El grupo de ransomware The Gentlemen se expande con nuevas herramientas de ataque
- Seguridad
Las nuevas herramientas personalizadas incluyen un backdoor y un ejecutable de ransomware de reciente desarrollo. La operación, activa en sectores como manufactura, servicios TI, salud y finanzas, destaca por su sofisticación y por el uso flexible de tácticas de intrusión.
Kaspersky ha publicado una investigación de su equipo GReAT que confirma la evolución acelerada del grupo de ransomware The Gentlemen, activo desde mediados de 2025 y ya presente en múltiples industrias a nivel global.
Según la compañía, el grupo ha incorporado nuevas herramientas diseñadas para ampliar su capacidad de intrusión y control previo al despliegue del ransomware, incluyendo un backdoor escrito en Go que permite recopilar información del sistema, ejecutar comandos y comunicarse bidireccionalmente con los atacantes. Este implante se despliega un día antes de la infección y oculta su consola para evitar detección.
Un grupo RaaS en expansión que perfecciona su arsenal técnico
Además, Kaspersky ha identificado un nuevo ransomware desarrollado en C, enfocado en sistemas Windows, que el grupo estaría probando en víctimas reales mientras amplía su arsenal técnico. Hasta ahora, The Gentlemen utilizaba principalmente un ransomware en Go de uso multiplataforma, lo que evidencia una estrategia de diversificación y experimentación continua.
El informe también revela que el grupo obtiene acceso inicial explotando servicios expuestos a Internet y credenciales comprometidas, y que podría estar colaborando con brokers de acceso inicial para infiltrarse en organizaciones con información valiosa. En algunos casos, el acceso a los sistemas se produjo mucho antes de la infección, utilizando técnicas no habituales para el grupo, lo que refuerza la hipótesis de participación de terceros actores.
Kaspersky destaca que The Gentlemen intentó incluso eliminar su solución de seguridad utilizando la herramienta kavrmvr.exe, diseñada para desinstalar productos de la compañía, aunque el intento fue bloqueado y marcado como malicioso.
Fatih Sensoy, experto de Kaspersky GReAT, advierte que el grupo está ganando reputación y atrayendo afiliados, y que la aparición de nuevas variantes más estables podría derivar en cadenas de ataque más complejas y escalables en los próximos meses.