO、general、TOOLS、PODBOR等频道)和专业化工具链的犯罪企业。
6.3 资金运作:10%平台费与多层洗钱
zeta88在聊天中描述的利润分配模式很直白:自定义的勒索病毒可执行文件通过RaaS包中的面板生成,赎金钱包属于附属机构,zeta88收取10%。
别小看这10%。如果The Gentlemen在2026年前五个月确认的赎金收入按保守估计为5000万美元(基于332个公开受害者,平均每个受害者支付约15万美元),那么zeta88的个人收入约为500万美元。而实际上,考虑到未公开谈判的受害者、赎金要求从25万美元起步、以及478个总受害者数量,实际收入可能远高于这个数字。
更值得关注的是其洗钱方式。Check Point的分析指出,The Gentlemen的加密货币洗钱流程包括:
- 比特币交易所链式转换
- Tinkoff银行QR码转换
- 点对点现金交付
这种多层洗钱架构,使得追踪资金流向变得极为困难。
七、一个值得警惕的新趋势:链式受害
Check Point在研究中发现了一个尤其值得企业管理者关注的现象:链式受害。
2026年4月,The Gentlemen入侵了一家英国软件咨询公司,然后利用在那次攻击中窃取的数据:基础设施文档、凭证、客户访问信息、对该公司在土耳其的一个客户发起了后续攻击。
英国公司公开发布的声明称,只访问了"常规业务数据"。但内部聊天记录讲述了一个完全不同的故事。
更戏剧性的是,The Gentlemen随后将两家公司都公布在了他们的数据泄露网站上,并**明确将英国咨询公司标注为土耳其攻击的"访问经纪商",**这是一种精心设计的心理战术,目的是促使土耳其公司对英国合作伙伴采取法律行动。
这个案例揭示了一个残酷的现实:你的组织被入侵,不仅仅是你自己的事情。如果你持有客户的敏感数据、基础设施凭证或访问权限,那么对你的攻击很可能成为攻击你客户的跳板。
八、防御建议:面对The Gentlemen,我们能做什么
8.1 核心防御要点
基于Microsoft、Check Point、Group-IB、Huntress等多家机构的分析,以下是针对The Gentlemen的核心防御建议:
1. 加固边界设备(最高优先级)
- 立即为所有FortiGate设备打上CVE-2024-55591的补丁
- 禁用从公网访问管理接口
- 为所有VPN门户和admin面板强制启用MFA
- 主动轮询暴露的管理账户凭证
- 限制面向互联网的RDP
2. 实施驱动程序白名单
- 部署Windows Defender Application Control(WDAC)或同等策略
- 阻止未授权内核驱动程序的加载
- 这是对抗BYOVD技术最有效的方法
3. 监控和保护GPO
- 对意外的GPO修改设置实时告警
- 将GPO编辑权限限制在最小账户集
- 定期审查GPO变更日志
- The Gentlemen主要通过GPO操纵在域范围部署勒索病毒
4. 特权访问控制
- 对域管理账户应用最小权限原则
- 为提升权限实施即时(JIT)访问
- 监控新账户创建、未授权权限提升和管理凭证的异常使用
5. 部署带防篡改保护的EDR/XDR
- 确保EDR解决方案配置了防篡改能力
- The Gentlemen使用多层技术来消除/瘫痪安全工具:BYOVD进程终止、PowerShell禁用Defender、排除项注入、支持文件删除
6. 监控管理工具使用
- 为PsExec、AnyDesk、PowerRun、WinSCP、Advanced IP Scanner、Nmap等工具建立基线
- 检测未授权的WMI和PowerShell远程活动
7. 备份策略(最后一道防线)
- 维护不可变的、离线的备份,无法从生产网络访问
- 定期测试恢复程序
- 遵循3-2-1-1备份规则:3份副本、2种不同介质、1份异地、1份空气隔离
- 用与域控制器同等级别的权限控制来保护备份管理控制台
8.2 检测指标(IOCs)
| 指标 | 描述 |
|---|---|
| 勒索信文件名 | README-GENTLEMEN.txt |
| 加密文件扩展名 | 随机六字符(如.umc16h) |
| 加密器参数 | --spread, --wipe, --password, --T, --superfast |
| 注册表Run键 | GupdateS/GupdateU |
| 服务名 | DefSvc, UpdateSvc |
| 恶意工作站名 | WIN-8OA3CCQAE4D |
| C2 IP | 193.233.202.17, 77.110.122.137 |
| 文件尾部标记 | GENTLEMEN |
| 加密器SHA256 | f918535f974591ef031bd0f30a8171e3da27a6754e6426a8ba095f83195661c8 |
8.3 MITRE ATT&CK映射
| 战术 | 技术ID | 技术 | 具体实现 |
|---|---|---|---|
| 初始访问 | T1190 | 利用面向公众的应用程序 | 利用CVE-2024-55591(FortiOS认证绕过) |
| 初始访问 | T1110.001 | 暴力破解:密码猜测 | 对FortiGate VPN进行字典攻击 |
| 执行 | T1059.001 | PowerShell | 禁用Defender、启用PSWA、移动AD计算机对象 |
| 执行 | T1059.006 | Python | 部署userpassfort.py提取Fortinet配置凭证 |
| 持久化 | T1098 | 账户操纵 | 重置ESXi root密码 |
| 权限提升 | T1484.001 | 域策略修改:GPO修改 | 修改GPO启用SMB、配置防火墙规则 |
| 防御规避 | T1211 | 利用防御规避 | BYOVD(ThrottleStop.sys/CVE-2025-7771) |
| 凭据访问 | T1003.001 | LSASS内存 | 使用Mimikatz dump凭证 |
| 横向移动 | T1021.002 | SMB/Windows Admin Shares | 通过SMB共享传播加密器 |
| 影响 | T1486 | 数据加密为影响 | Curve25519+XChaCha20混合加密 |
声明: 本文仅供安全技术研究与防御参考。文中涉及的个人信息基于公开可获取的开源情报,已有多家国际安全机构和媒体独立验证。本文不对任何个人进行指控,所有信息应以执法机构的正式调查结果为准。请勿利用本文信息从事任何未经授权的活动。
[内核课程]《Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。
|
|
|---|---|
