Gli esperti di Kaspersky Lab hanno studiato i recenti attacchi del gruppo The Gentlemen e hanno scoperto nell’arsenale degli hacker una backdoor Go precedentemente sconosciuta, nonché un nuovo ransomware per Windows, scritto in C. A giudicare dalle funzioni incomplete, gli aggressori stanno ancora testando il malware Windows su un numero limitato di vittime.
I ricercatori scrivono che il gruppo di hacker Gentlemen ha iniziato a crescere solo all’inizio del 2026. Nella prima metà dell’anno, il gruppo è diventato uno dei dieci maggiori operatori di ransomware, a giudicare dal numero di vittime elencate sul sito di fuga di dati. Di norma, Gentlemen prende di mira le grandi aziende e le infrastrutture critiche in tutto il mondo. Tra le vittime del gruppo ci sono imprese manifatturiere e di costruzione, aziende informatiche, organizzazioni finanziarie e mediche, nonché operatori logistici. Il maggior numero di attacchi è stato registrato in Brasile, Cina, Indonesia, Tailandia e Taiwan.
Per ottenere l’accesso iniziale, gli hacker attaccano servizi Internet vulnerabili, gateway VPN e firewall e utilizzano credenziali rubate, deboli o predefinite.
I ricercatori ammettono che il gruppo collabora con broker di accesso (initial access broker o IaB), poiché in alcuni incidenti la compromissione è avvenuta molto prima del lancio del ransomware utilizzando metodi atipici per i The Gentlemen.
Dopo essere penetrati nella rete della vittima, gli hacker la studiano attentamente utilizzando SharpADWS, NetScan, Advanced IP Scanner e l’utilità netsh standard. Quest’ultimo viene utilizzato per intercettare il traffico che potrebbe contenere dati e password non crittografati. Per lo spostamento laterale, il gruppo utilizza PsExec e criteri di gruppo: il ransomware viene copiato nella directory NETLOGON e quindi lanciato contemporaneamente su più computer nel dominio.
Il giorno prima che i file vengano crittografati, gli aggressori implementano la propria backdoor Go sui sistemi delle vittime. Raccoglie dati come nome host, dominio, UUID e indirizzi IP locali, stabilisce una connessione persistente con il server di gestione, esegue comandi dell’operatore e genera anche proxy SOCKS. Ciò consente agli aggressori di continuare la ricognizione e spostarsi all’interno della rete compromessa.
Secondo gli esperti, il principale payload di cifratura utilizzato dal gruppo è un malware Go multipiattaforma che utilizza Curve25519 e XChaCha20. Per proteggersi dall’analisi automatica, il file binario richiede una password e, prima della crittografia, il malware può arrestare le macchine virtuali Hyper-V (per liberare i file del disco virtuale e quindi crittografarli), terminare processi e servizi che potrebbero bloccare l’accesso ai file e quindi eliminare le copie shadow e i registri eventi.
Inoltre, prima di lanciare il ransomware, gli aggressori tentano di disabilitare le soluzioni di sicurezza utilizzando la tecnica BYOVD, utilizzando driver ovviamente vulnerabili, modificando anche il registro e utilizzando i comandi di PowerShell.
La nuova variante Windows del malware, scritta in C, è stata finora riscontrata solo in pochi attacchi. I ricercatori scrivono che alcuni dei suoi parametri non sono stati ancora completamente implementati e gli elenchi delle eccezioni sono notevolmente più brevi di quelli della versione Go. Utilizza AES-256-GCM e RSA per la crittografia e, invece di Tox, il ransomware offre alle vittime di essere contattati tramite e-mail. I ricercatori ritengono che i membri di The Gentlemen stiano ancora testando la nuova build su reti reali, ma col tempo potrebbe trasformarsi in uno strumento più stabile e scalabile.
“Nonostante il gruppo The Gentlemen sia apparso di recente, sta rapidamente guadagnando reputazione tra i criminali informatici, attirando partner e sferrando attacchi di alto profilo. Il test di nuove varianti di ransomware scritte in linguaggio C indica che gli aggressori stanno attivamente migliorando le loro capacità. Nel prossimo futuro, ciò potrebbe portare alla nascita di catene di attacco più stabili e scalabili”, commenta Sergey Lozhkin, responsabile di Kaspersky GReAT in Asia, Africa e Medio Oriente
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response