El 4 de mayo de 2026, el administrador del programa The Gentlemen RaaS admitió en un foro clandestino que se había filtrado parte de su base de datos interna. El conjunto de datos, 16,22 GB de archivos internos, se puso a la venta por 10.000 dólares en Bitcoin en Exploit(.)in, y se difundió al día siguiente en Cracked y Nulled (dos foros clandestinos de reventa de datos y herramientas piratas). El grupo, uno de los más activos del mundo desde mediados de 2025, con unas 332 víctimas publicadas en los cinco primeros meses de 2026 según Check Point, se encuentra ahora sometido al mismo tratamiento que impone a sus objetivos: exfiltración, muestras como prueba, amenaza de exposición completa.
De la brecha en un proveedor de alojamiento a la exposición del grupo
El punto de partida fue un ataque a 4VPS, un proveedor de alojamiento conocido por proporcionar infraestructura a muchos actores clandestinos. El 2 de mayo de 2026, 4VPS declaró públicamente que su sitio web y su sistema de facturación se habían visto comprometidos, al tiempo que afirmaba que sus sistemas centrales y los datos de sus clientes no se habían visto afectados. Sin embargo, parte de la infraestructura de The Gentlemen se basaba en este proveedor de servicios, y se cree que los atacantes obtuvieron credenciales de acceso a un NAS perteneciente al grupo.
El extracto público recuperado por los investigadores sólo pesa unos 44,4 MB, una fracción ínfima del juego completo. Pero este fragmento es suficiente para reconstruir una parte significativa del funcionamiento interno. Contiene un archivo sombra que enumera las cuentas de usuario y los hashes de las contraseñas en el servidor, y sobre todo conversaciones entre operadores y afiliados desde el 7 de noviembre de 2025 hasta el 30 de abril de 2026, casi seis meses de historia repartidos en los canales internos general, INFO, TOOLS y PODBOR. En estos canales, los afiliados coordinan las intrusiones en curso, intercambian kitsEDR asesinos, discuten sobre infraestructura y backend, revisan CVE y rutas de exploits, comparten capturas de negociación y debaten sobre el reparto de pagos. A esto se añaden transcripciones completas de negociaciones de rescate y direcciones Bitcoin utilizadas internamente.
La respuesta pública del administrador el 4 de mayo contrasta con la gravedad del vertido. El tono es deliberadamente despectivo hacia el proveedor, y la secuencia cambia rápidamente a lo que él describe como temas «más interesantes»: una revisión completa de la estructura de comunicaciones, el despliegue de un nuevo NAS con almacenamiento ilimitado, una serie de actualizaciones del casillero -eliminación de los puntos de interrupción de hardware, desenganche de NTDLL, parcheado de ETW para neutralizar Event Tracing para Windows. Una forma deliberada de señalar que el programa continúa.
Nueve cuentas, un administrador total y una estructura corporativa
La filtración revela una organización más pequeña de lo que sugiere el volumen de víctimas publicadas. Check Point Research ha identificado nueve cuentas de chat activas -Kunder, qbit, JeLLy, Protagor, zeta88, Bl0ck, Wick, quant y mAst3r- y ya había identificado ocho TOX ID distintos a partir de muestras recogidas en VirusTotal. The Gentlemen gira en torno a un grupo central de menos de una docena de operadores, con un número mayor de afiliados difíciles de contar.
En el centro se encuentra zeta88, muy probablemente la misma persona que la identidad histórica hastalamuerte. Antes de The Gentlemen, según SOCRadar, hastalamuerte dirigía un equipo de afiliados llamado ArmCorp en conexión con el ransomwre Qilin. En julio de 2025, acusó públicamente a Qilin en el foro RAMP de retener 48.000 dólares en comisiones impagadas. Cinco días antes de este post, la primera muestra conocida de The Gentlemen locker ya aparecía en VirusTotal, prueba de que la infraestructura del nuevo programa había sido preparada mucho antes de su aparición pública.
Zeta88 desempeña todos los papeles clave: construye y mantiene el casillero y el panel RaaS (Linux con contenedores y frente Tor), administra el mecanismo de distribución de GPO, selecciona y distribuye objetivos a equipos de dos o tres personas, gestiona los pagos y lleva a cabo las negociaciones. Los chats muestran que también se ensucia las manos con regularidad: su TOX ID aparece en cuatro de las campañas documentadas en VirusTotal, y al menos una conversación le muestra desplegando él mismo el casillero a una víctima.
qbit es el hombre sobre el terreno: escanea y filtra las VPN de Fortinet y otros equipos periféricos, lleva a cabo tareas de reconocimiento, establece persistencia -sobre todo a través de túneles Cloudflare y Zero Trust- y manipula herramientas como NetExec, RelayKing o PrivHound contra configuraciones NTLM. Solicita con regularidad kits asesinos EDR actualizados y manuales para bloquear entornos ESXi. quant está especializado en el acceso a registros: mantiene un analizador y recopilador de credenciales propietario llamado buildx641, que se basa en vssadmin, shadow copies, ntds.dit y SYSTEM copies. Ha invertido en un «servidor bruto» dedicado a la ruptura de hash a gran escala (Threadripper PRO, 128 GB RAM, RTX 5090).
Las otras cuentas desempeñan funciones más especializadas. Según SOCRadar, Wick desempeña el papel de operador senior y entrenador, escribiendo guías internas sobre cómo desplegar Velociraptor, robar sesiones de navegador y montar recursos compartidos. JeLLy contribuye al desarrollo de herramientas para la extracción de credenciales de navegación. Kunder comparte un implante SOCKS escrito en Go con su propio panel. Protagor participa directamente en algunas intrusiones.
La organización como tal es descrita explícitamente por Eli Smadja, director de grupo de I+D de productos en Check Point: «La clara división de responsabilidades dentro del grupo desempeña un papel fundamental. Como en cualquier organización bien gestionada, las funciones y los flujos de trabajo definidos se traducen directamente en una mayor productividad y, en su caso, en un mayor volumen de intrusiones con éxito.» El programa también mantiene un reparto de ingresos inusualmente generoso: 90% para el afiliado, 10% para el operador, lo que ayuda a explicar su capacidad para atraer rápidamente a operadores experimentados.
Una cadena de ataque industrializada en torno a los edges y los infostealers
El flujo operativo descrito en los chats está estandarizado pero bien perfeccionado. El acceso inicial se dirige principalmente a los equipos expuestos a Internet – VPN, cortafuegos, interfaces de gestión – con una marcada preferencia por Fortinet FortiGate y Cisco. El grupo mantiene incluso un tablero interno en HTML que rastrea continuamente miles de paneles FortiGate expuestos, con su estado, el nombre del equipo y un enlace de conexión directa. Las pruebas de credenciales se distribuyen en hardware dedicado, y los accesos válidos se clasifican inmediatamente por valor objetivo.
Se combinan varios vectores: fuerza bruta contra paneles web o VPN, explotación de CVE conocidos y compra de acceso a intermediarios de terceros. Tres vulnerabilidades se rastrean explícitamente en los chats: CVE-2024-55591 (interfaz de gestión de FortiOS), CVE-2025-32433 (Erlang SSH aplicado a entornos Cisco) y CVE-2025-33073 (relé NTLM, integrado mediante RelayKing en la canalización estándar de generación de objetivos).
Pero el corazón de su economía de acceso no es el exploit de día cero. Como resume Hudson Rock a partir del análisis de Check Point, en lugar de «quemar costosos zero-days», los operadores toman sistemáticamente el camino de menor resistencia: el ecosistema masivo de credenciales robadas. Los chats muestran capturas de pantalla de búsquedas en motores de filtración como Snusbase, para identificar inicios de sesión válidos de empleados a partir de registros de infosteadores. Esta lógica se formaliza en el organigrama: quant es categorizado explícitamente por Check Point como el operador encargado de los «registros de credenciales», con la tarea de transformar un registro infostealer inactivo en un acceso operativo a un entorno OWA, Microsoft 365 o VPN corporativa.
Una vez obtenido el acceso, el patrón es clásico pero metódico: reconocimiento de Active Directory, abuso de certificados, escalada de privilegios locales para llegar a Domain Admin, neutralización de EDRs y antivirus, movimiento lateral, recolección de credenciales y sesiones de navegador para reutilizar el acceso a servicios SaaS, exfiltración a la nube vía Rclone, despliegue coordinado del locker. Para la exfiltración de datos, el arsenal del montaje en la nube combina varias herramientas como Rclone y RcloneView, entre otras.
El despliegue final se basa en un mecanismo especialmente agresivo. Una vez comprometido un controlador de dominio, el operador utiliza la bandera --gpo en el casillero, que crea una política de grupo llamada «System Update» y una tarea programada distribuida a todas las máquinas del dominio a través de SYSVOL. El resultado: la próxima vez que se actualiza la política de grupo, el ransomware se ejecuta casi simultáneamente en todas las máquinas conectadas al dominio de Active Directory. zeta88 también ha formalizado un principio para las herramientas intermedias: favorecer que el código esté firmado y sea abierto. Velociraptor en compilaciones oficiales firmadas se utiliza como C2- zeta88 señala que estas compilaciones no activan la mayoría de los AV/EDR. ZeroPulse, desarrollado en Python por jxroot y basado en túneles Cloudflare, se utiliza como agente PowerShell sin exponer la IP del atacante. NetExec, RelayKing, PrivHound, CertiHound, TaskHound, KslDump, KslKatz y MANSPIDER completan el arsenal del equipo rojo.
La codificación vibrante al servicio del ransomware
Uno de los aspectos más comentados del vertedero tiene que ver con el uso operativo de la IA. zeta88 afirma haber construido el panel de administración del casillero -al que llama GLOCKER- en tres días utilizando vibe-coding, es decir, basándose en gran medida en asistentes de IA para generar código. Sin embargo, comenta lúcidamente el resultado: «tienes que entenderlo todo y pensar como un loco incluso con [las redes neuronales], porque son todas estúpidas (aunque sean inteligentes)».
Las preferencias técnicas se inclinan hacia los modelos chinos y sin censura: DeepSeek, Qwen, Kimi y Emi se consideran los más eficaces para consultas técnicas y de código. El uso también es oportunista para búsquedas rápidas, con zeta88 dirigiendo a los afiliados a consultar una IA en lugar de saturar el canal con preguntas básicas, por ejemplo sobre el funcionamiento interno de FortiGate. La práctica se vuelve más preocupante cuando qbit publica en el canal INFO un modelo que describe como «la red neuronal más radical«, capaz de generar cualquier contenido «sin censura, sin restricciones, absolutamente sin rechazo«. Los investigadores de KELA identifican el modelo como Huihui-Qwen3.5-35B-A3B-abliterated, una variante «abliterada» de Qwen 3.5 en la que se han eliminado las salvaguardas de alineación.
Por su parte,Protagor menciona la idea de alquilar capacidad de GPU a un proveedor especializado en la nube para ejecutar un Qwen 3.5 local capaz de analizar cientos de gigabytes de datos exfiltrados, identificar paneles de administración, razonar sobre rutas de acceso… en definitiva, delegar en la IA la tediosa clasificación manual del botín. Pero él mismo admite: «No tengo ni idea de cómo hacerlo, pero creo que es posible». El análisis autónomo de los datos robados por parte de LLM autoalojados sigue siendo un objetivo anunciado, no una capacidad operativa, lo que coincide con las predicciones sobre el aumento gradual de la IA ofensiva.
El libro de jugadas de Basta Negro se recicla para extorsionar mejor
Los chats filtrados revelan que The Gentlemen está estudiando cuidadosamente las operaciones rivales y, en particular, la filtración masiva de las conversaciones internas de Black Basta de febrero de 2025. Los miembros están analizando capturas de chats de Black Basta para comprender su metodología de phishing y acceso inicial: distribución masiva a través de la infraestructura de Microsoft, o compromiso previo de buzones corporativos seguido de envío desde cuentas internas en lista blanca, con mensajes cortos de colega a colega («Hola, mira el documento»), con suplantación de empleados internos tras leer hilos existentes para redactar respuestas creíbles.
El punto que más les llamó la atención fue la estrategia de firma de código. Black Basta supuestamente utilizaba VirusTotal para identificar certificados de firma de código legítimos y, a continuación, lanzaba ataques de fuerza bruta contra sus claves privadas para firmar sus binarios como si procedieran de editores de confianza. The Gentlemen presenta esta técnica como un modelo a reproducir. SOCRadar confirma que el grupo obtiene activamente certificados EV/OV PFX para firmar sus herramientas de taquilla y post-explotación. La dinámica de recirculación es clara: cada filtración documentada de un actor importante enriquece el manual común del ecosistema RaaS.
De la consultora británica a la empresa turca: una cadena de extorsión
Entre las negociaciones documentadas, un caso ilustra la sofisticación de las tácticas deextorsión del grupo. En abril de 2026, una consultora informática británica declaró públicamente que había sido víctima de una brecha. Sus directivos afirmaron en una carta abierta que sólo se había accedido a «datos empresariales típicos».
La filtración cuenta una historia diferente. En lo que parece un canal personal de zeta88, el administrador escribe una nota de rescate en la que detalla lo que The Gentlemen afirma haber exfiltrado realmente: datos de infraestructura de clientes, secretos, credenciales OAuth y mucho más. La carta apunta explícitamente a los riesgos de exposición GDPR como palanca. Dos semanas más tarde, los detalles se publicaron en el sitio de filtraciones de The Gentlemen. Un caso de negociación detallado en la filtración muestra una demanda inicial de 250.000 dólares, que finalmente se cobró en 190.000 dólares.
Chats internos muestran que los datos exfiltrados de la compañía británica fueron reutilizados para atacar a una empresa turca que era uno de sus clientes. The Gentlemen obtuvo acceso inicial al objetivo turco a través de un equipo VPN vulnerable, y el propio zeta88 creó una cuenta de servicio de puerta trasera en Okta. Durante la campaña, se basó explícitamente en un documento interno de «Transferencia/Migración» que describía el trabajo realizado por la empresa británica para su cliente turco, y alojado en la plataforma colaborativa del proveedor de servicios. Este documento, filtrado durante la primera violación, se utilizó directamente para dirigir la segunda intrusión.
El Grupo debatió entonces, en sus canales internos, la mejor manera de rentabilizar esta cadena de acontecimientos. La idea era publicar la empresa turca en el DLS (Data Leak Site), mencionando explícitamente que el acceso se había obtenido a través de la consultora británica comprometida. Doble beneficio. En primer lugar, castigar a la consultora, que los operadores describen en términos poco halagüeños; en segundo lugar, aumentar la presión sobre la víctima turca mostrándole exactamente cómo fue penetrada, para animarle a emprender acciones legales contra el proveedor de servicios.
El mecanismo transforma la extorsión clásica en un arma de reputación triangulada, con la víctima A utilizada como acceso y luego como medio de ejercer presión sobre la víctima B, y el DLS se convierte en un instrumento jurídico ofensivo tanto como en un escaparate de la vergüenza.
Calibración financiera y extorsión selectiva
Las charlas también arrojan luz sobre la mecánica financiera. El grupo utiliza monederos no custodiados y fragmenta sus transacciones para evitar el rastreo AML, con conversiones de BTC a efectivo a través de intermediarios locales con unas 800 transacciones mencionadas para fragmentar el origen de los fondos. zeta88 mantiene una plantilla de carta de reclamación genérica, adaptable a cada empresa extorsionada, que insiste en los costes del impago: exposición regulatoria, daño reputacional, impacto operativo.
SOCRadar documenta una práctica convergente: el grupo calibra el importe del rescate en función de los datos de ingresos de ZoomInfo de la víctima. En un caso observado, se informó a los operadores del límite de 10 millones de dólares del ciberseguro de un objetivo, y la petición de rescate se basó precisamente en este límite. La mecánica resuena con la tendencia documentada en 2025: menos víctimas pagan, pero las cantidades aumentan para las que lo hacen.
Un vistazo a la competencia
Los chats muestran que zeta88 evalúa constantemente los programas RaaS rivales en función de tres ejes: solidez de la marca, fiabilidad de los pagos y ventaja que deja a los afiliados (porcentaje y control de las negociaciones). DragonForce es uno de los pocos programas que recomendaría, LockBit es citado por sus herramientas, y Anubis y CHAOS son juzgados por el porcentaje pagado. Kraken parece ser un grupo cuyos miembros se han puesto en contacto con qbit y que podrían considerar unirse a The Gentlemen. Otros, como Gunra e Hyflock, son descartados sin contemplaciones. Esta vigilancia constante de la competencia confirma un ecosistema RaaS en el que cada actor observa y toma prestadas las prácticas de los demás.
Una filtración que no ralentiza el programa
Eli Smadja formula el pronóstico más probable: «Es un golpe a la reputación, pero no esperamos que perturbe significativamente sus operaciones o reduzca su eficacia». Pocos elementos de la filtración constituyen una ventaja técnica transferible, afirma: «Lo que han construido es producto de la experiencia, y nada de lo filtrado revela una fórmula secreta o una ventaja técnica única.»
La trayectoria posterior a la filtración le da la razón. El 16 de mayo de 2026, los administradores de una nueva versión de BreachForums anunciaron que The Gentlemen se había convertido en socio oficial del foro, a cambio de acceso a infraestructura y apoyo operativo. Unos días más tarde, Hackread descubrió el banner de BreachForums en el sitio web del grupo de la cebolla. El programa no sólo sobrevive, sino que consolida sus asociaciones públicas. Un precedente histórico apunta en la misma dirección: Conti sobrevivió a su propia filtración durante varios meses, Black Basta se reagrupó y siguió adelante. El aspecto operativo de los programas RaaS no desaparece con la publicación de un vertedero de gatos.
Lo que esta filtración confirma para los equipos de ciberseguridad
El verdadero interés para los equipos de seguridad no reside en la perspectiva de la rápida desaparición de The Gentlemen, sino en la documentación pública de toda su cadena de ataque. Varios puntos merecen atención.
Los equipos de red expuestos a Internet – FortiGate, Cisco y cualquier sistema de gestión de VPN expuesto a Internet – siguen siendo el principal vector de entrada, ya que el grupo vigila miles de paneles en tiempo real. Los identificadores expuestos por los infostealers alimentan directamente el conducto de acceso: las credenciales de los empleados, subcontratistas y socios probablemente ya figuran en las bases de datos consultadas por estos operadores. Los casos de la consultora británica y de la empresa turca también demuestran queun proveedor de servicios comprometido puede convertirse en un vector de ataque directo contra sus propios clientes, un riesgo para la cadena de suministro que esta filtración documenta con una precisión poco común. Por último, la línea que separa las herramientas legítimas del arsenal ofensivo sigue difuminándose: Velociraptor firmado, Cloudflare Tunnels, AnyDesk, Rclone, estas herramientas no son maliciosas en sí mismas, pero su presencia repentina en un entorno en el que no está previsto que existan es una señal. Ya no basta con bloquear lo desconocido; hay que inventariar lo conocido y advertir de la aparición de lo admisible-pero-no-esperado.
Fuente:
Check Point Research: Así hablaron… los caballeros
Check Point Research : Informe DFIR – The Gentlemen & SystemBC: Un vistazo detrás del proxy
SOCRadar : Dentro de la filtración del ransomware The Gentlemen: Cuando el cazador se convierte en cazado
KELA Cyber: Inside The Gentlemen Leak: How a New RaaS Captured 10% of 2026’s Global Ransomware Victims (en inglés)
InfoStealers (Hudson Rock): Cómo opera el grupo de ransomware Gentlemen: un plan basado en credenciales de infostealer.
