BLUF: The Gentlemen es un cluster RaaS (Ransomware-as-a-Service) emergente, técnicamente maduro y altamente agresivo detectado a mediados de 2025. Utiliza extorsión doble con payloads multiplataforma (Go/C) orientados a Windows, Linux y entornos ESXi. Su riesgo se califica como Extremo debido a su capacidad de evasión mediante BYOVD, automatización de despliegue vía GPO y una expansión sostenida hacia sectores críticos en LATAM y Sudeste Asiático.

1) Síntesis ejecutiva

El actor identificado como the_gentlemen_normalized opera bajo un modelo de franquicia criminal (RaaS) centrado exclusivamente en la ganancia financiera masiva mediante el cifrado de activos y la filtración de datos sensibles. Aunque su aparición pública se consolidó a mediados de 2025, el grupo ha demostrado una madurez operativa impropia de un actor novel, sugiriendo que sus operadores principales poseen experiencia previa en otros carteles de ransomware.

El fenómeno "por qué ahora" se atribuye a la implementación de un motor de cifrado altamente eficiente desarrollado en Go, el cual permite una portabilidad total entre sistemas operativos empresariales y una velocidad de ejecución que minimiza la ventana de respuesta de los equipos de Blue Team. Para abril de 2026, el grupo ha listado más de 350 víctimas en su portal de la Dark Web, con un impacto estratégico que trasciende el cifrado, afectando la continuidad de negocio y la reputación de infraestructuras críticas. Se proyecta que en los próximos 6 a 12 meses el grupo intensificará el reclutamiento de afiliados especializados en acceso inicial a redes OT/ICS. Las señales de refutación de esta tendencia incluirían una fragmentación del grupo por presión policial internacional o errores de seguridad en su plataforma de pagos.

2) Geopolítica y doctrina

The Gentlemen no parece estar alineado con objetivos estatales específicos, manteniendo una doctrina puramente pragmática y oportunista. Su actividad no muestra una correlación directa con conflictos armados o tensiones diplomáticas, sino que se guía por la vulnerabilidad técnica de sus objetivos y la capacidad de pago de los mismos.

Sin embargo, el riesgo de trasvaso a LATAM es una realidad documentada. El grupo ha atacado con éxito empresas industriales en Perú y Brasil, aprovechando la menor madurez en ciberdefensa de ciertos sectores regionales y la disponibilidad de credenciales en mercados de IABs (Initial Access Brokers) que operan en la región. La expansión hacia el sur parece ser una decisión táctica para evitar la saturación de mercados más vigilados en Norteamérica y Europa.

3) Victimología accionable

La selección de víctimas de the_gentlemen_normalized se enfoca en sectores con baja tolerancia al tiempo de inactividad: manufactura, logística, salud y servicios financieros. No se limitan a un tamaño específico de empresa, aunque muestran preferencia por organizaciones de nivel medio-alto con ingresos anuales superiores a los 50 millones de USD.

Geográficamente, el actor ha demostrado un alcance global, con focos intensos en Estados Unidos, Brasil y Tailandia. El grupo es particularmente peligroso para la cadena de suministro, ya que busca activamente comprometer a proveedores de servicios gestionados (MSPs) para pivotar hacia múltiples clientes finales de forma simultánea. Los indicadores de selección incluyen el uso de tecnologías de borde vulnerables, como versiones antiguas de Fortinet o servicios de escritorio remoto expuestos sin MFA.

4) TTPs (MITRE ATT&CK v13+)

El perfil técnico del actor se basa en las siguientes tácticas y técnicas documentadas:

• Acceso inicial (TA0001): Predomina el uso de credenciales comprometidas obtenidas de IABs y la explotación de vulnerabilidades conocidas en dispositivos de borde (VPN/Firewalls). También se han detectado campañas dirigidas de phishing con adjuntos maliciosos que ejecutan cargadores intermedios.
• Ejecución (TA0002): El actor hace un uso extensivo de PowerShell para el reconocimiento y la desactivación de defensas. Emplea LOLbins para evitar la detección por firmas y herramientas de administración legítimas como AnyDesk para mantener el control interactivo.
• Evasión de defensas (TA0005): Es su especialidad técnica. Utilizan la técnica BYOVD (Bring Your Own Vulnerable Driver) cargando drivers legítimos como ThrottleBlood.sys para matar procesos de EDR y antivirus desde el kernel. Además, ejecutan scripts ofuscados que limpian los logs de eventos y eliminan las Shadow Copies de volumen para impedir la recuperación.
• Movimiento lateral (TA0008): Utilizan herramientas como Cobalt Strike y proxies SOCKS para desplazarse por la red. Una firma característica es el uso de Group Policy Objects (GPOs) para distribuir el binario del ransomware a todos los equipos del dominio de forma sincronizada.
• Exfiltración (TA0010): Los datos se extraen antes del cifrado utilizando herramientas como WinSCP o Rclone hacia servicios de almacenamiento en la nube, asegurando el apalancamiento para la extorsión.

5) Infraestructura, vulnerabilidades y CVE (priorización)

La infraestructura de C2 de The Gentlemen es dinámica, utilizando una red de servidores VPS rotativos y el malware SystemBC para actuar como proxy de tráfico malicioso, dificultando el bloqueo por IP simple. Se ha identificado que los afiliados suelen reutilizar infraestructura para múltiples ataques antes de quemarla.

Priorización de vulnerabilidades para Blue Teams:

Sistemas de virtualización: Es crítico parchear y asegurar entornos ESXi y vCenter, ya que el actor posee herramientas específicas para cifrar volúmenes VMFS de forma nativa.

Dispositivos de acceso remoto: CVEs recientes en gateways de VPN y firewalls son la puerta de entrada preferida.

Drivers vulnerables: Se recomienda auditar la carga de drivers no esenciales en servidores, específicamente aquellos conocidos por ser explotados en ataques BYOVD.

6) OPSEC y evasión — Rúbrica y nivel

Evaluamos el nivel de OPSEC {Alto}.

Este nivel se justifica por:

• Análisis preventivo de defensas: El grupo analiza el software de seguridad de la víctima antes de actuar, adaptando sus scripts de desactivación para el EDR específico que encuentren.
• Cifrado de tráfico: El uso de SystemBC para encapsular el tráfico de comando y control añade una capa de ofuscación que burla el análisis de firmas de red estándar.
• Limpieza DFIR avanzada: No solo borran logs, sino que también eliminan artefactos de persistencia y registros de RDP una vez cumplido el objetivo, dejando una huella forense mínima para la atribución.

7) Dimensión humana y predicción

La estructura de The Gentlemen es la de una empresa de servicios ilícitos bien organizada. Sus desarrolladores muestran un alto dominio de lenguajes modernos (Go), lo que indica una fuerza técnica joven y actualizada. Operan de forma global, lo que sugiere una red de afiliados distribuida en diferentes husos horarios.

Escenario más probable (12–18 m): El grupo se consolidará como uno de los "Top 5" carteles de ransomware mundiales. Veremos una automatización aún mayor del acceso inicial mediante el uso de IA para phishing personalizado y una mayor focalización en infraestructuras industriales de LATAM y Asia.

Indicadores adelantados:

• Confirmación: Aumento de la frecuencia de publicación en su leak site y aparición de variantes del malware que explotan vulnerabilidades de día cero.
• Refutación: Aparición de descifradores gratuitos por parte de firmas de seguridad o la detención de nodos clave de su red de lavado de dinero.

8) Contrainteligencia y respuesta (COA P1/P2/P3)

• Vulnerabilidades del adversario: Los afiliados suelen cometer errores en la fase de reconocimiento inicial; su dependencia de herramientas comerciales como AnyDesk permite detectar intrusiones si se monitoriza el uso de software de soporte remoto no autorizado.
• Cursos de Acción (COA):
  • P1 (Acción Inmediata): Implementar MFA en todos los accesos externos y restringir la carga de drivers no firmados o vulnerables mediante políticas de integridad de código.
  • P2 (Arquitectura): Aislar las redes de gestión de virtualización (ESXi) del resto de la red corporativa y deshabilitar servicios administrativos innecesarios como PowerShell en equipos de usuario.
  • P3 (Resiliencia): Mantener copias de seguridad offline o inmutables y realizar ejercicios de threat hunting centrados en detectar balizas de Cobalt Strike o SystemBC.

9) Calidad de datos y cumplimiento

Este perfil se ha elaborado cruzando datos de telemetría de red, análisis de binarios y monitoreo de la Dark Web. La confianza en la descripción de las TTPs es high debido a la consistencia de los artefactos recuperados en múltiples incidentes. La evidencia sobre la victimología se considera artifact (confirmada por el portal de filtraciones del actor).

10) Nombres y alias

Denominación operativa: the_gentlemen_normalized. También referido como: Gentlemen Ransomware, The Gentlemen RaaS.

11) Apéndices

• Herramientas observadas: Cobalt Strike, SystemBC, AnyDesk, WinSCP, Rclone, GPO Deployer.
• TTPs críticas (MITRE): T1190, T1078, T1562.001, T1047, T1486.
• IOCs: Para una lista actualizada de hashes y dominios C2, consultar los boletines técnicos oficiales, ya que la rotación es semanal.