导语:2026年5月,一个名为The Gentlemen的勒索软件即服务(RaaS)组织迅速崛起,成为全球第二大活跃勒索组织,占据全球勒索攻击的10%。讽刺的是,该组织自己的内部基础设施在同月被攻破,聊天记录、成员名册等核心运营数据以1万美元在暗网出售,为防御者提供了罕见的洞察窗口。此次泄露事件揭示了现代勒索软件的运营模式、技术手法和内在脆弱性,对于安全运营者而言,是一份难得的防御参考手册。
一、组织概览:从 Qilin 叛将到行业新贵
The Gentlemen于2025年中旬成立,仅用半年时间便跃升为全球第二大活跃勒索软件组织。截至2026年5月中旬,其公开受害者已超过400个,占2026年全球勒索软件攻击总量的约10%。
根据Check Point Research(康点研究)和KELA两家安全公司的联合分析,该组织核心团队由约9名具名运营者组成,领导者代号为zeta88(又名hastalamuerte)。此人曾是Qilin(麒麟)勒索软件的加盟 affiliate,因佣金分配纠纷离开原组织后自立门户。Qilin作为老牌RaaS组织,其前 affiliate 出走并快速建立竞争平台,说明勒索软件生态内部的人才流动正在加速。
该组织采用极具吸引力的90/10分成比例——相比行业普遍的80/20标准,The Gentlemen将更大份额让渡给加盟的 affiliate,从而快速从Black Basta等竞争对手平台吸引经验丰富的老手。这种”重赏之下必有勇夫”的商业模式,本质上是将勒索攻击的规模化风险分散到更多独立operator身上。
二、初始入口:边缘设备是首选攻击面
The Gentlemen的攻击链在入口阶段高度模式化:几乎专门依赖未修复的互联网边界设备和失窃凭证。
具体而言,该组织积极利用以下两类漏洞:
- CVE-2024-55591:Fortinet(飞塔)设备的认证绕过漏洞
- CVE-2025-32433:Cisco(思科)设备的远程代码执行漏洞
这两类漏洞均指向企业网络的边界安全设备——VPN、防火墙、远程接入网关。一旦这些设备被攻破,攻击者便获得企业内网的第一张门票。
除了直接利用漏洞外,该组织还从第三方经纪人手中购买初始访问权限,或者从信息窃取木马(infostealer)日志市场采购已被窃取的凭证。根据泄露的内部聊天记录,他们会在暗网论坛直接下单采购特定企业的VPN登录凭证,整个过程如同网购一样便捷。
三、横向移动:AD枚举与凭证重放
进入边界后,该组织的内网横向移动同样高度程式化:
- Active Directory枚举:迅速定位域控制器和高价值资产
- NTLM中继攻击(CVE-2025-33073):利用AD证书服务配置错误扩大权限
- EDR禁用:在内存中直接禁用终端检测响应组件
- 合法管理工具:使用Radmin、AnyDesk等合法远程工具规避检测
- 浏览器会话窃取:针对Microsoft 365和Okta的Web Shell进行会话劫持
- 数据外泄:在加密前完成大规模敏感数据提取
最终通过组策略(Group Policy)一次性对所有联网终端同步投放勒索软件,实现”一键锁机”。这意味着勒索软件 detonation前,攻击者已在你的网络中潜伏多日甚至数周。
四、AI赋能开发:三天构建管理面板
此次泄露最有意思的技术细节之一,是该组织大量使用AI编码助手进行恶意软件开发。泄露的聊天记录显示,zeta88本人使用DeepSeek和Qwen(通义千问)等中国AI模型协助开发,甚至仅用三天时间便独立完成了整套RaaS管理面板的构建。
这一发现对蓝队的启示是双重的:AI工具正在大幅降低网络犯罪的技术门槛——即便不是顶级开发者,借助AI辅助也能快速构建复杂的攻击基础设施。同时也意味着,AI模型的滥用检测应当纳入SOC的监控范围,特别是GitHub Copilot、Cursor等开发工具在企业环境中的使用行为。
五、链式受害:一个客户变成两个
最值得警惕的实战案例发生在2026年4月。The Gentlemen先是入侵了一家英国软件咨询公司,从中提取了基础设施文档、凭证和客户访问信息。随后,利用这些数据对该公司的一家土耳其客户发动了第二次攻击。
事后,这家英国咨询公司对外发表声明,称”仅访问了常规业务数据”。然而内部聊天记录揭示了截然不同的真相:该组织不仅窃取了客户敏感数据,还在暗网泄露站点上同时公布了两家公司的信息,并故意标注英国咨询公司为土耳其攻击的”入口经纪人”,意图逼迫土耳其受害方对英国合作方发起法律诉讼。
这意味着:你的供应链伙伴被攻破,就可能成为攻击你自己的跳板。你持有的客户数据,其安全风险已不只限于你自己的防御水平。
六、内部泄露始末:猎人沦为猎物
2026年5月4日,The Gentlemen的管理员zeta88在地下论坛承认,其后端数据库已被攻破并泄露。泄露源头可能与该组织用于托管基础设施的4VPS托管服务商被入侵有关。
泄露的数据包括:内部聊天记录(时间跨度从2025年11月7日至2026年4月30日,近六个月)、组织成员名册、勒索谈判记录,以及工具开发讨论文档。泄露方以1万美元的价格在暗网出售这批数据。Check Point Research在数据被删除前获取了部分内容,并已通报执法机关。
七、蓝队防御建议
基于The Gentlemen的攻击链分析,防御者的优先级应当如下:
1. 边界设备补丁作为董事会级优先项
VPN、防火墙、Fortinet和Cisco边界设备是此类攻击的首要入口。CVE-2024-55591和CVE-2025-32433正在被活跃利用,补丁管理不应有任何拖延。
2. 假设凭证已失陷
多因素认证(MFA)是必要条件但非充分条件。需监控Microsoft 365、VPN面板、身份系统中的异常认证模式——特别是来自新地理位置或新设备的登录尝试。
3. Active Directory安全定期审计
NTLM中继攻击和AD证书服务错误配置是该组织横向移动的核心依赖。建议每季度进行AD安全评估,参照MITRE ATT&CK框架中的T1558、T1557等 technique进行检测规则验证。
4. 在横向移动阶段实施检测
勒索软件 detonation之后的处置窗口极小,真正的检测窗口在攻击者遍历内网的阶段。行为分析、异常的LSASS进程访问、非工作时间的管理员操作——这些是比勒索签名更有效的检测信号。
5. 备份系统必须与域隔离
该组织特别针对NAS设备和备份系统。建议使用离线、不可变备份,并确保备份系统不在同一AD域中。
八、总结
The Gentlemen的崛起是现代勒索软件”专业化运营”的缩影:小团队、高分成、AI辅助开发、成熟供应链分工。他们没有发明新技术,但把现有技术打包成了一套可扩展的商业模式。
此次泄露事件对于防御者的价值远超过猎奇:它提供了勒索软件组织内部运作的第一手资料,揭示了攻击链每个环节的具体手法。根据MITRE ATT&CK框架映射这些TTPs,在SIEM/SOC平台中构建针对性的检测规则,是应对此类威胁最有效的途径。
防御纵深是关键。假设入口已被突破,重点在检测与响应。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容