jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » thegentlemen

thegentlemen

Threat-actor 2 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Locker: Malware basado en Go que bloquea sistemas y pide pagos para liberarlos.
  • C2 Server: Un servidor centralizado identificado en 2026, con conexiones a más de 1.570 víctimas.
  • Redes Anónimas: Uso de dominios DLS (Domain List Server) para ocultar sus actividades.

thegentlemen

thegentlemen

Perfil del Actor

The Gentlemen es un grupo de amenaza (threat-actor) que emergió en julio-agosto de 2025 como un RaaS (Ransom-as-a-Service), ofreciendo a sus afiliados una recompensa del 90% por cada víctima. El grupo se destacó por su capacidad para infectar sistemas operativos Windows, Linux, NAS y BSD con un malware basado en Go conocido como "locker". En 2026, la detección de un servidor C2 comprometido reveló que el grupo había afectado a más de 1.570 víctimas.

Origen y Motivación

Los datos disponibles indican que The Gentlemen opera con una estructura centralizada, donde los afiliados se benefician del 90% de la ransomware generada. Sin embargo, no existen evidencias claras sobre su origen geográfico o motivación específica. La actividad se centra en atacar a organizaciones y individuos con alto valor monetario, utilizando técnicas de ciberataque altamente especializadas.

Técnicas y Tacticas (TTPs)

El grupo utiliza un modelo RaaS que combina la distribución de malware con un servidor C2 comprometido. Sus tácticas incluyen:

  • Locker: Malware basado en Go que bloquea sistemas y pide pagos para liberarlos.
  • C2 Server: Un servidor centralizado identificado en 2026, con conexiones a más de 1.570 víctimas.
  • Redes Anónimas: Uso de dominios DLS (Domain List Server) para ocultar sus actividades.

Campanas Conocidas

La campaña más destacada se desarrolló entre julio-agosto de 2025, con más de 320 víctimas en 17+ países. En mayo de 2026, un servidor C2 comprometido amplió su impacto a más de 1.570 víctimas. La detección del servidor C2 marcó un punto crítico en la activación del grupo.

Objetivos y Victimas

The Gentlemen busca maximizar sus ingresos mediante el secuestro de datos, con un enfoque en sistemas Windows, Linux y dispositivos NAS. Las víctimas incluyen organizaciones y individuos en más de 17 países, con un total conocido de 261 víctimas reportadas hasta ahora.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Dominio DLS tezwsse5czllksjb7cwp65rvnk4oobmzti2znn42i43bjdfd2prqqkad.onion Relevante para campañas de ransomware en 2026.

Detección y Defensa

La detección requiere monitoreo de dominios DLS y análisis de servidores C2. Para prevenir ataques similares, es crucial actualizar sistemas contra malware basado en Go y limitar el acceso a redes anónimas. La colaboración entre organizaciones y gobiernos es clave para mitigar amenazas RaaS como The Gentlemen.

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit DISTINET MURCIA SL12 Jun 2026 · qilin