Apparu en 2025, The Gentlemen est un groupe ransomware associé à une scission interne de l’écosystème Qilin. Fonctionnant selon un modèle RaaS (Ransomware-as-a-Service), cet acteur applique une stratégie de double extorsion : vol de données puis chiffrement des systèmes compromis.

Le groupe ne semble pas suivre de logique sectorielle précise. Les victimes identifiées concernent aussi bien des PME que des structures plus importantes, avec une activité répartie dans plusieurs régions du monde. Cette approche opportuniste repose principalement sur l’exploitation d’équipements exposés sur Internet et d’environnements insuffisamment sécurisés.

Une exploitation massive des accès exposés

Les opérations attribuées à The Gentlemen montrent une forte dépendance aux vulnérabilités affectant les équipements périmétriques, notamment les VPN, firewalls et appliances réseau. Les solutions Fortinet et SonicWall apparaissent régulièrement dans les compromissions recensées.

Lorsque l’exploitation de vulnérabilités n’est pas possible, le groupe utilise également des attaques de bruteforce ou de password spraying contre des accès distants mal protégés.

Après intrusion, les attaquants privilégient des outils natifs Windows et des scripts PowerShell afin de limiter les détections. Cette approche “Living-off-the-Land” permet de réduire l’utilisation de malwares visibles tout en conservant une forte capacité d’action dans le système compromis.

Des techniques classiques mais efficaces

The Gentlemen ne se distingue pas par une sophistication technique majeure, mais par une exécution rapide et industrialisée.

Les opérateurs utilisent principalement :

  • PowerShell et scripts automatisés ;
  • tâches planifiées et modifications GPO ;
  • déplacements latéraux via SMB et RDP ;
  • outils d’administration détournés ;
  • suppression des snapshots VSS et des journaux Windows.

Plusieurs incidents montrent également l’utilisation de techniques BYOVD (Bring Your Own Vulnerable Driver) afin de neutraliser certaines solutions EDR directement au niveau noyau.

L’objectif reste clair : réduire les capacités de détection avant le déclenchement du chiffrement.

Exfiltration avant chiffrement

Comme la majorité des groupes ransomware récents, The Gentlemen procède à l’exfiltration des données avant le chiffrement des systèmes.

Les transferts observés utilisent principalement :

  • Rclone ;
  • connexions SFTP ;
  • outils de synchronisation détournés.

Une fois les données récupérées, les opérateurs suppriment les mécanismes de restauration puis déclenchent le ransomware. Les victimes sont ensuite menacées de publication des données volées en cas de refus de paiement.

Un groupe qui s’appuie sur les méthodes des grands acteurs ransomware

Les tactiques observées rappellent fortement celles de groupes comme LockBit, Babuk ou Medusa.

Cette proximité opérationnelle confirme une tendance désormais installée dans l’écosystème cybercriminel : les nouveaux groupes réutilisent massivement les outils, méthodes et infrastructures déjà éprouvés par d’autres opérations RaaS.

The Gentlemen illustre parfaitement cette logique. Plus qu’un acteur techniquement innovant, le groupe représente surtout une menace opportuniste capable d’industrialiser rapidement ses attaques à grande échelle.