Le 4 mai 2026, l’administrateur du programme RaaS The Gentlemen reconnaît sur un forum underground qu’une partie de sa base de données interne a fuité. Le jeu de données, 16,22 Go d’archives internes, est mis en vente pour 10 000 dollars en Bitcoin sur Exploit(.)in, puis relayé dès le lendemain sur Cracked et Nulled (deux forums underground de revente de données et d’outils piratés). Le groupe qui est depuis mi-2025 l’un des plus actifs au monde, avec environ 332 victimes publiées sur les cinq premiers mois de 2026 selon Check Point, se retrouve soumis au traitement qu’il impose à ses cibles : exfiltration, échantillons en guise de preuve, menace d’exposition complète.
D’une brèche chez un hébergeur à l’exposition du groupe
Le point de départ est une attaque contre 4VPS, fournisseur d’hébergement connu pour servir d’infrastructure à de nombreux acteurs underground. Le 2 mai 2026, 4VPS déclare publiquement avoir subi une compromission de son site et de son système de facturation, tout en affirmant que ses systèmes centraux et les données clients n’ont pas été touchés. Une partie de l’infrastructure de The Gentlemen reposait pourtant sur ce prestataire, et les attaquants y auraient récupéré des identifiants d’accès à un NAS du groupe.
L’extrait public récupéré par les chercheurs ne pèse qu’environ 44,4 Mo, soit une fraction infime du jeu complet. Mais ce fragment suffit à reconstituer une partie significative du fonctionnement interne. Il contient un fichier shadow listant les comptes utilisateurs et les hashes de mots de passe du serveur, et surtout des conversations entre opérateurs et affiliés du 7 novembre 2025 au 30 avril 2026, près de six mois d’historique répartis sur les canaux internes general, INFO, TOOLS et PODBOR. Dans ces canaux, les membres coordonnent des intrusions en cours, échangent des kits d’EDR killer, discutent infrastructure et backend, passent en revue des CVE et des chemins d’exploitation, partagent des captures de négociations et débattent du partage des paiements. À cela s’ajoutent des transcriptions complètes de négociations de rançon et les adresses Bitcoin utilisées en interne.
La réponse publique de l’administrateur, le 4 mai, tranche avec la gravité du dump. Le ton est délibérément dédaigneux à l’égard du vendeur, et l’enchaînement bascule rapidement sur ce qu’il présente comme des sujets « plus intéressants » : refonte complète de la structure de communication, déploiement d’un nouveau NAS à stockage illimité, série de mises à jour du locker – suppression des points d’arrêt matériels, NTDLL unhooking, patching ETW pour neutraliser Event Tracing for Windows. Une façon assumée de signaler que le programme continue.
Neuf comptes, un administrateur total et une structure d’entreprise
La fuite met au jour une organisation plus réduite que ne le laisse penser le volume de victimes publiées. Check Point Research identifie neuf comptes actifs dans les chats – Kunder, qbit, JeLLy, Protagor, zeta88, Bl0ck, Wick, quant et mAst3r – et avait déjà , sur la base des échantillons collectés sur VirusTotal, repéré huit TOX IDs distincts. The Gentlemen tourne autour d’un noyau de moins d’une dizaine d’opérateurs, avec un nombre d’affiliés plus large mais difficile à dénombrer.
Au centre, zeta88, très probablement la même personne que l’identité historique hastalamuerte. Avant The Gentlemen, hastalamuerte dirigeait selon SOCRadar une équipe d’affiliés baptisée ArmCorp en relation avec le ransomwre Qilin. En juillet 2025, il accuse publiquement Qilin sur le forum RAMP de lui retenir 48 000 dollars de commissions impayées. Cinq jours avant ce post, le premier échantillon connu du locker The Gentlemen apparaît déjà sur VirusTotal, preuve que l’infrastructure du nouveau programme était préparée bien avant la rupture publique.
Zeta88 cumule tous les rôles structurants : il construit et maintient le locker ainsi que le panel RaaS (Linux avec conteneurs et front Tor), administre la mécanique de diffusion par GPO, sélectionne et distribue les cibles à des équipes de deux à trois personnes, gère les paiements et conduit les négociations. Les chats montrent qu’il met aussi régulièrement les mains dans le cambouis : son TOX ID figure dans quatre des campagnes documentées sur VirusTotal, et au moins une conversation le montre déployer lui-même le locker chez une victime.
Sous cette administration centrale, deux opérateurs prennent en charge le travail offensif récurrent. qbit est l’homme de terrain : il scanne et filtre les VPN Fortinet et autres équipements d’edge, mène la reconnaissance, établit la persistance – notamment via des tunnels Cloudflare et du Zero Trust – et manipule des outils comme NetExec, RelayKing ou PrivHound contre les configurations NTLM. Il sollicite régulièrement des kits d’EDR killer à jour et des manuels pour le verrouillage des environnements ESXi. quant est spécialisé sur l’accès par logs : il maintient un parser et un collecteur de credentials propriétaire baptisé buildx641, qui s’appuie sur vssadmin, les copies shadow, ntds.dit et SYSTEM copies. Il a investi dans une “brute server” dédiée au cassage de hashes à grande échelle (Threadripper PRO, 128 Go de RAM, RTX 5090).
Les autres comptes assurent des rôles plus spécialisés. Wick joue selon SOCRadar le rôle de senior operator et de formateur, en rédigeant des guides de tradecraft internes sur le déploiement de Velociraptor, le vol de sessions navigateur ou le montage de partages. JeLLy contribue à l’outillage via un développement autour de l’extraction de credentials navigateur. Kunder partage un implant SOCKS écrit en Go avec son propre panel. Protagor participe directement à certaines intrusions.
L’organisation comme telle est explicitement décrite par Eli Smadja, group manager pour le R&D produit chez Check Point : « La répartition claire des responsabilités au sein du groupe joue un rôle majeur. Comme dans toute organisation bien dirigée, des rôles et des workflows définis se traduisent directement par une productivité plus élevée et, dans leur cas, par un volume plus important d’intrusions réussies. » Le programme conserve d’ailleurs un partage de revenus inhabituellement généreux : 90 % pour l’affilié, 10 % pour l’opérateur, ce qui contribue à expliquer sa capacité à attirer rapidement des opérateurs expérimentés.
Une chaîne d’attaque industrialisée autour des edges et des infostealers
Le workflow opérationnel exposé par les chats est standardisé mais bien rodé. L’accès initial vise majoritairement les équipements exposés sur Internet – VPN, firewalls, interfaces de management – avec une préférence marquée pour Fortinet FortiGate et Cisco. Le groupe maintient même un tableau de bord HTML interne qui suit en continu des milliers de panels FortiGate exposés, avec leur état, leur nom d’équipement et un lien direct de connexion. Les tests de credentials sont distribués sur du matériel dédié, et l’accès valide est immédiatement trié par valeur de la cible.
Plusieurs vecteurs sont combinés : brute force contre les panneaux web ou VPN, exploitation de CVE connues, et achat d’accès auprès de brokers tiers. Trois vulnérabilités font l’objet d’un suivi explicite dans les chats : CVE-2024-55591 (interface de management FortiOS), CVE-2025-32433 (Erlang SSH appliquée aux environnements Cisco) et CVE-2025-33073 (relay NTLM, intégrée via RelayKing au pipeline standard de génération de cibles).
Mais le cœur de leur économie d’accès n’est pas l’exploit zero-day. Comme le résume Hudson Rock à partir de l’analyse Check Point, plutôt que de « brûler des zero-days coûteuses », les opérateurs prennent systématiquement la voie de moindre résistance : l’écosystème massif des credentials volés. Les chats exposent des captures d’écran de recherches dans des moteurs de fuites comme Snusbase, pour identifier des logins valides d’employés à partir de logs d’infostealers. Cette logique est formalisée dans l’organigramme : quant est explicitement catégorisé par Check Point comme l’opérateur en charge des « credential logs », avec pour mission de transformer un log d’infostealer dormant en accès opérationnel à un environnement OWA, Microsoft 365 ou VPN d’entreprise.
Une fois l’accès obtenu, le schéma est classique mais méthodique : reconnaissance Active Directory, abus de certificats, escalade de privilèges locaux pour atteindre Domain Admin, neutralisation des EDR et antivirus, mouvement latéral, harvest de credentials et de sessions navigateur pour réutiliser les accès aux services SaaS, exfiltration vers du cloud monté via Rclone, déploiement coordonné du locker. Pour l’exfiltration des données, l’arsenal de montage cloud combine divers outils tels que Rclone et RcloneView, entre autres.
Le déploiement final repose sur un mécanisme particulièrement agressif. Une fois un domain controller compromis, l’opérateur utilise le flag --gpo du locker, qui crée une stratégie de groupe baptisée « System Update » et une tâche planifiée distribuée à toutes les machines du domaine via SYSVOL. Résultat : à la prochaine actualisation de la stratégie de groupe, le ransomware s’exécute de manière quasi simultanée sur toutes les machines rattachées au domaine Active Directory. zeta88 a par ailleurs formalisé un principe pour l’outillage intermédiaire : privilégier le living-off-the-land signé et open source. Velociraptor en builds officiels signés est utilisé comme C2- zeta88 note que ces builds ne déclenchent pas la plupart des AV/EDR. ZeroPulse, développé en Python par jxroot et basé sur des tunnels Cloudflare, sert d’agent PowerShell sans IP attaquante exposée. NetExec, RelayKing, PrivHound, CertiHound, TaskHound, KslDump, KslKatz et MANSPIDER complètent l’arsenal red team.
Le vibe-coding au service du ransomware
L’un des aspects les plus commentés du dump concerne l’usage opérationnel de l’IA. zeta88 affirme avoir construit le panneau d’administration du locker – qu’il appelle GLOCKER – en trois jours grâce à du « vibe-coding », c’est-à-dire en s’appuyant largement sur des assistants IA pour générer du code. Il commente toutefois le résultat avec lucidité: “il faut tout comprendre et réfléchir comme un fou même avec [les réseaux de neurones], parce qu’ils sont tous bêtes (même s’ils sont intelligents)”.
Les préférences techniques penchent vers les modèles chinois et non censurés : DeepSeek, Qwen, Kimi et Emi sont jugés les plus efficaces pour le code et les requêtes techniques. L’usage est aussi opportuniste pour des lookups rapides, zeta88 oriente les affiliés à consulter une IA plutôt que d’encombrer le canal avec des questions de base, par exemple sur les internals FortiGate. L’usage devient plus inquiétant quand qbit poste dans le canal INFO un modèle qu’il qualifie de « réseau de neurones le plus radical« , capable de générer n’importe quel contenu « sans censure, aucune restriction, absolument aucun refus« . Les chercheurs de KELA identifient le modèle : Huihui-Qwen3.5-35B-A3B-abliterated, une variante « abliterée » de Qwen 3.5 dans laquelle les garde-fous d’alignement ont été supprimés.
Protagor évoque de son côté l’idée de louer de la capacité GPU sur un fournisseur cloud spécialisé pour faire tourner un Qwen 3.5 local capable d’analyser des centaines de gigaoctets de données exfiltrées, identifier les panels d’administration, raisonner sur les chemins d’accès – bref, déléguer à l’IA le tri manuel pénible des butins. Mais il l’admet lui-même : “je n’ai aucune idée de comment faire ça, mais je pense que c’est possible.” L’analyse autonome de données volées par LLM auto-hébergé reste un objectif annoncé, pas une capacité opérationnelle, ce qui rejoint les prédictions sur la montée progressive de l’IA offensive.
Le playbook Black Basta recyclé pour mieux extorquer
Les chats fuités révèlent que The Gentlemen étudie attentivement les opérations concurrentes, et tout particulièrement la fuite massive des conversations internes de Black Basta de février 2025. Les membres analysent les captures des chats Black Basta pour comprendre leur méthodologie de phishing et d’accès initial : diffusion massive via l’infrastructure Microsoft, ou compromission préalable de boîtes corporate suivie d’envois depuis des comptes internes whitelistés, avec des messages courts, collègue-à-collègue (« Hi, look at the document »), avec impersonation d’employés internes après lecture des fils existants pour rédiger des réponses crédibles.
Le point qui retient le plus leur attention est la stratégie de code signing. Black Basta aurait utilisé VirusTotal pour identifier des certificats de signature de code légitimes, puis lancé des attaques de brute force sur leurs clés privées afin de signer ses binaires comme s’ils provenaient d’éditeurs de confiance. The Gentlemen présente cette technique comme un modèle à reproduire. SOCRadar confirme que le groupe se procure activement des certificats EV/OV PFX pour signer son locker et ses outils post-exploitation. La dynamique de re-circulation est claire : chaque fuite documentée d’un acteur majeur enrichit le manuel commun de l’écosystème RaaS.
Du cabinet de conseil britannique à l’entreprise turque : l’extorsion en chaîne
Parmi les négociations documentées, un cas illustre la sophistication des tactiques d’extorsion du groupe. En avril 2026, une société de conseil en informatique britannique déclare publiquement avoir été victime d’une brèche. Sa direction affirme dans une lettre ouverte que seules “des données commerciales typiques” auraient été consultées.
La fuite raconte une autre histoire. Dans ce qui ressemble à un canal personnel de zeta88, l’administrateur rédige une demande de rançon détaillant ce que The Gentlemen affirme avoir réellement exfiltré : données d’infrastructure clients, secrets, credentials OAuth et autres. La lettre cible explicitement les risques d’exposition GDPR comme levier de pression. Deux semaines plus tard,les détails sont affichés sur le site de leak de The Gentlemen. Un cas de négociation détaillé dans la fuite fait apparaître une demande initiale de 250 000 dollars finalement encaissée à 190 000 dollars.
C’est la suite qui change la donne.Les chats internes montrent que les données exfiltrées de l’entreprise britannique ont été réutilisées pour attaquer une entreprise turque cliente de celle-ci. The Gentlemen obtient l’accès initial chez la cible turque via un équipement VPN vulnérable, et zeta88 crée lui-même un compte de service backdoor sur Okta. Pendant la campagne, il s’appuie explicitement sur un document de “Transfer/Migration” interne décrivant les travaux réalisés par l’entreprise britannique pour son client turc, et hébergé sur la plateforme collaborative du prestataire. Ce document, exfiltré lors de la première brèche, sert directement à orienter la seconde intrusion.
Le groupe discute ensuite, dans ses canaux internes, de la meilleure façon de monétiser cet enchaînement. L’idée retenue : publier la société turque sur le DLS (Data Leak Site) en mentionnant explicitement que l’accès a été obtenu via la consultancy britannique compromise. Double bénéfice. D’abord, punir la société de conseils, que les opérateurs décrivent en termes peu flatteurs ; ensuite, augmenter la pression sur la victime turque en lui montrant exactement comment elle a été pénétrée, pour l’inciter à engager des poursuites contre le prestataire.
Le mécanisme transforme l’extorsion classique en arme de réputation triangulée, la victime A est utilisée comme accès puis comme moyen de pression sur la victime B, et le DLS devient un instrument juridique offensif autant qu’une vitrine de honte.
Calibration financière et extorsion ciblée
Les chats éclairent aussi la mécanique financière. Le groupe utilise des wallets non-custodial et fragmente ses transactions pour éviter le traçage AML, avec des conversions BTC vers cash via des intermédiaires locaux avec environ 800 transactions évoquées pour fragmenter l’origine des fonds. zeta88 maintient un modèle de lettre de relance générique, adaptable à chaque entreprise extorquée, qui insiste sur les coûts du non-paiement : exposition réglementaire, atteinte à la réputation, impact opérationnel.
SOCRadar documente une pratique convergente : le groupe calibre le montant de la rançon sur les données ZoomInfo de revenus de la victime. Un cas observé montre les opérateurs informés du plafond de 10 millions de dollars de couverture cyber-assurance d’une cible, avec une demande calée précisément sur ce plafond. La mécanique entre en résonance avec la tendance documentée en 2025 : moins de victimes paient, mais les montants augmentent pour celles qui cèdent.
Le regard porté sur la concurrence
Les chats montrent que zeta88 évalue en permanence les programmes RaaS rivaux selon trois axes : force de marque, fiabilité des paiements et levier laissé aux affiliés (pourcentage et contrôle des négociations). DragonForce figure parmi les rares programmes qu’il recommanderait, LockBit est cité pour son outillage, Anubis et CHAOS sont jugés sur le pourcentage reversé. Kraken apparaît comme un groupe dont des membres ont contacté qbit et qui pourraient envisager de rejoindre The Gentlemen. D’autres, comme Gunra ou Hyflock, sont écartés sans ménagement. Cette veille concurrentielle permanente confirme un écosystème RaaS où chaque acteur observe et emprunte les pratiques des autres.
Une fuite qui ne ralentit pas le programme
Eli Smadja formule le pronostic le plus probable : “C’est un coup pour la réputation, mais nous ne nous attendons pas à ce que cela perturbe significativement leurs opérations ou réduise leur efficacité.” Selon lui, peu d’éléments du leak constituent un avantage technique transférable : “Ce qu’ils ont construit est le produit de l’expérience, et rien de ce qui est divulgué ne révèle de formule secrète ou d’avantage technique unique.”
La trajectoire post-leak lui donne raison. Le 16 mai 2026, les administrateurs d’une nouvelle version de BreachForums annoncent que The Gentlemen devient partenaire officiel du forum, avec en contrepartie un accès à de l’infrastructure et du support opérationnel. Quelques jours plus tard, Hackread observe la bannière BreachForums affichée sur le site onion du groupe. Le programme ne se contente pas de survivre, il consolide ses partenariats publics. Un précédent historique va dans le même sens : Conti a survécu plusieurs mois à sa propre fuite, Black Basta s’est recomposé et a continué. L’opérationnel des programmes RaaS ne se volatilise pas avec la publication d’un dump de chats.
Ce que cette fuite confirme pour les équipes de cybersécurité
L’intérêt réel pour les équipes de sécurité ne tient pas à la perspective d’une disparition rapide de The Gentlemen, mais à la documentation publique de l’ensemble de leur chaîne d’attaque. Plusieurs points méritent l’attention.
Les équipements réseau exposés sur Internet, FortiGate, Cisco et tout VPN management exposé à Internet, restent le premier vecteur d’entrée, avec un suivi en temps réel de milliers de panels par le groupe. Les identifiants exposés par infostealers alimentent directement le pipeline d’accès : les credentials de collaborateurs, sous-traitants et partenaires figurent probablement déjà dans les bases que consultent ces opérateurs. Le cas du cabinet de conseil britannique et de l’entreprise turque démontre par ailleurs qu’un prestataire compromis peut devenir un vecteur d’attaque directe contre ses propres clients, un risque de supply chain que cette fuite documente avec une rare précision. Enfin, la frontière entre tooling légitime et arsenal offensif continue de se brouiller : Velociraptor signé, Cloudflare Tunnels, AnyDesk, Rclone, ces outils ne sont pas malveillants en soi, mais leur présence soudaine dans un environnement où ils n’ont pas vocation à exister constitue un signal. Bloquer l’inconnu ne suffit plus ; il faut inventorier le connu et alerter sur l’apparition de l’admissible-mais-non-attendu.
Sources :
Check Point Research : Thus Spoke…The Gentlemen
Check Point Research : DFIR Report – The Gentlemen & SystemBC: A Sneak Peek Behind the Proxy
Hackread : The Gentlemen Ransomware Gang Hit by Internal Breach, Operations Exposed
SOCRadar : Inside The Gentlemen Ransomware Leak: When the Hunter Becomes the Hunted
KELA Cyber : Inside The Gentlemen Leak: How a New RaaS Captured 10% of 2026’s Global Ransomware Victims
InfoStealers (Hudson Rock) : How The Gentlemen Ransomware Group Operates: A Blueprint Built on Infostealer Credentials
