Profil attaquant - Groupe ransomware TheGentlemen

Auteur : Guïdo Toti 🇮🇹, analyste réponse à incident chez Safercy

Introduction 

Dans le business du ransomware, de nouveaux groupes émergent constamment, affinant leurs tactiques pour cibler les entreprises et leurs infrastructures. Récemment, l'attention de nos analystes a été attirée par l'apparition d'un collectif jusqu'alors inconnu (jusqu’au mois d’août 2025, date de publication d’un article de Trend Micro les mentionnant), The Gentlemen, qui a lancé de nombreuses campagnes de ransomware relativement sophistiquées. 

De plus, ce groupe a dévoilé en quelques jours plusieurs dizaines de victimes, dont plusieurs basées en France, dont une sur laquelle nos analystes ont pu intervenir en tant qu’investigateurs en réponse à incident.

Cet article détaille le modus operandi de ce groupe, de leurs méthodes d'accès initial à leurs techniques d'évasion, de persistance et de déploiement de ransomware, en passant par l'analyse de leurs outils et de leurs comportements.

Les points clés de notre analyse sont les suivants : 

• Un groupe récent : Ce groupe a été détecté pour la première fois courant août 2025

• Un spectre géographique ample : Le groupe diversifie ses attaques à travers le monde, plusieurs ont été détectées aux Etats-Unis, au Venezuela, en Indonésie ou encore en France

• Contournement de la détection : Le groupe TheGentlemen utilise des techniques très avancées pour contourner les AV/EDR notamment en utilisant un driver signé et vulnérable

Description du groupe

Récemment, nos analystes ont remarqué la montée d’une campagne de ransomware dirigée par The Gentlemen, un groupe émergent jusqu’alors inconnu. Ce collectif s’est rapidement distingué dans le paysage cybercriminel grâce à des attaques particulièrement sophistiquées, menées contre des environnements d’entreprise. 

Cette campagne a dévoilé une chaîne d’attaque recourant à des méthodes d’une grande sophistication, suscitant de sérieuses inquiétudes. En effet, ce groupe utilise des outils comme WinSCP ou Rclone pour exfiltrer les données, il installe également des drivers vulnérables pour contourner les systèmes de défense. Des outils de type AnyDesk ou MeshAgent sont également déployés afin de maintenir un accès sur le réseau et sur les machines.

Ce groupe diversifie ses victimes, dans différents domaines (IT, Assurance, etc…) dans différentes régions et différents pays. Malheureusement, la France n’a pas été épargnée avec plusieurs incidents récemment identifiés.

Dans cet article, nos équipes documentent les techniques utilisées par les attaquants derrière le groupe TheGentlemen, telles que nous les avons identifié lors de multiples réponses à incident.

Accès initial

D’après nos analyses, le groupe TheGentlemen cible principalement les services exposés à internet ou utilise des identifiants valides achetés préalablement. Cela leur permet d’obtenir un accès VPN sur le réseau interne. De plus, il semblerait que les pages d’administration FortiGate exposées à Internet soient prioritairement ciblées. Cela peut signifier un manque de mises à jour sur les FortiGate, une faille 0-day détenue par le groupe ou alors les identifiants qui ont simplement fuité.

Reconnaissance

Pendant cette phase, les attaquants utilisent à la fois des commandes de base windows mais déploient également des exécutables. De plus, l’acteur malveillant cible principalement les environnements Active Directory.

Extrait de commandes exécutées lors de la phase de reconnaissance:

net user administrator /dom

net user fortigate /dom

net groups “Domain Admins” /dom

TheGentlemen déploie également des scanners réseau dans l’objectif de mapper le réseau et ainsi d’identifier des cibles potentielles.

C:\Users\<USER>\AppData\Local\Temp\2\Advanced IP Scanner 2\advanced_ip_scanner.exe

C:\Users\<USER>\AppData\Local\Temp\2\Advanced Port Scanner 2\advanced_port_scanner.exe

C:\Program Files (x86)\Advanced IP Scanner\advanced_ip_scanner.exe

Evasion d’AV/EDR

Dans un premier temps, les attaquants utilisent le binaire All.exe déployé conjointement avec ThrottleBlood.sys, un driver signé, ce qui permet de rechercher tous les agents de sécurité (Anti-virus, EDR, etc…) pour les arrêter en utilisant les fonctionnalités du driver vulnérable. De plus, les binaires Allpatch.exe et Allpatch2.exe peuvent être déployés dans le même objectif.

Certaines investigations remontent également l’utilisation de PowerRun.exe souvent utilisé pour exécuter des commandes avec des droits élevés afin de désactiver les systèmes de sécurité.

Mouvement latéral

Pour se déplacer dans le réseau, les attaquants utilisent plusieurs techniques. D’abord, nos investigations ont relevé l’utilisation du protocole RDP (Remote Desktop Protocol ou bureau à distance) pour se connecter sur les machines. De plus, l’utilisation de PsExec a aussi été détectée comme moyen de déplacement latéral ainsi que la manipulation des clés de registres suivantes:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 /v RestrictSendingNTLMTraffic /t REG_DWORD /d 0 /f

reg add HKLM\System\CurrentControlSet\Control\Lsa /t REG_DWORD /v DisableRestrictedAdmin /d 0x0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 1 /f

Recherche d’identifiants

Nos investigations ont remonté l’utilisation de chromeelevator_x64.exe utilisé pour récupérer les différents identifiants du navigateur Google Chrome.

Dans un même objectif d’obtention d’identifiants, l’acteur malveillant a utilisé l’outil LSASSY ou équivalent pour dumper le processus LSASS à distance.

Persistance

Lors de nos investigations, nous avons remonté deux outils utilisés pour maintenir les accès. Dans un premier temps, AnyDesk est l’un des plus utilisés dans ce type d'attaque, permettant de garder le contrôle d’une machine à distance.

Ensuite, nous avons remarqué plus récemment l’utilisation de MeshAgent, un outil open-source permettant également la prise de contrôle d’une machine à distance. D’un œil forensique, cet outil peut être intéressant. 

En effet, un service appelé MeshAgent est dans un premier temps créé puis un fichier de configuration .msh est créé dans le même dossier que l’exécutable. Ce fichier de configuration peut contenir des informations intéressantes pour une investigation comme le serveur de l’attaquant.

Exfiltration

Afin d’exfiltrer plusieurs fichiers avant le déploiement du ransomware, deux différents outils ont été repérés par nos analystes. Le premier est l’un des plus connus et est WinSCP, qui utilise le protocole SSH. Le deuxième est l’outil Rclone, également connu pour l’exfiltration de données. 

Lors d’une investigation, il peut être intéressant de récupérer les configurations de ces outils pour récupérer quels fichiers ont été exfiltrés, le serveur de l’attaquant, le nom d’utilisateur et le mot de passe utilisé. Il est important de rappeler qu’il est strictement interdit de “hack back” le serveur des attaquants.

Dans une investigation récente se terminant par un chiffrement du groupe TheGentlemen, nous avons détecté l’utilisation de Rclone exécuté sous le nom de “svchost.exe” et exécuté à travers une tâche planifiée appelée “Rclone”.

Grâce au service Shodan (shodan.io), les analystes ont découvert qu’un service Synology sur un Nginx était accessible sur le port 5001 de l’adresse IP d’exfiltration identifiée durant l’investigation. Le titre de la page annonce la couleur : The Gentlemen NAS, Welcome to our storage, sir!. Un accès à ce NAS permet donc logiquement l’accès à toutes les données exfiltrées, sauf si les attaquants ont déplacées les données une fois leur exfiltration terminée.

Déploiement du ransomware

Plusieurs façons de déployer le ransomware ont été remontées par nos analystes. La première est de créer une tâche planifiée généralement appelée “SysTask2” ou “SysTask” qui va pointer vers le ransomware.

Ensuite, le groupe déploie également le ransomware dans le domaine à travers les partages NETLOGON et SYSVOL du contrôleur de domaine. Une GPO permet ensuite l’exécution du ransomware sur les machines du réseau.

Analyse du ransomware

Nos analystes ont analysé le binaire associé au ransomware déployé par l’attaquant et ont identifié ses principales caractéristiques de fonctionnement.

Une fois installé et déployé, le ransomware créer le fichier README-GENTLEMEN.txt qui contient les informations nécessaires pour contacter les attaquants.

Tous les fichiers chiffrés se voient ajoutés l’extension “.7mtzhh”.

Lors de nos analyses, nous avons remarqué l’utilisation du paramètre “--password” lors de l’exécution du ransomware. Malheureusement, ce n’est pas le mot de passe utilisé pour chiffrer les données 🙁, mais ce dernier est utilisé pour déclencher l’exécution du ransomware (une sorte d’autorisation). On note également que ce mot de passe fait toujours 8 caractères de long, ce qui peut permettre une attaque par brute force lors d’une analyse de type reverse engineering.

C:\ransomware.exe --password (8 caractères)

Pour complexifier toutes investigations numériques, le ransomware exécute ensuite une suite de commandes pour effacer ses traces:

# Les fichiers Prefetch sont supprimés  

cmd /C "del /f /q C:\Windows\Prefetch\*.*"

# Les fichiers de log RDP sont supprimés 

cmd /C "del /f /q %SystemRoot%\System32\LogFiles\RDP*\*.*"

# Les fichiers contenus dans la corbeille sont supprimés 

cmd /C "rd /s /q C:\$Recycle.Bin"

# Une exception sur le ransomware est ajoutée dans Windows Defender : 

powershell -Command "Add-MpPreference -ExclusionProcess C:\ransomware.exe -Force

# Les volumes shadow copies sont supprimés : 

wmic shadowcopy delete ; vssadmin delete shadows /all /quiet

# Windows Defender est désactivé : powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true -Force"

Indicateurs de Compromission (IoC)

Comment se protéger ?

Le groupe TheGentlemen utilise régulièrement les accès VPN pour mettre un pied dans le réseau interne. Pour cette raison, Safercy préconise d’implémenter la MFA sur l’authentification VPN. Nous recommandons également d’éliminer toute exposition directe à Internet de RDP, de la page d’administration FortiGate et tout autre service qui doit rester interne.

Safercy  recommande de surveiller les actions suivantes:

• Restreindre l’accès aux partages SYSVOL et NETLOGON

• Implémenter un niveau de log élevé (Sysmon est également une bonne solution)

• Implémenter un EDR pour une surveillance continue

• Implémenter des règles de détection sur la création de service, de tâche planifiée et l’arrêt de service

Vous avez été affecté ou suspectez une compromission ?

• Isoler les équipements infectés sans les éteindre, cela permet de garder la mémoire pour une future investigation

• Faire une rotation des mots de passe du domaine

• Bloquer toutes connections de l’adresse IP source de l’attaquant dans vos EDR, proxies et équipements réseau

L’équipe Safercy vous accompagne à chaque étape — avant, pendant et après un incident de sécurité — grâce à une gamme de services pensés pour protéger durablement vos actifs :

• SaferFind : notre solution de veille proactive qui explore en continu le dark web afin de détecter d’éventuelles fuites de données concernant votre organisation.

• Investigation numérique : une analyse approfondie de vos systèmes compromis pour retracer avec précision le parcours de l’attaquant, comprendre ses actions et identifier les données auxquelles il a eu accès.

• Post-incident : un accompagnement sur mesure pour renforcer vos défenses, durcir vos systèmes et mettre en place les meilleures pratiques de cybersécurité afin de réduire les risques futurs.

Référence

https://www.trendmicro.com/fr_fr/research/25/i/unmasking-the-gentlemen-ransomware.html