Un nuevo análisis de los caballeros La operación ha revelado que el grupo de amenazas con motivación financiera operó inicialmente como un afiliado responsable de realizar ataques de doble extorsión, mientras aprovechaba recursos de varios esquemas de ransomware como servicio (RaaS) como LockBit (también conocido como Tenacious Mantis), Qilin (también conocido como Pestilent Mantis) y Medusa (también conocido como Venomous Mantis).
Según un informe detallado publicado por PRODAFT, el grupo, al que rastrea como Phantom Mantis, está dirigido por un cibercriminal de habla rusa al que llama LARVA-368, que utiliza los alias en línea hastalamuerte, ArmCorp, zeta88, none0 y santamuerte. Se sabe que The Gentlemen está activo desde marzo de 2025, reclamando un total de 478 víctimas hasta la fecha, según datos de Ransomware.Live.
“En julio de 2025, Phantom Mantis pasó a formar parte de The Gentlemen, un programa de asociación independiente que ya no depende de otros grupos RaaS”, dijo la empresa suiza de ciberseguridad. “Además, LARVA-368 depende en gran medida de la inteligencia artificial para el desarrollo y mantenimiento de ransomware y herramientas, así como para la asistencia con los procedimientos posteriores a la explotación”.
En cuanto a LARVA-368, se estima que el actor de amenazas fue miembro del grupo de ransomware Embargo (también conocido como Primeval Mantis) antes de lanzar su propia operación bajo el nombre de ArmCorp. Posteriormente, cuatro meses después, pasó a llamarse The Gentlemen.
Desde entonces, el periodista de ciberseguridad Brian Krebs reveló la identidad del individuo como Alexander Andreevich Yapaev (Япаев Алексанр Андреевич), de 36 años, de la ciudad rusa de Izhevsk. PRODAFT dijo a The Hacker News que sus hallazgos coinciden con la misma persona con “alta confianza”.
Como detalló Dark Atlas en agosto de 2025, el cambio coincidió con una disputa de pago entre LARVA-368 y Qilin, en la que el actor de amenazas acusó a la operación RaaS de llevar a cabo una estafa de salida y defraudarlos por 48.000 dólares.
“Aunque Phantom Mantis era un grupo afiliado muy activo con más de 20 objetivos registrados en su panel de afiliados en menos de 30 días, el administrador del grupo (LARVA-368) y LARVA-367 (también conocido como DevMan), un ex miembro de Phantom Mantis, afirmaron que Pestilent Mantis estaba estafando a los afiliados y que había una supuesta ‘puerta trasera’ dentro de los chats de víctimas del panel de afiliados de Pestilent Mantis”, señaló PRODAFT.
“Aunque no pudimos confirmar estas afirmaciones, existe la posibilidad de que LARVA-368 y LARVA-367 difundan intencionalmente desinformación con la intención de reclutar afiliados de Pestilent Mantis para Phantom Mantis desacreditando al grupo”.
También se ha observado que Phantom Mantis paga por cuentas Premium en foros clandestinos para aumentar su visibilidad y defenderse de la competencia, con la comunicación del grupo y el soporte técnico a cargo de una persona separada de habla rusa llamada The Gentlemen Data.
Algunos de los otros aspectos destacados del plan de extorsión compilados a partir de varios informes son los siguientes:
- En un análisis del ransomware a finales del año pasado, el equipo Cybereason de LevelBlue describió a The Gentlemen como una “operación de ransomware altamente adaptable y de rápido movimiento” que combina técnicas de ransomware maduras con características RaaS, doble extorsión, casilleros multiplataforma y propagación flexible, y soporte para afiliados.
- El grupo se ha convertido en uno de los actores de amenazas más activos, representando el 10% de la actividad de ransomware en abril de 2026. “The Gentlemen sigue una cadena centrada en la empresa que comienza con el acceso inicial, a través de servicios vulnerables de Internet o credenciales robadas”, dijo NCC Group. “El análisis sugiere que The Gentlemen puede adaptarse y cambiar tácticas durante un ataque, como manipular GPO, comprometer cuentas privilegiadas y utilizar métodos personalizados para eludir las protecciones de los terminales”.
- Sólo alrededor del 13% de sus víctimas residen en Estados Unidos. La mayoría de las víctimas se concentran en Tailandia, el Reino Unido, Brasil, Alemania y la India.
- LARVA-368 utiliza las cuentas de la aplicación The Gentlemen IM para ayudar a los afiliados con respecto al cifrado y cualquier problema relacionado con la intrusión, como proporcionar eliminadores de EDR para eludir las soluciones de seguridad mediante la técnica de traer su propio controlador vulnerable (BYOVD).
- Los servicios de soporte para The Gentlemen y The Gentlemen Data están disponibles a través de las plataformas de mensajería de código abierto Tox, SimpleX Chat y Ricochet Refresh.
- Los afiliados potenciales deben proporcionar al administrador al menos 1 GB de datos extraídos de una víctima para obtener acceso al panel de afiliados, una táctica diseñada para evitar que los investigadores y las autoridades policiales obtengan acceso a la infraestructura bajo la apariencia de un afiliado. El panel de afiliados admite la gestión de usuarios, la configuración de nuevos objetivos y la descarga de ransomware a un objetivo específico.
- Phantom Mantis ofrece cinco versiones de ransomware diseñadas para Windows, Linux, ESXi, Windows XP+ y Logical Volume Manager (LVM).
- El grupo corteja a los afiliados con un modelo agresivo de participación en las ganancias: 90% para los afiliados y 10% para el operador.
- El acceso inicial se obtiene a través de dispositivos periféricos, como dispositivos VPN, firewalls y otros sistemas conectados a Internet, con un enfoque específico en plataformas como Cisco y Fortinet FortiGate.
- Las cadenas de infección implican el uso de utilidades del equipo rojo como NetExec, RelayKing, TaskHound, PrivHound y CertiHound para realizar descubrimiento de Active Directory, abuso de certificados, escalada de privilegios y descubrimiento de archivos compartidos. Se utiliza un conjunto separado de herramientas, como EDRStartupHinder, gfreeze, glinker y DumpBrowserSecrets, para evadir programas de seguridad, mientras que Velociraptor se emplea para comando y control (C2).
- Los ataques también intentan borrar los registros de eventos de Windows del sistema, las aplicaciones y la seguridad, deshabilitar Microsoft Defender y agregar exclusiones de antivirus.
- El ransomware utiliza un esquema criptográfico híbrido: intercambio de claves X25519 combinado con cifrado simétrico XChaCha20.
- Microsoft, que está rastreando el clúster bajo el nombre de Storm-2697, dijo que el ransomware está escrito en Go y ofuscado con Garble para apuntar al entorno de Windows. “Cuando se habilita con el argumento –spread, convierte el malware de un cifrador de un solo host en un gusano autopropagador que intenta implementar su cifrado en todos los sistemas accesibles en la red”, dijo el gigante tecnológico. “Si se proporciona el argumento –wipe, el ransomware The Gentlemen realiza una rutina adicional posterior al cifrado para eliminar los artefactos recuperables del disco”.
- Según ZeroFox, el equipo de ransomware probablemente lleva a cabo una operación de extorsión multicanal, combinando ataques de ransomware con comunicación por correo electrónico y tácticas de presión telefónica dirigidas a las víctimas.
- El grupo implementa un “ciclo de desarrollo de alta capacidad de respuesta”, un aspecto ejemplificado por el lanzamiento de un parche el mismo día después del lanzamiento de un descifrador en abril de 2026.
- El tiempo medio de permanencia de una intrusión oscila entre dos y seis semanas desde el acceso inicial hasta el cifrado, y el grupo se centra especialmente en organizaciones que ejecutan infraestructura VMware.
El mes pasado, una filtración de una base de datos interna Rocket.Chat utilizada por el grupo (que comprende 3.366 mensajes entre noviembre de 2025 y finales de abril de 2026) arrojó más luz sobre el funcionamiento interno del grupo, incluido el uso de fallas de seguridad conocidas en el software VMware Aria Operations, Fortinet, Cisco y Microsoft, al tiempo que pinta una imagen de una empresa criminal cuyos miembros tienen una clara división de roles y responsabilidades.
“El grupo rastrea y evalúa activamente las vulnerabilidades modernas, incluidas CVE-2024-55591, CVE-2025-32433 y CVE-2025-33073, y las combina con rutas basadas en técnicas como respaldo y abuso de controladores de administración y flujos de trabajo de retransmisión NTLM, brindándoles un canal de explotación flexible”, dijo Check Point.
Eso no es todo. En marzo de 2026, Hunt.io dijo que descubrió un directorio abierto alojado en “176.120.22(.)127:80” en el proveedor de alojamiento ruso a prueba de balas Proton66 que expuso 126 archivos que contenían un conjunto completo de herramientas de operador de ransomware atribuido a una filial de The Gentlemen RaaS.
Esto incluía herramientas de reconocimiento, escalada de privilegios, evasión de defensa, robo de credenciales, movimiento lateral, persistencia y preparación previa al cifrado, que esencialmente abarcaban todas las fases del ciclo de vida de la intrusión.
“LARVA-368 es un actor de amenazas especializado en actividades relacionadas con la extorsión y ha estado activo desde al menos 2020”, dijo PRODAFT. “La experiencia adquirida a través de colaboraciones anteriores con varios grupos de RaaS proporcionó la base técnica necesaria para establecer The Gentlemen RaaS”.
