{"id":1163,"date":"2026-06-11T18:32:30","date_gmt":"2026-06-11T18:32:30","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/11\/the-gentlemen-ransomware-se-cobra-478-victimas-y-puede-propagarse-como-un-gusano-cyberdefensa-mx\/"},"modified":"2026-06-11T18:32:30","modified_gmt":"2026-06-11T18:32:30","slug":"the-gentlemen-ransomware-se-cobra-478-victimas-y-puede-propagarse-como-un-gusano-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/11\/the-gentlemen-ransomware-se-cobra-478-victimas-y-puede-propagarse-como-un-gusano-cyberdefensa-mx\/","title":{"rendered":"The Gentlemen Ransomware se cobra 478 v\u00edctimas y puede propagarse como un gusano \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Un nuevo an\u00e1lisis de <b>los caballeros<\/b> La operaci\u00f3n ha revelado que el grupo de amenazas con motivaci\u00f3n financiera oper\u00f3 inicialmente como un afiliado responsable de realizar ataques de doble extorsi\u00f3n, mientras aprovechaba recursos de varios esquemas de ransomware como servicio (RaaS) como LockBit (tambi\u00e9n conocido como Tenacious Mantis), Qilin (tambi\u00e9n conocido como Pestilent Mantis) y Medusa (tambi\u00e9n conocido como Venomous Mantis).<\/p>\n<p>Seg\u00fan un <a href=\"https:\/\/catalyst.prodaft.com\/public\/report\/inside-the-phantom-mantis-operation\/overview\">informe detallado<\/a> publicado por PRODAFT, el grupo, al que rastrea como Phantom Mantis, est\u00e1 dirigido por un cibercriminal de habla rusa al que llama LARVA-368, que utiliza los alias en l\u00ednea hastalamuerte, ArmCorp, zeta88, nadie0 y santamuerte. <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/i\/unmasking-the-gentlemen-ransomware.html\">los caballeros<\/a> se sabe que est\u00e1 activo desde marzo de 2025, cobrando un total de 478 v\u00edctimas hasta la fecha, por <a href=\"https:\/\/ransomware.live\/group\/thegentlemen\">datos<\/a> de Ransomware.Live.<\/p>\n<p>\u00abEn julio de 2025, Phantom Mantis pas\u00f3 a formar parte de The Gentlemen, un programa de asociaci\u00f3n independiente que ya no depende de otros grupos RaaS\u00bb, dijo la empresa suiza de ciberseguridad. \u00abAdem\u00e1s, LARVA-368 depende en gran medida de la inteligencia artificial para el desarrollo y mantenimiento de ransomware y herramientas, as\u00ed como para la asistencia con los procedimientos posteriores a la explotaci\u00f3n\u00bb.<\/p>\n<p>En cuanto a LARVA-368, se estima que el actor de amenazas fue miembro del grupo de ransomware Embargo (tambi\u00e9n conocido como Primeval Mantis) antes de lanzar su propia operaci\u00f3n bajo el nombre de ArmCorp. Posteriormente, cuatro meses despu\u00e9s, pas\u00f3 a llamarse The Gentlemen.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-cant-stop-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjPEV6-530TOlxG6PjrmdlY623wpBwduZ7t1HV6flcmO5R4q4AmfixDUzW0CrhlvMVNWbhvOIso-UDNTka4W_W9Chrdj_dglwBZwi7DuePM2IMIl-hfUYVIqBXgfpr_2619K8Gptb4LzwJ6gUbi7lWl2M8AFQJsHEaw63Q7tZ6708YGruiHrr0Y2W9YYxLQ\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Desde entonces, la identidad del individuo ha sido <a href=\"https:\/\/krebsonsecurity.com\/2026\/06\/who-runs-the-ransomware-group-the-gentlemen\/\">descubierto<\/a> por el periodista de ciberseguridad Brian Krebs como Alexander Andreevich Yapaev (\u042f\u043f\u0430\u0435\u0432 \u0410\u043b\u0435\u043a\u0441\u0430\u043d\u0440 \u0410\u043d\u0434\u0440\u0435\u0435\u0432\u0438\u0447), de 36 a\u00f1os, de la ciudad rusa de Izhevsk. PRODAFT dijo a The Hacker News que sus hallazgos coinciden con la misma persona con \u00abalta confianza\u00bb.<\/p>\n<p>Como detall\u00f3 Dark Atlas en agosto de 2025, el cambio coincidi\u00f3 con una disputa de pago entre LARVA-368 y Qilin, en la que el actor de amenazas acus\u00f3 a la operaci\u00f3n RaaS de llevar a cabo una estafa de salida y defraudarlos por 48.000 d\u00f3lares.<\/p>\n<p>\u00abAunque Phantom Mantis era un grupo afiliado muy activo con m\u00e1s de 20 objetivos registrados en su panel de afiliados en menos de 30 d\u00edas, el administrador del grupo (LARVA-368) y LARVA-367 (tambi\u00e9n conocido como <a href=\"https:\/\/thehackernews.com\/2026\/02\/reynolds-ransomware-embeds-byovd-driver.html\">DevMan), un ex miembro de Phantom Mantis, afirm\u00f3 que Pestilent Mantis estaba estafando a los afiliados y que hab\u00eda una supuesta &#8216;puerta trasera&#8217; dentro de los chats de v\u00edctimas del panel de afiliados de Pestilent Mantis\u00bb, se\u00f1al\u00f3 PRODAFT.<\/a><\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjG2TJ51m6yRj9V_egdHiCnIaLuQQtBcSZLq1uNED5K8FLhpl88W7vnOmI_ccz5_n7RRLzZqcvhOcyRDRsv7gLXZJEvBcXUtO_oqMXMa7cyVWGJUd4Hi_W-ZUa878PEC8VZVFrsH4NmjOW9ik4x6KQjOqs2Q9f__0Bm-cAf6PzP9-3gQBbt_Q5nby65Ktlx\/s1700-e365\/zeta.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjG2TJ51m6yRj9V_egdHiCnIaLuQQtBcSZLq1uNED5K8FLhpl88W7vnOmI_ccz5_n7RRLzZqcvhOcyRDRsv7gLXZJEvBcXUtO_oqMXMa7cyVWGJUd4Hi_W-ZUa878PEC8VZVFrsH4NmjOW9ik4x6KQjOqs2Q9f__0Bm-cAf6PzP9-3gQBbt_Q5nby65Ktlx\/s1700-e365\/zeta.png\" alt=\"\" border=\"0\" data-original-height=\"768\" data-original-width=\"1376\"\/><\/a><\/div>\n<p>\u00abAunque no pudimos confirmar estas afirmaciones, existe la posibilidad de que LARVA-368 y LARVA-367 difundan intencionalmente desinformaci\u00f3n con la intenci\u00f3n de reclutar afiliados de Pestilent Mantis para Phantom Mantis desacreditando al grupo\u00bb.<\/p>\n<p>Tambi\u00e9n se ha observado que Phantom Mantis paga por cuentas Premium en foros clandestinos para aumentar su visibilidad y defenderse de la competencia, con la comunicaci\u00f3n del grupo y el soporte t\u00e9cnico a cargo de una persona separada de habla rusa llamada The Gentlemen Data.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEinacnhB4vaKEqNHSA5Y1uIgRlrP5WdYmtpW4bkETEJY-H7RKHLdWgBkiYPKppNjlmrYu00Nr5LdcuKyAFoiqwEqIiXnVfGaDs7fGJtemRxip9b3bCgC2n8w9dP0DyDqNmwWWIcOQcUHuLA5JlglWPL6wy1vVU34AULdARY0xMfJRM2mL6YtIs76oq700YK\/s1700-e365\/ransomware.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEinacnhB4vaKEqNHSA5Y1uIgRlrP5WdYmtpW4bkETEJY-H7RKHLdWgBkiYPKppNjlmrYu00Nr5LdcuKyAFoiqwEqIiXnVfGaDs7fGJtemRxip9b3bCgC2n8w9dP0DyDqNmwWWIcOQcUHuLA5JlglWPL6wy1vVU34AULdARY0xMfJRM2mL6YtIs76oq700YK\/s1700-e365\/ransomware.png\" alt=\"\" border=\"0\" data-original-height=\"2767\" data-original-width=\"5299\"\/><\/a><\/div>\n<p>Algunos de los otros aspectos destacados del plan de extorsi\u00f3n compilados a partir de varios informes son los siguientes:<\/p>\n<ul>\n<li>En un an\u00e1lisis del ransomware realizado a finales del a\u00f1o pasado, el equipo Cybereason de LevelBlue <a href=\"https:\/\/www.cybereason.com\/blog\/the-gentlemen-ransomware\">descrito<\/a> The Gentlemen como una \u00aboperaci\u00f3n de ransomware altamente adaptable y de r\u00e1pido movimiento\u00bb que combina t\u00e9cnicas de ransomware maduras con caracter\u00edsticas RaaS, doble extorsi\u00f3n, casilleros multiplataforma, propagaci\u00f3n flexible y soporte para afiliados.<\/li>\n<li>el grupo tiene <a href=\"https:\/\/www.halcyon.ai\/ransomware-research-reports\/threat-assessment-the-gentlemen-ransomware-group\">surgi\u00f3<\/a> como uno de los actores de amenazas m\u00e1s activos, representando el 10% de la actividad de ransomware en abril de 2026. \u00abThe Gentlemen sigue una cadena centrada en la empresa que comienza con el acceso inicial, a trav\u00e9s de servicios vulnerables de Internet o credenciales robadas\u00bb, NCC Group <a href=\"https:\/\/www.nccgroup.com\/newsroom\/ncc-group-monthly-threat-pulse-review-of-april-2026\/\">dicho<\/a>. \u00abEl an\u00e1lisis sugiere que The Gentlemen puede adaptarse y cambiar t\u00e1cticas durante un ataque, como manipular GPO, comprometer cuentas privilegiadas y utilizar m\u00e9todos personalizados para eludir las protecciones de los terminales\u00bb.<\/li>\n<li>S\u00f3lo sobre <a href=\"https:\/\/socradar.io\/blog\/gentlemen-ransomware-leak\/\">13% de sus v\u00edctimas<\/a> tienen su sede en los EE. UU. La mayor\u00eda de las v\u00edctimas se concentran en Tailandia, el Reino Unido, Brasil, Alemania y la India.<\/li>\n<li>LARVA-368 utiliza las cuentas de la aplicaci\u00f3n The Gentlemen IM para ayudar a los afiliados con respecto al cifrado y cualquier problema relacionado con la intrusi\u00f3n, como proporcionar eliminadores de EDR para eludir las soluciones de seguridad mediante la t\u00e9cnica de traer su propio controlador vulnerable (BYOVD).<\/li>\n<li>Los servicios de soporte para The Gentlemen y The Gentlemen Data est\u00e1n disponibles a trav\u00e9s de las plataformas de mensajer\u00eda de c\u00f3digo abierto Tox, SimpleX Chat y Ricochet Refresh.<\/li>\n<li>Los afiliados potenciales deben proporcionar al administrador al menos 1 GB de datos extra\u00eddos de una v\u00edctima para obtener acceso al panel de afiliados, una t\u00e1ctica dise\u00f1ada para evitar que los investigadores y las autoridades policiales obtengan acceso a la infraestructura bajo la apariencia de un afiliado. El panel de afiliados admite la gesti\u00f3n de usuarios, la configuraci\u00f3n de nuevos objetivos y la descarga de ransomware a un objetivo espec\u00edfico.<\/li>\n<li>Phantom Mantis ofrece cinco versiones de ransomware dise\u00f1adas para Windows, Linux, ESXi, Windows XP+ y Logical Volume Manager (LVM).<\/li>\n<li>El grupo corteja a los afiliados con un modelo agresivo de participaci\u00f3n en las ganancias: 90% para los afiliados y 10% para el operador.<\/li>\n<li>El acceso inicial se obtiene a trav\u00e9s de dispositivos perif\u00e9ricos, como dispositivos VPN, firewalls y otros sistemas conectados a Internet, con un enfoque espec\u00edfico en plataformas como Cisco y Fortinet FortiGate.<\/li>\n<li>Las cadenas de infecci\u00f3n implican el uso de utilidades del equipo rojo como NetExec, RelayKing, TaskHound, PrivHound y CertiHound para realizar descubrimiento de Active Directory, abuso de certificados, escalada de privilegios y descubrimiento de archivos compartidos. Se utiliza un conjunto separado de herramientas, como EDRStartupHinder, gfreeze, glinker y DumpBrowserSecrets, para evadir programas de seguridad, mientras que Velociraptor se emplea para comando y control (C2).<\/li>\n<li>Los ataques tambi\u00e9n <a href=\"https:\/\/www.huntress.com\/blog\/the-gentlemen-ransomware-defense-evasion-ttps\">intentar<\/a> para borrar los registros de eventos de Windows del sistema, aplicaciones y seguridad, deshabilitar Microsoft Defender y agregar exclusiones de antivirus.<\/li>\n<li>El ransomware hace uso de un <a href=\"https:\/\/falconfeeds.io\/blogs\/the-gentlemen-russia-raas-operation-rocket-leak-analysis\/\">esquema criptogr\u00e1fico h\u00edbrido<\/a>: Intercambio de claves X25519 combinado con cifrado sim\u00e9trico XChaCha20.<\/li>\n<li>Microsoft, que est\u00e1 rastreando el cl\u00faster bajo el nombre de Storm-2697, dijo que el ransomware est\u00e1 escrito en Go y ofuscado con Garble para apuntar al entorno de Windows. \u00abCuando se habilita con el argumento \u2013spread, convierte el malware de un cifrador de un solo host en un gusano autopropagador que intenta implementar su cifrado en todos los sistemas accesibles en la red\u00bb, dijo el gigante tecnol\u00f3gico. <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/05\/28\/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor\/\">dicho<\/a>. \u00abSi se proporciona el argumento \u2013wipe, el ransomware The Gentlemen realiza una rutina adicional posterior al cifrado para eliminar los artefactos recuperables del disco\u00bb.<\/li>\n<li>Seg\u00fan ZeroFox, el equipo de ransomware probablemente lleva a cabo una operaci\u00f3n de extorsi\u00f3n multicanal, combinando ataques de ransomware con comunicaci\u00f3n por correo electr\u00f3nico y t\u00e1cticas de presi\u00f3n telef\u00f3nica dirigidas a las v\u00edctimas.<\/li>\n<li>El grupo implementa un \u00abciclo de desarrollo altamente responsivo\u00bb, aspecto ejemplificado por el <a href=\"https:\/\/www.zerofox.com\/reports\/the-gentlemen-a-zerofox-intelligence-threat-actor-profile\/\">lanzamiento de un parche el mismo d\u00eda<\/a> despu\u00e9s de un <a href=\"https:\/\/github.com\/Bedrock-Safeguard\/gentlemen-decryptor\">descifrador fue lanzado<\/a> en abril de 2026.<\/li>\n<li>El tiempo medio de permanencia de una intrusi\u00f3n <a href=\"https:\/\/redpiranha.net\/news\/the-gentlemen-ransomware-analysis\">var\u00eda de dos a seis semanas<\/a> desde el acceso inicial hasta el cifrado, y el grupo se centra especialmente en organizaciones que ejecutan infraestructura VMware.<\/li>\n<\/ul>\n<p>El mes pasado, un <a href=\"https:\/\/www.kelacyber.com\/blog\/the-gentlemen-ransomware-internal-chat-leak-analysis-2026\/\">filtraci\u00f3n<\/a> de un <a href=\"https:\/\/ransom-isac.org\/blog\/the-gentlemen-leak-analysis\/\">base de datos interna de Rocket.Chat<\/a> utilizado por el grupo, que comprende 3.366 mensajes entre noviembre de 2025 y finales de abril de 2026, ha <a href=\"https:\/\/www.vectra.ai\/blog\/from-conti-to-the-gentlemen-tooling-evolved-gaps-didnt\">arrojar m\u00e1s luz<\/a> sobre el funcionamiento interno del grupo, incluido el uso de fallas de seguridad conocidas en el software VMware Aria Operations, Fortinet, Cisco y Microsoft, al tiempo que presenta una imagen de una empresa criminal cuyos miembros tienen una clara divisi\u00f3n de roles y responsabilidades.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-threat-report-m\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhFlTC7RrRZGiFAgASS0noWSL0qsQGFVp8-Hvuw9yp3X3VKRuTcb5SsPX09wJzrdIM6pu1_5lS4EeZp7Sx4iYBpNJkrGnpr08yyaS1HQ5_5TxaCsP6O0OtHNuOkesn6CbNjao1GPulCJk-uljYMSfMZfBYNrngpe669t7jlRn1FqiEnXhsFD1WVkpaYIVgh\/s728-e100\/ai-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abEl grupo rastrea y eval\u00faa activamente las vulnerabilidades modernas, incluidas <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2024-55591\">CVE-2024-55591<\/a>, <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-32433\">CVE-2025-32433<\/a>y <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-33073\">CVE-2025-33073<\/a>y los combina con rutas basadas en t\u00e9cnicas como respaldo y abuso de controladores de administraci\u00f3n y flujos de trabajo de retransmisi\u00f3n NTLM, brind\u00e1ndoles un canal de explotaci\u00f3n flexible\u00bb, Check Point <a href=\"https:\/\/research.checkpoint.com\/2026\/thus-spoke-the-gentlemen\/\">dicho<\/a>.<\/p>\n<p>Eso no es todo. En marzo de 2026, Hunt.io <a href=\"https:\/\/hunt.io\/blog\/thegentlemen-ransomware-toolkit-russian-proton66-server\">dicho<\/a> descubri\u00f3 un directorio abierto alojado en \u00ab176.120.22[.]127:80\u00bb en el proveedor ruso de alojamiento a prueba de balas Proton66 que expuso 126 archivos que conten\u00edan un conjunto completo de herramientas de operador de ransomware atribuido a un afiliado de The Gentlemen RaaS.<\/p>\n<p>Esto inclu\u00eda herramientas de reconocimiento, escalada de privilegios, evasi\u00f3n de defensa, robo de credenciales, movimiento lateral, persistencia y preparaci\u00f3n previa al cifrado, que esencialmente abarcaban todas las fases del ciclo de vida de la intrusi\u00f3n.<\/p>\n<p>\u00abLARVA-368 es un actor de amenazas especializado en actividades relacionadas con la extorsi\u00f3n y ha estado activo desde al menos 2020\u00bb, dijo PRODAFT. \u00abLa experiencia adquirida a trav\u00e9s de colaboraciones anteriores con varios grupos de RaaS proporcion\u00f3 la base t\u00e9cnica necesaria para establecer The Gentlemen RaaS\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Un nuevo an\u00e1lisis de los caballeros La operaci\u00f3n ha revelado que el grupo de amenazas con motivaci\u00f3n financiera oper\u00f3 inicialmente como un afiliado responsable de realizar ataques de doble extorsi\u00f3n, mientras aprovechaba recursos de varios esquemas de ransomware como servicio (RaaS) como LockBit (tambi\u00e9n conocido como Tenacious Mantis), Qilin (tambi\u00e9n conocido como Pestilent Mantis) y [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1082,86,24,1987,1144,2358,82,508,1986],"class_list":["post-1163","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cobra","tag-como","tag-cyberdefensa-mx","tag-gentlemen","tag-gusano","tag-propagarse","tag-puede","tag-ransomware","tag-victimas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1163","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1163"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1163\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1163"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1163"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1163"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}