Nhóm mã độc ransomware The Gentlemen, một băng nhóm nói tiếng Nga, đã nhanh chóng vươn lên trở thành một trong những mối đe dọa tích cực nhất trong năm 2026, chỉ đứng sau Qilin về mức độ hoạt động của ransomware. Hoạt động của chúng cho thấy sự phát triển đáng kể trong chiến thuật và công nghệ của các tác nhân đe dọa hiện đại.
Phương Thức Hoạt Động Của The Gentlemen: Công Cụ Và Chiến Thuật Tấn Công
Bộ công cụ của The Gentlemen kết hợp khai thác các lỗ hổng CVE của Fortinet, các hoạt động được hỗ trợ bởi trí tuệ nhân tạo (AI), và một khung điều khiển và kiểm soát (C2) hoàn toàn tùy chỉnh mà hầu hết các công cụ bảo mật hiện tại thường khó phát hiện.
Khai Thác Lỗ Hổng Fortinet
Fortinet tiếp tục là mục tiêu ưa thích của The Gentlemen. Nhật ký Rocket.Chat của nhóm nhắc đến FortiGate tới 81 lần. Đặc biệt, CVE-2024-55591, một lỗ hổng bỏ qua xác thực trong FortiOS, được nhóm này nêu rõ là phương thức chính để xâm nhập vào mạng lưới nạn nhân.
Lỗ hổng này cho phép kẻ tấn công vượt qua các cơ chế xác thực thông thường, từ đó đạt được quyền truy cập trái phép vào các thiết bị FortiGate mà không cần thông tin đăng nhập hợp lệ. Việc khai thác thành công lỗ hổng CVE như vậy có thể dẫn đến việc chiếm quyền kiểm soát toàn bộ hệ thống hoặc các thiết bị mạng quan trọng.
Phân tích của Halcyon cũng đã phát hiện nhóm thực hiện tấn công brute-force khoảng 1.000 VPN Fortinet. Trong một số trường hợp, chúng sử dụng lại các mật khẩu yếu như gentlemen25 và gentle26 trên nhiều nạn nhân, cho thấy sự thiếu sót cơ bản trong quản lý bảo mật của một số tổ chức.
Khung Điều Khiển Tùy Chỉnh G-BOT
Sau khi xâm nhập vào mạng, nhóm triển khai một khung C2 tùy chỉnh có tên G-BOT. Khung điều khiển này, chưa từng được ghi nhận trước đây, hỗ trợ đường hầm SOCKS5 trên mỗi beacon và tải các builder lên các trang chia sẻ tệp tạm thời.
Việc sử dụng G-BOT thay thế các công cụ thương mại như Cobalt Strike khiến việc phát hiện trở nên khó khăn hơn đối với các đội ngũ an ninh mạng dựa vào các signature đã biết. Sự tùy chỉnh này cho phép nhóm tránh được các biện pháp bảo vệ truyền thống.
Tấn Công Hypervisor Trực Tiếp
The Gentlemen cũng nhắm mục tiêu trực tiếp vào các hypervisor. Mã độc mã hóa dữ liệu (locker) dành cho Linux của chúng tấn công Hyper-V Volume Manager, mã hóa ở cấp độ hypervisor.
Điều này có nghĩa là các tác nhân endpoint bên trong máy ảo không thể phát hiện cuộc tấn công, khiến quá trình phục hồi trở nên phức tạp hơn. Locker này thêm phần mở rộng .i8p14s vào các tệp bị mã hóa và để lại một ghi chú đòi tiền chuộc có tên README-GENTLEMEN.txt, cho thấy không có lớp hạ tầng nào nằm ngoài tầm ngắm của chúng.
Sử Dụng AI Trong Hoạt Động của Mã Độc Ransomware
The Gentlemen đã đưa AI từ một công nghệ mới lạ trở thành một phần thiết yếu trong hoạt động của chúng. Các tác nhân tham chiếu việc sử dụng các mô hình GPT và Claude để hỗ trợ đàm phán tiền chuộc. Một tác nhân mô tả chúng như những công cụ viết phản hồi tự động cho việc giao tiếp với nạn nhân.
Nhóm cũng thảo luận về việc thuê GPU trên vast.ai và chạy các mô hình AI không kiểm duyệt từ Hugging Face để phân loại một lượng lớn dữ liệu bị đánh cắp. Điều này giúp chúng xử lý hiệu quả thông tin nhạy cảm đã bị rò rỉ.
Công Cụ Đánh Cắp Thông Tin Xác Thực
Để đánh cắp thông tin xác thực, nhóm này dựa vào một loạt các công cụ chuyên biệt, bao gồm Phemedrone Stealer V2.3.2, LummaC2, XenAllPasswordPro, Chrome App-Bound Encryption Decryption, và DumpBrowserSecrets.
Những công cụ này trực tiếp trích xuất mật khẩu đã lưu từ các trình duyệt mà không kích hoạt lỗi đăng nhập. Điều này có nghĩa là nhật ký xác thực tiêu chuẩn sẽ không hiển thị bất kỳ điều gì bất thường, làm cho việc phát hiện trở nên khó khăn hơn.
Dữ liệu bị đánh cắp sau đó được chuyển ra ngoài thông qua rclone tới MEGA. Đây là một mô hình rò rỉ dữ liệu mà các nhóm mã độc ransomware đã sử dụng trong nhiều năm qua, thể hiện sự tinh vi trong các kỹ thuật tẩu thoát dữ liệu của chúng.
Cấu Trúc Tổ Chức Và Mối Liên Hệ Với Các Nhóm Khác
Nhóm The Gentlemen hoạt động mà không có văn phòng trung tâm hoặc cấu trúc bảng lương truyền thống. Chín tài khoản điều hành đã được xác định đang liên lạc qua các múi giờ khác nhau thông qua một phiên bản Rocket.Chat tự lưu trữ trên một trang web onion, với kế hoạch di chuyển sang một nền tảng dựa trên Rust.
Mô hình tinh gọn, phân tán này đánh dấu một sự thay đổi rõ ràng so với cấu trúc doanh nghiệp cứng nhắc mà các nhóm như Conti [https://cybersecuritynews.com/conti-ransomware-member-extradited/] đã từng duy trì. Sự linh hoạt này giúp The Gentlemen khó bị triệt phá hơn.
Vào tháng 5 năm 2026, nhóm nghiên cứu Ransom-ISAC đã trích xuất 3.366 tin nhắn từ máy chủ Rocket.Chat của The Gentlemen. Việc này đã tiết lộ các kế hoạch nội bộ, thảo luận về công cụ và chi tiết nhắm mục tiêu nạn nhân. Điều này cung cấp cái nhìn sâu sắc về cách nhóm mã độc ransomware này tổ chức hoạt động.
Các nhà phân tích tại Vectra AI [https://www.vectra.ai/blog/from-conti-to-the-gentlemen-tooling-evolved-gaps-didn] đã ghi nhận những phát hiện này trong một báo cáo. Họ nhận thấy rằng, mặc dù các công cụ của nhóm đã thay đổi đáng kể, những điểm yếu cốt lõi mà chúng khai thác trong mạng lưới nạn nhân vẫn gần như không thay đổi kể từ năm 2022. Điều này nhấn mạnh tầm quan trọng của việc giải quyết các lỗ hổng cơ bản.
Các tin nhắn bị rò rỉ cũng đã tiết lộ mối liên hệ giữa The Gentlemen và các thương hiệu ransomware trước đó. Một nhà đàm phán được biết đến với tên “Tinker” đã xuất hiện trong cả các cuộc trò chuyện của Black Basta và nhật ký của The Gentlemen, thực hiện cùng một vai trò hoạt động trong cả hai nhóm.
Một máy chủ nhà Matrix dùng chung, bestflowers247.online, đã có mặt trong các kho lưu trữ từ cả hai nhóm. Điều này củng cố liên kết hạ tầng đó bằng bằng chứng xác thực. Mô hình này cho thấy rằng các tác nhân mã độc ransomware thường không nghỉ hưu mà thay vào đó là đổi tên.
Những người tương tự mang kiến thức và quyền truy cập của họ từ doanh nghiệp tội phạm này sang doanh nghiệp tội phạm tiếp theo. Điều này làm cho việc triệt phá nhóm trở nên kém hiệu quả hơn nhiều so với những gì các nhà bảo vệ có thể hy vọng.
Phát Hiện Và Phòng Ngừa: Các Bước Khẩn Cấp Cho Tổ Chức Để Đảm Bảo An Ninh Mạng
Các chuyên gia bảo mật có các bước rõ ràng dựa trên những gì các cuộc trò chuyện bị rò rỉ đã tiết lộ. Điều này rất quan trọng để tăng cường an ninh mạng cho mọi tổ chức.
Kiểm Tra Thiết Bị Biên
Các đội ngũ an ninh mạng nên kiểm tra các thiết bị biên, bao gồm các thiết bị của Palo Alto, Fortinet, Citrix, F5 và Cisco, để đối chiếu với danh sách lỗ hổng CVE được thảo luận trong các cuộc trò chuyện của tác nhân. Việc này giúp xác định và vá các lỗ hổng tiềm ẩn trước khi chúng bị khai thác.
Chủ động rà soát các bản vá và cập nhật phần mềm bảo mật là yếu tố then chốt để giảm thiểu rủi ro. Các tổ chức cần thiết lập quy trình quản lý lỗ hổng hiệu quả để đảm bảo tất cả các thiết bị quan trọng đều được bảo vệ.
Giám Sát Truy Cập Dữ Liệu Quan Trọng
Việc coi truy cập vào NTDS.dit (Cơ sở dữ liệu Active Directory) và các bản sao lưu VSS (Volume Shadow Copy Service) như một cảnh báo mức độ nghiêm trọng cao ngay lập tức, thay vì một phát hiện pháp y được thực hiện vài tuần sau đó, có thể ngăn chặn các cuộc xâm phạm toàn miền trước khi chúng phát triển hoàn toàn.
Việc giám sát liên tục và phản ứng nhanh chóng đối với các hành vi truy cập đáng ngờ vào những tài nguyên nhạy cảm này là cực kỳ quan trọng. Triển khai các giải pháp SIEM (Security Information and Event Management) với các quy tắc cảnh báo tinh vi có thể hỗ trợ đáng kể trong việc này.
Phát Hiện Công Cụ Bất Thường
Tìm kiếm các công cụ như rclone, MEGAcmd, WinSCP và Velociraptor trên các máy chủ không có lý do để chạy chúng sẽ bổ sung một lớp cảnh báo sớm mà chỉ nhật ký không thể cung cấp. Các công cụ này thường được sử dụng cho mục đích hợp pháp, nhưng khi xuất hiện ở những vị trí không mong muốn, chúng có thể là dấu hiệu của một cuộc xâm nhập mạng.
Đội ngũ an ninh mạng nên triển khai các giải pháp EDR (Endpoint Detection and Response) và tạo các quy tắc phát hiện tùy chỉnh để giám sát việc sử dụng các công cụ này. Bất kỳ sự xuất hiện nào của chúng trên các hệ thống không được phép cần được điều tra ngay lập tức.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp (IOCs) được xác định từ các cuộc trò chuyện nội bộ của The Gentlemen, dù không phải là địa chỉ IP hay domain cụ thể, nhưng cung cấp thông tin quý giá về các công cụ và kỹ thuật mà nhóm này sử dụng.
- Tên mã độc Ransomware: The Gentlemen
- Lỗ hổng khai thác: CVE-2024-55591 (FortiOS authentication bypass)
- Mật khẩu Brute-force:
gentlemen25,gentle26 - Khung C2 tùy chỉnh: G-BOT
- Phần mở rộng tệp bị mã hóa:
.i8p14s - Ghi chú đòi tiền chuộc:
README-GENTLEMEN.txt - Mô hình AI được sử dụng: GPT, Claude (để đàm phán), các mô hình không kiểm duyệt từ Hugging Face (để phân loại dữ liệu)
- Công cụ đánh cắp thông tin xác thực: Phemedrone Stealer V2.3.2, LummaC2, XenAllPasswordPro, Chrome App-Bound Encryption Decryption, DumpBrowserSecrets
- Công cụ tẩu thoát dữ liệu: rclone (đến MEGA)
- Máy chủ liên lạc nội bộ: Rocket.Chat (trên onion site), kế hoạch di chuyển sang nền tảng Rust-based
- Máy chủ Matrix liên kết:
bestflowers247.online(liên kết với Black Basta)
Lưu ý: Các địa chỉ IP và tên miền được cố ý “khử độc” (ví dụ: [.]) để ngăn chặn việc giải quyết hoặc siêu liên kết ngẫu nhiên. Chỉ nên “tái kích hoạt” chúng trong các nền tảng threat intelligence được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
