The Gentlemen: el ransomware a medida que ya suma más de 1,500 víctimas ocultas
The Gentlemen: el ransomware “a medida” que ya suma más de 1,500 víctimas ocultas
Un grupo cibercriminal surgido en 2025 acaba de revelar su verdadera escala: investigadores descubrieron más de 1,570 redes corporativas comprometidas que nunca aparecieron en los titulares. Con presencia confirmada en más de 50 países, tácticas living off the land y sospechas de un origen rusoparlante, su modelo operativo redefine lo que se entendia por ataques de ransomware.
En julio de 2025 apareció en la escena cibercriminal un nuevo grupo de ransomware llamado The Gentlemen, sin amebargo pocos anticipaban la velocidad con la que iba a escalar. Nueve meses después, una investigación publicada el 21 de abril de 2026 por la firma Check Point Research destapó un hallazgo que cambió por completo la percepción sobre su alcance: al realizar threat hunting sobre el servidor de comando y control (C2) de uno de sus afiliados, los investigadores identificaron más de 1,570 redes corporativas comprometidas que ni siquiera habían sido reportadas públicamente (Lakshmanan, 2026).
La cifra es especialmente inquietante si se considera que en su data leak site (DLS) el grupo solo había reclamado hasta ese momento alrededor de 320 víctimas. Es decir, lo que se veía era apenas la punta del iceberg. Como señaló Eli Smadja, responsable de investigación en Check Point, la mayoría de los grupos de ransomware hacen ruido al aparecer y después desaparecen, pero en este caso la escala real de la operación es significativamente mayor a la conocida públicamente, y continúa creciendo (Lakshmanan, 2026).
¿Quiénes son “The Gentlemen”?
El nombre no es casualidad. Según analistas de ESET, el grupo rinde homenaje estético a las películas de Guy Ritchie, proyectando una identidad de marca disciplinada y metódica, con logo profesional y lema incluido en su sitio onion (Ali Bravo, 2026). Pero esa estética no es solo branding: se refleja en la madurez técnica de sus operaciones, al punto de que varios investigadores asumen que detrás hay actores con experiencia previa en otros ecosistemas de ransomware (SOCRadar, 2026).
Aunque su origen oficial sigue clasificado como “desconocido”, el equipo de FortiGuard Labs señala un indicio revelador: el grupo prohíbe expresamente a sus afiliados atacar organizaciones ubicadas en Rusia y países de la Comunidad de Estados Independientes (CEI), una restricción históricamente asociada a actores de amenazas rusoparlantes (Fortinet, 2026). A principios de 2026, Fortinet contabilizaba más de 200 víctimas publicadas en más de 50 países y más de 20 industrias afectadas, desde energía y gobierno hasta servicios de salud.
The Gentlemen opera bajo el modelo Ransomware-as-a-Service (RaaS). En septiembre de 2025, SOCRadar detectó en foros clandestinos un anuncio del grupo reclutando afiliados con una propuesta agresiva: el 90% de las ganancias del rescate para el affiliate ejecutor, mientras que los core operators conservan el control sobre la infraestructura, el DLS y la comunicación vía TOX (SOCRadar, 2026). El tener una comisión tan alta explica el por que crecía tan rápido la red. Sin embargo, FortiGuard añade un matiz relevante: la disciplina operativa es tan alta que algunos analistas sospechan que, más que un RaaS tradicional, The Gentlemen podría ser un equipo reducido pero altamente coordinado que ejecuta los ataques directamente (Fortinet, 2026).
Su toolkit está escrito principalmente en Go y C, con variantes para Windows, Linux, NAS, BSD y un locker dedicado para entornos ESXi. El esquema criptográfico combina XChaCha20 y Curve25519 en un modelo híbrido, e incluye capacidades de autoreinicio, persistencia al inicio y throttling configurable de la velocidad de cifrado para evadir detecciones basadas en consumo anómalo de CPU/IO (Mikhalov, 2025). Además, cada payload requiere un parámetro de contraseña de 8 bytes para ejecutarse, lo que neutraliza los sandboxes automatizados que no pueden suministrar la clave manual del atacante.
Un ransomware que se adapta a cada víctima
Lo que realmente distingue a The Gentlemen no es su código, sino su filosofía operativa: no atacan en masa, atacan a medida.
El kill chain típico comienza con accesos iniciales a través de servicios expuestos a internet —especialmente firewalls y VPNs mal configuradas, como appliances FortiGate—, mediante credenciales comprometidas, o explotando vulnerabilidades conocidas como CVE-2025-7771 (Fortinet, 2026). También se han observado vectores adicionales como spear phishing y abuso de RDP expuestos. Una técnica particularmente sofisticada documentada por Cybereason y recogida por SOC Prime involucra DLL sideloading mediante OneDrive.exe (cargando la biblioteca maliciosa SSPICLI.dll), e incluso macros VBA incrustadas en Outlook (archivo VbaProject.OTM) que monitorean correos entrantes a través del evento Application_NewMailEx como disparadores de C2 (Mikhalov, 2025).
Una vez establecido el foothold, el grupo realiza reconnaissance quirúrgico con herramientas como Advanced IP Scanner y Nmap para mapear el Active Directory, enumerar Domain Admins, identificar cuentas con privilegios elevados y perfilar la security stack del entorno (Ali Bravo, 2026). Para la escalada de privilegios abusan de utilidades legítimas como PowerRun.exe para saltarse UAC y ejecutar procesos con privilegios NT AUTHORITY\SYSTEM (SOCRadar, 2026).
Para el lateral movement se apoyan en PsExec sobre SMB admin shares, WMI, PowerShell Remoting y SCHTASKS, una aproximación living off the land (LOLBAS/LOLBins) que les permite camuflarse como tráfico administrativo legítimo (Mikhalov, 2025). El arsenal documentado por Fortinet también incluye AnyDesk, PuTTY, WinSCP e ICACLS para persistencia, transferencia de datos y manipulación de ACLs (Fortinet, 2026).
Aquí aparece lo más peligroso: si durante el reconocimiento detectan que el entorno tiene un EDR específico, modifican sus herramientas a mitad de campaña. Los analistas de Trend Micro documentaron cómo el grupo evolucionó su utilidad de terminación de procesos de All.exe a una variante personalizada llamada Allpatch2.exe, diseñada específicamente para neutralizar los agentes de seguridad del entorno atacado (Lakshmanan, 2026). También emplean técnicas BYOVD (Bring Your Own Vulnerable Driver) aprovechando drivers firmados pero vulnerables como ThrottleBlood.sys para deshabilitar soluciones antivirus a nivel de kernel (SOCRadar, 2026).
Para la fase de impact, abusan de Group Policy Objects (GPO) y del share NETLOGON para propagar el ransomware simultáneamente en todo el dominio. Antes del cifrado, ejecutan rutinas anti-forenses especialmente cuidadosas: deshabilitan Windows Defender mediante Set-MpPreference -DisableRealtimeMonitoring $true, agregan exclusiones amplias con Add-MpPreference -ExclusionPath, apagan el firewall, reactivan SMB1, relajan los controles LSA anonymous, detienen servicios de respaldo, eliminan las Volume Shadow Copies (VSS) y purgan los event logs (Lakshmanan, 2026; Mikhalov, 2025). Los archivos cifrados reciben la extensión .7mtzhh y se deja una nota de rescate llamada README-GENTLEMEN.txt.
SystemBC: la pieza que reveló la magnitud real
La noticia reciente se centra precisamente en cómo los investigadores encontraron las 1,570 víctimas ocultas. Un afiliado de The Gentlemen desplegó en sus ataques un proxy malware conocido como SystemBC, utilizado desde 2020 en distintas operaciones de ransomware. Este establece túneles SOCKS5 dentro del entorno de la víctima y se comunica con su C2 mediante un protocolo propietario cifrado con RC4, además de poder descargar y ejecutar payloads adicionales tanto en disco como mediante inyección en memoria (Lakshmanan, 2026).
Al analizar ese servidor C2, Check Point obtuvo el listado completo de redes comprometidas, distribuidas principalmente entre Estados Unidos, Reino Unido, Alemania, Australia y Rumania. Lo llamativo es que no queda claro si SystemBC es parte del playbook oficial del grupo o si lo usa únicamente un afiliado específico para exfiltración y acceso remoto persistente (Lakshmanan, 2026).
¿Por qué esta noticia importa ahora?
The Gentlemen ya no es una amenaza emergente: es una de las más activas del planeta. Según datos de ZeroFox, durante el primer trimestre de 2026 el grupo se ubicó como el tercer operador de ransomware más prolífico del mundo, con 192 incidentes, solo detrás de Qilin (338) y Akira (197) (Lakshmanan, 2026).
Y el impacto regional es significativo. México aparece consistentemente entre los países más atacados, junto con Estados Unidos, Tailandia, India, Colombia, España y Francia (Ali Bravo, 2026). Los reportes confirman víctimas en prácticamente toda América Latina: Argentina, Chile, Brasil, Perú, Ecuador, Venezuela, Guatemala, República Dominicana, Costa Rica, Panamá y, por supuesto, Colombia y México. Los sectores más golpeados: manufactura, tecnología, salud, finanzas, seguros, construcción, energía, gobierno y medios de comunicación (Fortinet, 2026; SOCRadar, 2026).
El reporte Ransomware Evolution de Halcyon alerta además sobre un patrón preocupante: el 69% de los ataques se ejecutan durante noches y fines de semana para superar los tiempos de reacción del SOC, y los dwell times se han reducido de días a horas (Lakshmanan, 2026). En otras palabras: desde el initial access hasta el cifrado total puede transcurrir menos de una jornada laboral.
Perspectiva Blue Team: honeypots e IDS como capa de detección temprana
Ante un adversario que abusa intensivamente de herramientas legítimas y modifica su toolkit a mitad de campaña, las defensas basadas exclusivamente en firmas y listas negras resultan insuficientes. La detección de The Gentlemen exige un enfoque de defensa en profundidad en el que los honeypots y los sistemas de detección de intrusiones (IDS/NIDS/HIDS) juegan un papel estratégico.
Honeypots: engaño como detección
Dado que el grupo invierte un tiempo considerable en fase de discovery —enumerando Active Directory, escaneando rangos internos con Nmap y Advanced IP Scanner, y buscando cuentas de alta jerarquía— un entorno bien instrumentado con señuelos puede convertirse en el primer sistema de alerta temprana. Algunas estrategias concretas:
- Honey accounts (cuentas cebo) en Active Directory: usuarios Domain Admin ficticios con nombres atractivos (
admin_backup,svc_sql,administrador_it) que nunca deberían autenticarse. Cualquier intento de Kerberoasting, AS-REP Roasting, enumeración LDAP o inicio de sesión contra ellos debe generar una alerta crítica inmediata. Herramientas como HoneypotBuster o las canary tokens de Active Directory integradas en Microsoft Defender for Identity resultan especialmente útiles aquí. - Honey shares SMB: carpetas compartidas señuelo con nombres como
\\FS01\Backups$,\\FS01\Finance_2025que, al ser accedidas por una sesión no autorizada mediante SMB admin shares o PsExec, disparan eventos 5140/5145 de Windows correlacionados con una alerta de alta prioridad. - Honeytokens en archivos y bases de datos: credenciales ficticias en archivos
.xlsx,.configo.ps1distribuidos en ubicaciones honey (C:\Temp,\\netlogon\scripts). Dado que The Gentlemen se apoya en NETLOGON para propagar su payload, cualquier lectura de estos archivos es una señal de reconocimiento activo. - Honeypots de servicios expuestos: appliances FortiGate o VPN falsos en el perímetro (implementables con T-Pot, Cowrie para SSH, Dionaea para SMB o HoneyTrap) que capturen credenciales reutilizadas y patrones de brute force. Esto es particularmente relevante porque el vector de acceso inicial más documentado del grupo es la explotación de interfaces de administración expuestas.
- Deception grids internas: hosts falsos dentro de las VLAN internas que actúan como tripwires. Un escaneo con Nmap desde un equipo comprometido tocará inevitablemente estos nodos, generando telemetría imposible de confundir con actividad legítima.
La fortaleza del deception es que no produce falsos positivos: ningún proceso legítimo debería interactuar con un recurso cebo. Esto convierte a los honeypots en una señal de altísima confianza que puede escalar inmediatamente al playbook de respuesta a incidentes.
IDS/IPS y detección basada en comportamiento
Un IDS bien sintonizado —ya sea Suricata, Snort, Zeek (antes Bro) o un NDR comercial— puede detectar varias fases del ataque de The Gentlemen si se alimenta con reglas y analytics adecuados:
- Detección de SystemBC: el túnel SOCKS5 cifrado con RC4 y la comunicación periódica con el C2 generan patrones de tráfico detectables mediante análisis de JA3/JA3S (fingerprinting TLS) y beaconing detection sobre flujos NetFlow/IPFIX. Suricata y Zeek cuentan con reglas comunitarias específicas para SystemBC desde 2020.
- Reglas Sigma en el SIEM: SOC Prime publicó en noviembre de 2025 un set de reglas específicas para detectar la persistencia y propagación de The Gentlemen, incluyendo patrones de PowerShell como
Invoke-CommandconSet-MpPreference -DisableRealtimeMonitoringoAdd-MpPreference -ExclusionPath 'C:', indicadores inequívocos de la fase de defense evasion del grupo (Mikhalov, 2025). Estas reglas Sigma son traducibles a cualquier SIEM moderno (Splunk, Sentinel, Elastic, QRadar, Chronicle). - Detección de BYOVD: monitorear la carga de drivers firmados pero vulnerables (
ThrottleBlood.sys,RTCore64.sys,procexp152.sys) mediante reglas en Sysmon Event ID 6 (Driver loaded) combinadas con la lista de LOLDrivers. - Monitoreo de Active Directory: alertas sobre modificaciones masivas de GPO (Event ID 5136), creación de cuentas en controladores de dominio (4720), o enumeración anómala de grupos privilegiados (4661). Los ataques del grupo abusan intensivamente de GPO y NETLOGON para la propagación final.
- Detección de lateral movement vía PsExec, WMI y PowerShell Remoting mediante correlación de eventos 4624 Logon Type 3 con Process Creation (Sysmon Event ID 1) y tráfico SMB interno a puertos 445/135/5985.
- Anomalías en horario: dado que el 69% de los ataques ocurre en noches y fines de semana, una política de detección basada en User and Entity Behavior Analytics (UEBA) que marque autenticaciones administrativas fuera del horario laboral genera una señal de alto valor.
La combinación de honeypots + IDS + SIEM + EDR + UEBA siguiendo el marco MITRE D3FEND y mapeando defensas contra las TTPs de MITRE ATT&CK aplicables (T1190, T1078, T1059.001, T1562, T1484.001, T1021.002, T1486) permite al Blue Team reducir los dwell times de horas a minutos, que es la única ventana realista para interrumpir una cadena de ataque tan acelerada como la de The Gentlemen.
Análisis: lo que esta amenaza revela sobre el estado actual del ransomware
El caso de The Gentlemen no es simplemente la historia de un grupo más desarrollando ransomware. Sirve como un indicador de como va evolucionando el modelo criminal y como es que este debe ser tratado con conocimientos aplicados a threat intelligence.
El problema de la visibilidad. El hallazgo más inquietante de la investigación de Check Point no es el número de víctimas en sí, sino la proporción entre lo que el grupo publica en su DLS y lo que realmente compromete. Con apenas el 20% de sus intrusiones hechas públicas, The Gentlemen opera de manera silenciosa, lo que significa que muchas víctimas pagan sin que el incidente trascienda, lo que a su vez infla las ganancias del grupo sin aumentar la presión regulatoria ni la atención de los equipos de threat intelligence. Este modelo subvierte los mecanismos de threat sharing de la industria: si los incidentes no se reportan, los indicadores de compromiso (IoCs) no circulan, y la comunidad defensora llega tarde al siguiente ataque.
La reducción de los dwell times como crisis para el Blue Team. El hecho de que los tiempos de permanencia se hayan reducido de días a horas cambia totlamente como es que se va a tomar una postura defensiva. El modelo tradicional de detección y respuesta ya no es suficiente ante un adversario que puede completar su kill chain dentro de apenas unas cuantas horas. Esto empuja a los equipos defensivos hacia arquitecturas de detección automatizada y respuesta orquestada (SOAR).
El riesgo particular para América Latina. La presencia confirmada del grupo en México, Colombia, Argentina, Brasil y otros países de la región no ocurrio de forma accidental. Las organizaciones latinoamericanas presentan una combinación de factores que los hace objetivos atractivos: alta adopción de tecnologías como FortiGate y VPNs que son vectores documentados del grupo, menor madurez promedio en programas de patch management, equipos de SOC más pequeños con menor capacidad de respuesta nocturna, y una deficiente cultura de reporte de incidentes son factores que permiten al grupo mantener baja visibilidad en la región. La prohibición de atacar a países de la CEI también redirecciona la capacidad operativa hacia mercados como el latinoamericano, donde la impunidad percibida es mayor.
Una señal sobre la evolución del ecosistema criminal. The Gentlemen representa algo que la comunidad de threat intelligence lleva tiempo advirtiendo: la profesionalización del ransomware ha alcanzado un nivel donde los grupos criminales aplican disciplina de ingeniería de software, inteligencia operativa y estrategia de negocio. Frente a adversarios con este nivel de sofisticación, la postura defensiva reactiva no es viable. El único enfoque aceptable es la detección proactiva, el threat hunting continuo y la reducción sistemática de la superficie de ataque, porque como advierte la propia evidencia: la pregunta ya no es si una organización será objetivo, sino cuándo y si estará preparada para detectarlo a tiempo.
Bibliografía
Ali Bravo, C. (2026, 26 de marzo). The Gentlemen: la nueva generación de ransomware que ataca a medida. WeLiveSecurity (ESET). https://www.welivesecurity.com/es/ransomware/the-gentlemen-la-nueva-generacion-de-ransomware-que-ataca-a-medida/
Fortinet. (2026, 24 de abril). The Gentlemen Ransomware — Threat Actor Profile. FortiGuard Labs. https://www.fortiguard.com/threat-actor/6387/the-gentlemen-ransomware
Lakshmanan, R. (2026, 21 de abril). SystemBC C2 Server Reveals 1,570+ Victims in The Gentlemen Ransomware Operation. The Hacker News. https://thehackernews.com/2026/04/systembc-c2-server-reveals-1570-victims.html
Mikhalov, R. (2025, 21 de noviembre). Licencia para Cifrar: Cuando “Los Caballeros” Pasan a la Ofensiva. SOC Prime. https://socprime.com/es/active-threats/caballeros-pasan-a-la-ofensiva/
SOCRadar. (2026, 12 de febrero). Dark Web Profile: The Gentlemen Ransomware. SOCRadar Cyber Threat Intelligence. https://socradar.io/blog/dark-web-profile-the-gentlemen-ransomware/