夜雨聆风📋 基础信息
| 项目 | 内容 |
| 名称 | The Gentlemen(又名 TheGentlemen) |
| 类型 | RaaS(勒索软件即服务) |
| 出现时间 | 2025 年 7-8 月 |
| 核心模式 | 双重勒索(加密 + 数据窃取泄露) |
| 已知受害者 | 320+(截至 2026-04,仅2026年初就250+攻击) |
| 覆盖范围 | 17 个国家,重点亚太地区 |
| 泄露站点 | Tor 暗网(存在公开数据泄露网站) |
🧬 技术栈与 TTP
入侵链:
| 阶段 | 手法 |
| 初始访问 | 社会工程、RDP 暴力破解、恶意邮件 |
| 载荷投递 | EtherRAT(伪装成 Sysinternals MSI 安装包) |
| 横向移动 | SystemBC代理僵尸网络 |
| 数据窃取 | C2 通过TukTuk(自定义协议)回传 |
| 加密 | 定制勒索软件二进制文件,双重勒索 |
关联恶意软件:
•EtherRAT— 第一阶段木马(2026-04 新发现)•SystemBC— SOCKS5 代理僵尸网络(用于横向移动+C2通信)•TukTuk— C2 通信模块
基础设施泄露:
•2026-03-12,Hunt.io发现该团伙俄罗斯 Proton66 服务器开放目录泄露:
•完整勒索工具包•受害者凭据•ngrok 令牌•Telegram 频道名称•内部 C2 面板截图
👤 运营者画像
| 信息 | 来源 |
| Hastalamuerte(核心运营者/管理员) | Group-IB 调查报告 |
| 俄语为主要通信语言 | 泄露的 Proton66 服务器内容 |
| Telegram 为主要推广渠道(附属计划招募) | DFIR 报告 + OTX 脉冲 |
| 疑似俄罗斯/独联体地区 | 基础设施托管在俄罗斯服务器 |
🎯 已知攻击目标行业
OTX 脉冲指出的重点目标:
•制造业•医疗保健•金融服务•教育•政府机构
重点区域:亚太(APAC),占全球受害者的相当比例
📅 事件时间线
| 时间 | 事件 |
| 2025-07 | 首次出现(AlienVault 记录) |
| 2025-08 | 首次公开调查报告发布 |
| 2025-09 | OTX 首个 IOC 脉冲创建 |
| 2025-12 | 详细分析报告(双重重勒索TTP) |
| 2026-03-12 | Hunt.io 发现俄罗斯 Proton66 服务器泄露完整工具包 |
| 2026-03-20 | Group-IB 发布详细 TTP 报告 |
| 2026-04-20 | SystemBC 联合分析报告(DFIR) |
| 2026-04 | EtherRAT + TukTuk C2新载荷发现 |
| 2026-05-11 | Flash Alert 发布(最新入侵事件) |
| 2026-05-13 | LBIOC 关联 IOC 发布 |
| 2026-05-14 | Thus Spoke…The Gentlemen(最新报告) |
🔴 攻击指标(IOC)
从 OTX 脉冲识别的基础设施类型:
| IOC 类型 | 详情 |
| Microsoft 365 钓鱼域名 | 仿冒登录页面窃取凭据 |
| SystemBC C2 | SOCKS5 代理节点(已知多个IP) |
| EtherRAT C2 | 2026-04 新发现 |
| TukTuk C2 | 自定义协议通信 |
| Proton66 服务器 | 俄罗斯托管,泄露完整工具包 |
| ngrok 隧道 | 用于隐蔽回连 |
| .onion 泄露站点 | 暗网数据泄露博客 |
| Telegram 频道 | 招募附属会员 |
| 比特币钱包 | 赎金支付地址 |
📊 关联情报
检测源 信息量
OTX AlienVault 17 条关联脉冲,多份 DFIR 报告
FOFA 网络测绘 全球 53+ 站点引用该团伙
Hunt.io Proton66 工具包泄露
Group-IB Hastalamuerte 运营者身份关联
DFIR Report SystemBC + The Gentlemen 联合分析
SANS ISC EtherRAT + TukTuk C2 告警(2026-05-11)
⚠️ 风险评级与态势
活跃度: ████████░░ 极高(每周新攻击)
成熟度: ██████░░░░ 中等(RaaS 附属模式)
隐蔽性: ██████░░░░ 中等(工具包泄露 → 低)
威胁等级: 🔴 严重
从 OTX 数据来看,该团伙自 2025 下半年快速崛起,2026 年初攻击频率急剧上升,是全球最具威胁的新兴勒索软件组织之一。最新情报来自今天(2026-05-14)的 "Thus Spoke…The Gentlemen" 报告。
