Investigación DFIR detalla cómo un afiliado del programa Gentlemen RaaS obtuvo control de dominio, intentó túneles con SystemBC y desplegó ransomware basado en Go mediante Group Policy, afectando más de 1.570 infecciones relacionadas en todo el mundo.
Un compromiso de respuesta a incidentes de forensics digital (DFIR) reveló una cadena de ataque vinculada a un afiliado del programa Gentlemen ransomware-as-a-service. El incidente combinó el compromiso a nivel de dominio, el despliegue de malware proxy y la distribución de ransomware mediante Group Policy. El afiliado intentó instalar SystemBC para túneles y pivoteo antes de proceder con el cifrador Gentlemen. El análisis de la infraestructura de comando y control de SystemBC asociada identificó más de 1.570 sistemas infectados, principalmente en redes corporativas de Estados Unidos, Reino Unido y Alemania.
El programa Gentlemen RaaS apareció por primera vez en foros underground a mediados de 2025. Los operadores reclutan afiliados técnicamente competentes ofreciendo un portafolio de lockers multiplataforma escritos en Go para Windows, Linux, dispositivos NAS y sistemas BSD, además de un locker separado en C para entornos VMware ESXi. Los socios verificados reciben utilidades de evasión de EDR y acceso a una infraestructura proxy de múltiples saltos. Los datos de las víctimas se alojan en un sitio onion si no se recibe el pago. Las negociaciones se gestionan a través de IDs Tox individuales del afiliado, mientras que una cuenta X asociada publica públicamente las organizaciones comprometidas. El programa ha registrado reclamos contra algo más de 320 víctimas, la mayoría en los primeros meses de 2026.
SystemBC funciona como un proxy SOCKS5 que establece túneles cifrados hacia su servidor de comando y control mediante un protocolo RC4 personalizado. Admite la descarga y ejecución de cargas adicionales en disco o directamente en memoria. En el caso examinado, el afiliado preparó el binario como socks.exe en un host comprometido y lo dirigió a la dirección IP 45.86.230.112. La protección de endpoints bloqueó el intento. La telemetría del mismo servidor C&C indicó un botnet centrado en entornos empresariales en lugar de dispositivos de consumo.
La línea de tiempo del ataque comenzó con el adversario ya en posesión de privilegios de Domain Administrator en un controlador de dominio. Desde allí, el operador realizó validación de credenciales y enumeración de hosts, emitiendo intentos de inicio de sesión fallidos y exitosos en toda la red. Las cargas de Cobalt Strike se copiaron en shares administrativos (ADMIN$) con nombres de siete caracteres aleatorios y se lanzaron vía RPC. Los comandos de reconocimiento incluyeron systeminfo, whoami, dir c:\users y acceso a documentación interna como el archivo 公司主機紀錄.txt en un recurso compartido.
En un sistema se preparó socks.exe, se ejecutó y se verificó con tasklist | findstr /i socks antes de que se produjera el bloqueo. Poco después, una carga separada inició rundll32.exe y se conectó a la infraestructura Cobalt Strike en 91.107.247.163 en los puertos 443 y 80. Una tarea programada ejecutó un comando PowerShell para descargar grand.exe —el binario de ransomware Gentlemen— desde el servidor web interno del controlador de dominio y guardarlo como c:\programdata\r.exe. El binario se lanzó con los argumentos –password VvO8EtUh –spread [REDACTED_DOMAIN][REDACTED_USER]:[REDACTED_PASSWORD], habilitando tanto la ejecución controlada como el movimiento lateral.
La evasión de defensas siguió inmediatamente. El atacante emitió PowerShell para desactivar la supervisión en tiempo real de Windows Defender con Set-MpPreference -DisableRealtimeMonitoring $true -Force. La misma carga de ransomware se propagó bajo múltiples nombres de archivo (r.exe, g.exe, o.exe) en los endpoints. Las comprobaciones ambientales se dirigieron a productos de seguridad (wmic product where Name like ‘%kaspe%’) y forzaron actualizaciones de Group Policy (gpupdate /force). El Protocolo de Escritorio Remoto se habilitó modificando la clave de registro fDenyTSConnections y ajustando el grupo de reglas del firewall. Se instaló AnyDesk con el comando anydesk.exe –install, se configuró con la contraseña Camry@12345 y se inició de forma persistente. Se extrajo material de credenciales con Mimikatz y continuó la enumeración de dominio con consultas sobre sesiones activas, relaciones de confianza de dominio, controladores de dominio y membresía en Domain Admins y Enterprise Admins.
La etapa final utilizó Group Policy para distribuir el binario de ransomware en todo el dominio. La actualización de directivas activó una ejecución casi simultánea en los sistemas unidos, resultando en cifrado coordinado. El binario Gentlemen, desarrollado en Go, acepta un argumento obligatorio –password y admite flags opcionales para rutas de destino, modos de cifrado (–system, –shares, –full), propagación lateral mediante credenciales, despliegue GPO, operación silenciosa, borrado de archivos y limitación de velocidad. El desarrollo del locker sigue activo.
El incidente ilustra un flujo de trabajo de ransomware operado por humanos estructurado: acceso privilegiado a un controlador de dominio, canales de comando y control en capas, propagación interna rápida, supresión de defensas, persistencia mediante RDP y software de escritorio remoto, y despliegue masivo a través de herramientas de gestión empresarial. El intento fallido de SystemBC provocó un cambio inmediato a infraestructura alternativa, demostrando resiliencia operativa. No se ha determinado si SystemBC forma parte del kit de herramientas principal de Gentlemen o fue seleccionado de forma independiente por el afiliado según la evidencia disponible.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de