Am 4. Mai 2026 gibt der Administrator des RaaS-Programms The Gentlemen in einem Underground-Forum zu, dass ein Teil seiner internen Datenbank durchgesickert ist. Der Datensatz, 16,22 GB an internen Archiven, wird für 10.000 Dollar in Bitcoin auf Exploit(.)in zum Verkauf angeboten und am nächsten Tag auf Cracked und Nulled (zwei Underground-Foren für den Weiterverkauf von gehackten Daten und Tools) weiterverbreitet. Die Gruppe, die seit Mitte 2025 eine der aktivsten der Welt ist und laut Check Point in den ersten fünf Monaten des Jahres 2026 etwa 332 Opfer veröffentlicht hat, sieht sich der Behandlung ausgesetzt, die sie ihren Zielen auferlegt: Exfiltration, Proben als Beweismittel, Drohung mit vollständiger Offenlegung.
Von einer Lücke bei einem Hosting-Anbieter bis zur Entlarvung der Gruppe.
Ausgangspunkt ist ein Angriff auf 4VPS, einen Hosting-Anbieter, der dafür bekannt ist, als Infrastruktur für viele Underground-Akteure zu dienen. Am 2. Mai 2026 erklärte 4VPS öffentlich, dass seine Website und sein Abrechnungssystem kompromittiert worden seien, behauptete jedoch, dass seine zentralen Systeme und Kundendaten nicht betroffen seien. Ein Teil der Infrastruktur von The Gentlemen war jedoch auf diesen Anbieter angewiesen, und die Angreifer sollen dort Zugangsdaten zu einem NAS der Gruppe erbeutet haben.
Der von den Forschern wiederhergestellte öffentliche Ausschnitt ist nur ca. 44,4 MB groß, also ein winziger Bruchteil des gesamten Spiels. Dieses Fragment reicht jedoch aus, um einen bedeutenden Teil der internen Funktionsweise zu rekonstruieren. Es enthält eine Shadow-Datei, in der die Benutzerkonten und Passworthashes des Servers aufgelistet sind, und vor allem Gespräche zwischen Betreibern und Mitgliedern vom 7. November 2025 bis zum 30. April 2026, fast sechs Monate Historie, die auf die internen Kanäle general, INFO, TOOLS und PODBOR aufgeteilt sind. In diesen Kanälen koordinieren die Mitglieder aktuelle Einbrüche, tauschen EDR-Killer-Kits aus, diskutieren über Infrastruktur und Backend, prüfen CVEs und Exploitationspfade, teilen Verhandlungsaufzeichnungen und diskutieren über die Aufteilung von Zahlungen. Hinzu kommen vollständige Transkripte von Lösegeldverhandlungen und die intern verwendeten Bitcoin-Adressen.
Die öffentliche Antwort des Administrators am 4. Mai steht im Gegensatz zur Ernsthaftigkeit des Dumps. Der Tonfall ist bewusst abwertend gegenüber dem Verkäufer, und die Abfolge wechselt schnell zu dem, was er als „interessantere“ Themen bezeichnet: komplette Neugestaltung der Kommunikationsstruktur, Einsatz eines neuen NAS mit unbegrenztem Speicher, eine Reihe von Locker-Updates – Entfernung von Hardware-Haltepunkten, NTDLL-Unhooking, ETW-Patching, um Event Tracing für Windows zu neutralisieren. Eine bewusste Art zu signalisieren, dass das Programm weiterläuft.
Neun Konten, ein Gesamtadministrator und eine Unternehmensstruktur.
Der Leak deckt eine kleinere Organisation auf, als es die Menge der veröffentlichten Opfer vermuten lässt. Check Point Research identifiziert neun in den Chats aktive Konten – Kunder, qbit, JeLLy, Protagor, zeta88, Bl0ck, Wick, quant und mAst3r – und hatte bereits auf Basis der auf VirusTotal gesammelten Proben acht verschiedene TOX-IDs ausgemacht. The Gentlemen dreht sich um einen Kern von weniger als einem Dutzend Betreibern, mit einer größeren, aber schwer zu zählenden Anzahl von Affiliates.
In der Mitte steht zeta88, höchstwahrscheinlich die gleiche Person wie die historische Identität hastalamuerte. Vor The Gentlemen leitete hastalamuerte laut SOCRadar ein Team von Affiliates namens ArmCorp, das mit dem Lösegeldnehmer Qilin in Verbindung stand. Im Juli 2025 beschuldigte er Qilin im RAMP-Forum öffentlich, ihm 48.000 US-Dollar an unbezahlten Provisionen vorzuenthalten. Fünf Tage vor diesem Post taucht bereits die erste bekannte Probe des Lockvogels The Gentlemen auf VirusTotal auf – ein Beweis dafür, dass die Infrastruktur des neuen Programms lange vor dem öffentlichen Bruch vorbereitet wurde.
Zeta88 vereint alle strukturierenden Rollen in sich: Er baut und pflegt den Locker sowie das RaaS-Panel (Linux mit Containern und Tor-Front), verwaltet die GPO-Verbreitungsmechanik, wählt die Ziele aus und verteilt sie an Teams von zwei bis drei Personen, verwaltet die Zahlungen und führt die Verhandlungen. Die Chats zeigen, dass er auch regelmäßig selbst Hand anlegt: Seine TOX ID taucht in vier der auf VirusTotal dokumentierten Kampagnen auf, und mindestens ein Gespräch zeigt ihn, wie er selbst den Locker bei einem Opfer einsetzt.
Unter dieser zentralen Verwaltung übernehmen zwei Operatoren die wiederkehrende Offensivarbeit. qbit ist der Mann vor Ort: Er scannt und filtert Fortinet-VPNs und andere Edge-Geräte, führt Aufklärung durch, stellt Persistenz her – insbesondere über Cloudflare-Tunnel und Zero Trust – und manipuliert Tools wie NetExec, RelayKing oder PrivHound gegen NTLM-Konfigurationen. Er fordert regelmäßig aktualisierte EDR-Killer-Kits und Handbücher zum Sperren von ESXi-Umgebungen an. quant ist auf logbasierten Zugriff spezialisiert: Er unterhält einen proprietären Parser und Credential-Sammler namens buildx641, der sich auf vssadmin, Shadow-Kopien, ntds.dit und SYSTEM-Kopien stützt. Er hat in einen „Brute Server“ investiert, der für das Knacken von Hashes in großem Maßstab zuständig ist (Threadripper PRO, 128 GB RAM, RTX 5090).
Die anderen Konten übernehmen spezialisiertere Rollen. Wick fungiert laut SOCRadar als Senior Operator und Trainer, indem er interne Tradecraft-Anleitungen über den Einsatz von Velociraptor, den Diebstahl von Browser-Sitzungen oder das Zusammenstellen von Freigaben verfasst. JeLLy trägt mit einer Entwicklung zum Extrahieren von Browserberechtigungen zum Tooling bei. Kunder teilt ein in Go geschriebenes SOCKS-Implantat mit seinem eigenen Panel. Protagor beteiligt sich direkt an einigen Einbrüchen.
Die Organisation als solche wird von Eli Smadja, Gruppenmanager für Produktforschung und -entwicklung bei Check Point, explizit beschrieben: „Die klare Verteilung der Verantwortlichkeiten innerhalb der Gruppe spielt eine große Rolle. Wie in jeder gut geführten Organisation führen definierte Rollen und Workflows direkt zu einer höheren Produktivität und in ihrem Fall zu einem größeren Volumen an erfolgreichen Einbrüchen.“ Das Programm behält übrigens eine ungewöhnlich großzügige Umsatzverteilung bei: 90 % für den Partner, 10 % für den Operator, was dazu beiträgt, seine Fähigkeit zu erklären, schnell erfahrene Operatoren anzuziehen.
Eine industrialisierte Angriffskette rund um Edges und Infotealer
Der von den Chats aufgezeigte operative Workflow ist standardisiert, aber gut eingespielt. Der anfängliche Zugriff zielt mehrheitlich auf im Internet exponierte Geräte ab – VPNs, Firewalls, Management-Schnittstellen – mit einer deutlichen Präferenz für Fortinet FortiGate und Cisco. Die Gruppe unterhält sogar ein internes HTML-Dashboard, das Tausende von exponierten FortiGate-Panels kontinuierlich verfolgt, mit Status, Gerätename und direktem Verbindungslink. Credential-Tests werden auf dedizierte Hardware verteilt, und gültiger Zugriff wird sofort nach Zielwert sortiert.
Es werden mehrere Vektoren kombiniert: Brute Force gegen Web- oder VPN-Panels, Ausnutzung bekannter CVEs und Kauf von Zugängen bei Drittbrokern. Drei Schwachstellen werden in den Chats explizit verfolgt: CVE-2024-55591 (FortiOS Management Interface), CVE-2025-32433 (Erlang SSH angewandt auf Cisco-Umgebungen) und CVE-2025-33073 (relay NTLM, integriert über RelayKing in die Standardpipeline zur Zielgenerierung).
Der Kern ihrer Zugriffsökonomie ist jedoch nicht der Zero-Day-Exploit. Wie Hudson Rock anhand der Check Point-Analyse zusammenfasst, gehen die Betreiber, anstatt „teure Zero-Days zu verbrennen“, systematisch den Weg des geringsten Widerstands: das massive Ökosystem gestohlener Credentials. In den Chats werden Screenshots von Suchanfragen in Leaking Engines wie Snusbase ausgestellt, um gültige Logins von Mitarbeitern aus den Logs von Infodealern zu identifizieren. Diese Logik ist im Organigramm formalisiert: quant wird von Check Point ausdrücklich als der für „credential logs“ zuständige Operator kategorisiert, mit der Aufgabe, ein schlummerndes Infostealer-Log in einen funktionierenden Zugang zu einer OWA-, Microsoft 365- oder Firmen-VPN-Umgebung zu verwandeln.
Sobald der Zugang erlangt wurde, ist das Schema klassisch, aber methodisch: Erkennung von Active Directory, Missbrauch von Zertifikaten, Eskalation lokaler Privilegien, um Domain Admin zu erreichen, Neutralisierung von EDR und Antivirus, Seitwärtsbewegung, Harvest von Credentials und Browser-Sitzungen, um den Zugang zu SaaS-Diensten wiederzuverwenden, Exfiltration in eine über Rclone gemountete Cloud, koordinierter Einsatz des Lockers. Für die Datenexfiltration kombiniert das Cloud-Mounting-Arsenal verschiedene Tools wie Rclone und RcloneView und andere.
Der endgültige Einsatz beruht auf einem besonders aggressiven Mechanismus. Sobald ein Domaincontroller kompromittiert ist, verwendet der Operator das Locker-Flag --gpo, das eine Gruppenrichtlinie mit dem Namen „System Update“ und eine geplante Aufgabe erstellt, die über SYSVOL an alle Rechner in der Domäne verteilt wird. Das Ergebnis: Bei der nächsten Aktualisierung der Gruppenrichtlinie wird die Ransomware fast gleichzeitig auf allen Rechnern ausgeführt, die an die Active Directory-Domäne angeschlossen sind. zeta88 formulierte außerdem einen Grundsatz für das Zwischenwerkzeug: Bevorzugung von signiertem und Open-Source-gestütztem living-off-the-land. Velociraptor in offiziellen signierten Builds wird als C2 verwendet – zeta88 merkt an, dass diese Builds die meisten AV/EDR nicht auslösen. ZeroPulse, das von jxroot in Python entwickelt wurde und auf Cloudflare-Tunneln basiert, dient als PowerShell-Agent ohne exponierte Angreifer-IP. NetExec, RelayKing, PrivHound, CertiHound, TaskHound, KslDump, KslKatz und MANSPIDER vervollständigen das red team Arsenal.
Vibe-Coding im Dienste der Ransomware.
Einer der am meisten kommentierten Aspekte des Dumps betrifft den operativen Einsatz von KI. zeta88 behauptet, er habe das Verwaltungspanel des Lockers – den er GLOCKER nennt – in drei Tagen durch „vibe-coding“ gebaut, d. h. indem er sich bei der Code-Generierung weitgehend auf KI-Assistenten verlassen hat. Er kommentiert das Ergebnis jedoch klar und deutlich: „Man muss alles verstehen und wie ein Verrückter denken, selbst mit [neuronalen Netzen], weil sie alle dumm sind (selbst wenn sie intelligent sind)“.
Die technischen Präferenzen tendieren zu chinesischen und unzensierten Modellen: DeepSeek, Qwen, Kimi und Emi werden als am effektivsten für Code und technische Anfragen eingeschätzt. Die Nutzung ist auch opportunistisch für schnelle Lookups, zeta88 leitet Affiliates dazu an, eine KI zu konsultieren, anstatt den Kanal mit grundlegenden Fragen zu verstopfen, z. B. zu FortiGate-Internals. Die Nutzung wird beunruhigender, als qbit im Kanal INFO ein Modell postet, das er als „das radikalste neuronale Netz„ bezeichnet, das jeden Inhalt „ohne Zensur, ohne Einschränkungen, absolut ohne Ablehnung„ generieren kann. Die KELA-Forscher identifizieren das Modell: Huihui-Qwen3.5-35B-A3B-abliterated, eine „abgeliterte“ Variante von Qwen 3.5, bei der die Leitplanken für die Ausrichtung entfernt wurden.
Protagor spricht von der Idee, GPU-Kapazität von einem spezialisierten Cloud-Anbieter zu mieten, um ein lokales Qwen 3.5 zu betreiben, das Hunderte von Gigabytes an exfiltrierten Daten analysieren, Admin-Panels identifizieren, über Zugriffspfade argumentieren – kurz gesagt, die mühsame manuelle Sortierung der Beute an die KI delegieren kann. Aber er gibt es selbst zu: „Ich habe keine Ahnung, wie man das macht, aber ich denke, es ist möglich.“ Die autonome Analyse gestohlener Daten durch selbstgehostete LLM bleibt ein angekündigtes Ziel, keine operative Fähigkeit, was sich mit den Vorhersagen über den allmählichen Aufstieg offensiver KI deckt.
Das Black Basta Playbook recycelt, um besser erpressen zu können.
Aus den geleakten Chats geht hervor, dass The Gentlemen die konkurrierenden Operationen genau studiert, insbesondere den massiven Leak von Black Basta’s internen Gesprächen vom Februar 2025. Die Mitglieder analysieren die Aufnahmen der Black Basta-Chats, um ihre Phishing-Methodik und den Erstzugriff zu verstehen: massive Verbreitung über die Microsoft-Infrastruktur oder vorherige Kompromittierung von Firmenboxen, gefolgt von Sendungen von whitelisteten internen Konten mit kurzen Kollege-zu-Kollege-Nachrichten („Hi, look at the document“), mit Impersonation interner Mitarbeiter nach dem Lesen bestehender Threads, um glaubwürdige Antworten zu verfassen.
Der Punkt, der ihre Aufmerksamkeit am meisten erregt, ist die Code-Signing-Strategie. Black Basta soll VirusTotal benutzt haben, um legitime Code-Signing-Zertifikate zu identifizieren, und dann Brute-Force-Angriffe auf deren private Schlüssel gestartet haben, um seine Binärdateien so zu signieren, als ob sie von vertrauenswürdigen Anbietern stammen würden. The Gentlemen stellt diese Technik als nachahmenswertes Modell dar. SOCRadar bestätigt, dass die Gruppe aktiv EV/OV PFX-Zertifikate beschafft, um ihr Locker und ihre Post-Operation-Tools zu signieren. Die Dynamik der Rezirkulation ist klar: Jedes dokumentierte Leck eines wichtigen Akteurs bereichert das gemeinsame Handbuch des RaaS-Ökosystems.
Von der britischen Beratungsfirma zum türkischen Unternehmen: Erpressung in Kettenreaktion.
Unter den dokumentierten Verhandlungen gibt es einen Fall, der die ausgefeilten Erpressungstaktiken der Gruppe veranschaulicht. Im April 2026 erklärte eine britische IT-Beratungsfirma öffentlich, dass sie Opfer einer Sicherheitslücke geworden war. Seine Geschäftsleitung behauptet in einem offenen Brief, dass nur „typische Geschäftsdaten“ abgerufen worden seien.
Das Leck erzählt eine andere Geschichte. In etwas, das wie ein persönlicher Kanal von zeta88 aussieht, verfasst der Administrator eine Lösegeldforderung, in der er detailliert darlegt, was The Gentlemen nach eigenen Angaben tatsächlich exfiltriert haben: Kundeninfrastrukturdaten, Geheimnisse, OAuth-Zertifikate und anderes. Der Brief zielt explizit auf die Risiken der GDPR-Exposition als Druckmittel ab. Zwei Wochen später wurden die Details auf der Leak-Website von The Gentlemen veröffentlicht. Ein in dem Leak detailliert beschriebener Verhandlungsfall zeigt eine ursprüngliche Forderung von 250.000 US-Dollar, die schließlich zu 190.000 US-Dollar eingelöst wurde.
Erst die Fortsetzung ändert die Lage.Interne Chats zeigen, dass die aus dem britischen Unternehmen exfiltrierten Daten wiederverwendet wurden, um ein türkisches Unternehmen anzugreifen, das Kunde des Unternehmens ist. The Gentlemen verschafft sich über eine verwundbare VPN-Ausrüstung den ersten Zugang beim türkischen Ziel, und zeta88 richtet selbst ein Backdoor-Service-Konto bei Okta ein. Während der Kampagne stützt er sich explizit auf ein internes „Transfer/Migration“-Dokument, das die Arbeit beschreibt, die das britische Unternehmen für seinen türkischen Kunden geleistet hat, und das auf der Kollaborationsplattform des Dienstleisters gehostet wird. Dieses Dokument, das während des ersten Bruchs exfiltriert wurde, dient direkt zur Lenkung des zweiten Eindringens.
Die Gruppe diskutierte dann in ihren internen Kanälen, wie man diese Verkettung am besten monetarisieren könnte. Die Idee war, das türkische Unternehmen auf der Data Leak Site (DLS) zu veröffentlichen und dabei ausdrücklich zu erwähnen, dass der Zugang über die kompromittierte britische Consultingfirma erlangt wurde. Dies hätte zwei Vorteile. Erstens: Bestrafung der Beratungsfirma, die von den Betreibern in wenig schmeichelhaften Worten beschrieben wird; zweitens: Erhöhung des Drucks auf das türkische Opfer, indem ihm genau gezeigt wird, wie es eingedrungen ist, um es dazu zu bringen, rechtliche Schritte gegen den Anbieter einzuleiten.
Der Mechanismus verwandelt die klassische Erpressung in eine triangulierte Reputationswaffe: Opfer A wird als Zugang und dann als Druckmittel für Opfer B benutzt, und das DLS wird sowohl zu einem offensiven Rechtsinstrument als auch zu einem Schaufenster der Schande.
Finanzielle Kalibrierung und gezielte Erpressung
Die Chats beleuchten auch die finanziellen Mechanismen. Die Gruppe verwendet nicht-kustodiale Wallets und fragmentiert ihre Transaktionen, um AML-Tracking zu vermeiden, mit BTC-zu-Bargeld-Konvertierungen über lokale Vermittler mit rund 800 Transaktionen, die zur Fragmentierung der Geldherkunft angeführt werden. zeta88 pflegt eine generische Vorlage für Mahnschreiben, die an jedes erpresste Unternehmen angepasst werden kann und die Kosten der Nichtzahlung betont: regulatorische Gefährdung, Rufschädigung, betriebliche Auswirkungen.
SOCRadar dokumentiert eine konvergente Praxis: Die Gruppe kalibriert die Höhe des Lösegelds anhand der ZoomInfo-Einkommensdaten des Opfers. Ein beobachteter Fall zeigt, dass die Betreiber über die Obergrenze von 10 Millionen US-Dollar für die Cyber-Versicherung eines Opfers informiert wurden und die Forderung genau auf diese Obergrenze abgestimmt war. Diese Mechanik entspricht dem dokumentierten Trend im Jahr 2025: Weniger Opfer zahlen, aber die Beträge steigen für diejenigen, die nachgeben.
Der Blick auf die Konkurrenz
Die Chats zeigen, dass zeta88 die rivalisierenden RaaS-Programme ständig nach drei Gesichtspunkten bewertet: Markenstärke, Zuverlässigkeit der Zahlungen und Hebel, der den Affiliates gelassen wird (Prozentsatz und Kontrolle über die Verhandlungen). DragonForce gehört zu den wenigen Programmen, die er empfehlen würde, LockBit wird wegen seiner Werkzeuge genannt, Anubis und CHAOS werden nach dem Prozentsatz beurteilt, der ausgezahlt wird. Kraken erscheint als eine Gruppe, deren Mitglieder qbit kontaktiert haben und die sich vorstellen könnten, sich The Gentlemen anzuschließen. Andere, wie Gunra oder Hyflock, werden kurzerhand aussortiert. Diese ständige Konkurrenzbeobachtung bestätigt ein RaaS-Ökosystem, in dem jeder Akteur die Praktiken der anderen beobachtet und sich diese ausleiht.
Eine Flucht, die das Programm nicht bremst
Eli Smadja formuliert die wahrscheinlichste Prognose: „Es ist ein Schlag für den Ruf, aber wir erwarten nicht, dass es ihre Operationen wesentlich stören oder ihre Effizienz verringern wird.“ Seiner Meinung nach stellen nur wenige Elemente des Leaks einen übertragbaren technischen Vorteil dar: „Was sie gebaut haben, ist ein Produkt der Erfahrung, und nichts von dem, was geleakt wurde, enthüllt eine Geheimformel oder einen einzigartigen technischen Vorteil.“
Der Kurs nach dem Leak gibt ihm Recht. Am 16. Mai 2026 kündigten die Administratoren einer neuen Version von BreachForums an, dass The Gentlemen offizieller Partner des Forums wird und im Gegenzug Zugang zu Infrastruktur und operativer Unterstützung erhält. Einige Tage später beobachtet Hackread, wie das BreachForums-Banner auf der Onion-Website der Gruppe angezeigt wird. Das Programm überlebt nicht nur, sondern festigt auch seine öffentlichen Partnerschaften. Ein historischer Präzedenzfall deutet in die gleiche Richtung: Conti überlebte mehrere Monate nach seiner eigenen Flucht, Black Basta setzte sich neu zusammen und machte weiter. Das operative Geschäft von RaaS-Programmen löst sich nicht mit der Veröffentlichung eines Chat-Dumps in Luft auf.
Was dieser Leak für Cybersicherheitsteams bestätigt?
Das eigentliche Interesse für Sicherheitsteams liegt nicht in der Aussicht auf ein schnelles Verschwinden von The Gentlemen, sondern in der öffentlichen Dokumentation ihrer gesamten Angriffskette. Mehrere Punkte verdienen Aufmerksamkeit.
Im Internet exponierte Netzwerkgeräte– FortiGate, Cisco und jedes VPN-Management, das dem Internet ausgesetzt ist – bleiben der erste Eintrittsvektor, wobei die Gruppe Tausende von Panels in Echtzeit verfolgt. Die von Infostealern offengelegten IDs spe isen direkt die Zugangspipeline: Die Credentials von Mitarbeitern, Subunternehmern und Partnern sind wahrscheinlich bereits in den Datenbanken enthalten, die diese Betreiber durchsuchen. Der Fall des britischen Beratungsunternehmens und des türkischen Unternehmens zeigt zudem, dassein kompromittierter Anbieter zum Vektor für direkte Angriffe auf seine eigenen Kunden werden kann – ein Supply-Chain-Risiko, das dieser Leak mit seltener Präzision dokumentiert. Schließlich verschwimmen die Grenzen zwischen legitimen Tools und offensiven Arsenalen weiter: Velociraptor signiert, Cloudflare Tunnels, AnyDesk, Rclone – diese Tools sind nicht per se bösartig, aber ihre plötzliche Präsenz in einer Umgebung, in der sie eigentlich nicht existieren sollten, stellt ein Signal dar. Es reicht nicht mehr aus, das Unbekannte zu blockieren; man muss das Bekannte inventarisieren und vor dem Auftauchen des Zulässigen-aber-nicht-Erwarteten warnen.
Quellen:
Check Point Research: Thus Spoke…The Gentlemen.
Check Point Research: DFIR Report – The Gentlemen & SystemBC: A Sneak Peek Behind the Proxy.
Hackread: The Gentlemen Ransomware Gang Hit by Internal Breach, Operations Exposed.
SOCRadar : Inside The Gentlemen Ransomware Leak: When the Hunter Becomes the Hunted
KELA Cyber: Inside The Gentlemen Leak: How a New RaaS Captured 10% of 2026’s Global Ransomware Victims.
InfoStealers (Hudson Rock): Wie die Gentlemen Ransomware Group operiert: Ein Blueprint, der auf Infostealer Credentials aufgebaut ist
