Se fue sin despedirse: exsocio de los extorsionadores Qilin, ofendido con sus colegas, creó su propio ransomware.
La codicia de unos provocó la audacia de otros.
En medio de decenas de marcas de extorsión, la nueva agrupación The Gentlemen salió rápidamente de las sombras no por técnicas inusuales, sino gracias a un esquema de ataques rígido y bien afinado. En un informe reciente de Group-IB se indica que el equipo reunió un conjunto de herramientas ya comprobadas, utiliza activamente la experiencia ajena y apuesta por la explotación masiva de servicios externos vulnerables, contraseñas débiles y errores en la protección de redes corporativas.
Según los autores del informe, The Gentlemen surgió de ArmCorp, socio activo del programa Qilin, y la operación la dirige un atacante con el alias «Hastalamuerte». Las primeras huellas de su propio cifrador aparecieron el 17 de julio de 2025, unos días antes del conflicto público con los operadores de Qilin en el foro clandestino RAMP. Group-IB considera que la disputa por una parte no pagada no fue la causa del abandono, sino un pretexto conveniente para lanzar un esquema de extorsión independiente.
El principal vector de intrusión está relacionado con CVE-2024-55591 en FortiOS y FortiProxy. La vulnerabilidad permite eludir la verificación de autenticidad y obtener acceso administrativo a dispositivos Fortinet. Tras el acceso, los participantes de The Gentlemen crean cuentas ocultas, descargan configuraciones, se afianzan mediante VPN e intentan expandir el ataque dentro de la red. Según Group-IB, el grupo disponía de una base de aproximadamente 14 700 FortiGate ya comprometidos y otros 969 credenciales VPN verificadas obtenidas por fuerza de contraseñas.
A partir de ahí la operación se desarrolla según un esquema conocido pero peligroso. Los atacantes deshabilitan medidas de protección, entre ellas mediante controladores firmados vulnerables, limpian registros de eventos, roban datos con Rclone, ocultan herramientas bajo utilidades legítimas y se propagan por el dominio a través de SMB, RDP, WMI y políticas de grupo. El informe también menciona intentos de examinar SonicWall, Cisco ASA y Oracle E-Business Suite, así como el análisis de muestras de Babuk, LockBit 5.0, Medusa y Qilin para tomar prestados mecanismos efectivos de evasión y cifrado.
Group-IB prestó atención especial a la calidad de la preparación de The Gentlemen. El equipo usa NetExec, PowerShell, scripts propios para extraer credenciales, herramientas para trabajar con VMware y Veeam, así como servicios de inteligencia artificial como ChatGPT, Gemini y Claude. Para el otoño de 2025 los operadores añadieron versiones del cifrador para Windows, Linux y ESXi, un temporizador de demora en el lanzamiento y una propagación más agresiva por la red.
Según la estimación de Group-IB, unas 94 organizaciones ya han sido víctimas de The Gentlemen. Los analistas enfatizan que la amenaza principal no reside en la singularidad del grupo, sino en el modelo típico del cibercrimen moderno, donde los participantes pasan de un programa a otro, intercambian desarrollos y ensamblan rápidamente nuevos proyectos de extorsión a partir de técnicas ya conocidas.