Ransomware The Gentlemen: Descubren botnet con 1,570 víctimas

El ecosistema del cibercrimen en 2026 ha alcanzado un nivel de madurez industrial que desafía las estrategias de defensa convencionales. El informe investigativo más reciente, publicado el 21 de abril de 2026, ha puesto al descubierto una operación masiva de Ransomware The Gentlemen, un grupo que ha logrado consolidar una botnet global con más de 1,570 víctimas activas. Esta infraestructura, detectada mediante el análisis de servidores de comando y control (C2) vinculados al malware de proxy SystemBC, marca un punto de inflexión en la sofisticación de los ataques dirigidos a la infraestructura crítica en América del Norte y Europa.

Desde su aparición a mediados de 2025, esta organización ha operado bajo un modelo de Ransomware-as-a-Service (RaaS) extremadamente agresivo. Lo que inicialmente parecía ser un grupo emergente más en los foros de la Dark Web, se ha transformado en una de las amenazas más prolíficas del año, superando incluso las métricas de crecimiento de grupos históricos como LockBit en sus inicios. La clave de su éxito radica no solo en su capacidad técnica, sino en un modelo de negocio diseñado para atraer a los afiliados más capacitados del mercado clandestino.

La infraestructura técnica: SystemBC y la botnet de 1,570 víctimas

El corazón de la operación de Ransomware The Gentlemen no es el cifrador en sí, sino su sofisticada red de persistencia y exfiltración. El descubrimiento de la botnet de 1,570 víctimas se produjo tras una investigación exhaustiva de Check Point Research, que logró obtener acceso a la telemetría de un servidor C2 utilizado por uno de los afiliados del grupo. Este servidor gestionaba una versión actualizada de SystemBC, un malware de tipo proxy que ha evolucionado significativamente desde sus primeras apariciones en 2019.

SystemBC permite a los atacantes establecer túneles de red SOCKS5 dentro del entorno de la víctima. Estos túneles actúan como un puente invisible que oculta el tráfico malicioso dentro de flujos de datos que parecen legítimos, permitiendo eludir los firewalls perimetrales y los sistemas de detección de intrusiones (IDS). Las capacidades técnicas de esta infraestructura incluyen:

• Inyección directa en memoria: Para evitar la detección basada en firmas de archivos en el disco, SystemBC inyecta cargas útiles (payloads) adicionales, como Cobalt Strike, directamente en la memoria RAM de los sistemas comprometidos.
• Protocolo de cifrado personalizado: La comunicación con el servidor C2 utiliza una variante de RC4 altamente ofuscada, lo que dificulta el análisis forense de red.
• Resiliencia operativa: La red de proxies permite que, si un nodo es detectado y bloqueado, el tráfico se redirija automáticamente a través de otro host comprometido dentro de la botnet.

El perfil de las víctimas identificadas sugiere un enfoque deliberado en entornos corporativos y organizacionales. A diferencia de las botnets oportunistas que buscan dispositivos domésticos, la red de “The Gentlemen” está compuesta mayoritariamente por servidores empresariales en Estados Unidos, Reino Unido, Alemania, Australia y Rumania.

El modelo RaaS y la economía de “The Gentlemen”

Para entender el crecimiento explosivo de este grupo, es necesario mirar más allá del código. Ransomware The Gentlemen ha reescrito las reglas de la economía del cibercrimen mediante un esquema de comisiones altamente competitivo. Mientras que el estándar de la industria para los grupos de RaaS es una división de ingresos de 80/20 (80% para el afiliado y 20% para los desarrolladores), “The Gentlemen” ofrece un 90/10.

Este margen del 10% adicional ha provocado una migración masiva de operadores experimentados desde otros grupos como Qilin y Akira. Estos afiliados no llegan con las manos vacías; traen consigo credenciales comprometidas de ataques previos, accesos a redes de infraestructura crítica y un conocimiento profundo de las debilidades de proveedores específicos de seguridad. Esta táctica ha permitido al grupo listar a más de 320 víctimas en su sitio de filtración de datos en menos de un año, con un pico asombroso de 240 ataques registrados solo en los primeros meses de 2026.

Estrategias de “Doble Extorsión” y presión psicológica

El grupo emplea un modelo de doble extorsión que combina el cifrado de archivos con la amenaza de publicar datos sensibles. Sin embargo, “The Gentlemen” ha añadido capas adicionales de presión:

1. Marketing en redes sociales: El grupo mantiene perfiles activos en plataformas como X (anteriormente Twitter), donde anuncian sus víctimas en tiempo real para acelerar la caída del valor de las acciones de las empresas y forzar una negociación rápida.
2. Negociación vía Tox: A diferencia de otros grupos que usan portales de chat propietarios, este grupo prefiere el protocolo P2P descentralizado Tox, lo que garantiza que las conversaciones no puedan ser interceptadas ni cerradas por las autoridades.
3. Branding irónico: A pesar de su nombre “The Gentlemen”, sus tácticas son despiadadas. Han demostrado una falta total de límites éticos al atacar sectores que otros grupos suelen evitar, como la salud y la infraestructura energética.

Análisis del ciclo de ataque: Del compromiso inicial al despliegue total

El análisis técnico de los incidentes recientes muestra una cadena de ataque meticulosamente planificada. El Ransomware The Gentlemen no se propaga de forma automática; es operado por humanos que ajustan sus tácticas según el entorno del objetivo.

Acceso inicial y reconocimiento

Los atacantes ganan acceso aprovechando vulnerabilidades en servicios expuestos a internet, especialmente en dispositivos FortiGate VPN y firewalls mal configurados. Una vez dentro, utilizan herramientas de reconocimiento como Advanced IP Scanner y consultas a Active Directory para mapear la red. El objetivo principal en esta fase es identificar a los administradores de dominio y los controladores de dominio principales.

Movimiento lateral y escalada de privilegios

Para moverse a través de la red, los afiliados abusan de herramientas legítimas en una estrategia conocida como “Living off the Land” (LotL). Utilizan PsExec, PowerShell y AnyDesk para establecer persistencia. Un detalle técnico alarmante es el uso de la técnica BYOVD (Bring Your Own Vulnerable Driver). Los atacantes despliegan controladores firmados legítimos, pero vulnerables, como ThrottleBlood.sys, para desactivar por completo las soluciones de EDR y antivirus desde el núcleo del sistema operativo.

Despliegue masivo mediante GPO

Una vez que los atacantes obtienen privilegios de administrador de dominio, utilizan los Objetos de Directiva de Grupo (GPO) para distribuir el ransomware simultáneamente en toda la organización. Esto permite que el cifrado comience en cientos de máquinas al mismo tiempo, neutralizando la capacidad de respuesta de los equipos de seguridad de la información (SOC).

Capacidades multiplataforma: El alcance de Go y C

La versatilidad de “The Gentlemen” es otro de sus pilares. Han desarrollado un arsenal de cifradores que cubren prácticamente todos los activos críticos de una empresa moderna:

• Binarios en Go: Utilizan el lenguaje de programación Go para sus variantes dirigidas a Windows, Linux y sistemas NAS. El uso de Go permite una compilación cruzada eficiente y dificulta la ingeniería inversa tradicional.
• Locker especializado para ESXi: Han desarrollado un cifrador específico en lenguaje C para hipervisores VMware ESXi. Al atacar la capa de virtualización, el grupo puede cifrar docenas de servidores virtuales en un solo movimiento, maximizando el impacto operativo.
• Protección por contraseña: La ejecución de sus malwares requiere un parámetro de contraseña específico. Esto evita que los sistemas de análisis automático (sandboxes) ejecuten el código y descubran sus funciones sin intervención humana.

Impacto en la infraestructura crítica de América del Norte

En el último trimestre, se ha observado un aumento significativo en los ataques dirigidos a la infraestructura crítica de América del Norte. Empresas del sector energético y manufacturero han sido las principales víctimas. Un caso notable fue el compromiso del Complejo Energético Oltenia en Rumania a finales de 2025, que sirvió como campo de pruebas para las tácticas que ahora se están replicando en Estados Unidos y Canadá.

La capacidad de “The Gentlemen” para interrumpir servicios esenciales ha puesto en alerta a las agencias gubernamentales. El uso de la infraestructura de Ransomware The Gentlemen para exfiltrar terabytes de datos antes de activar el cifrado significa que, incluso si una empresa logra restaurar sus sistemas desde copias de seguridad, el daño reputacional y legal por la filtración de datos de clientes y secretos industriales es irreversible.

Recomendaciones de defensa y mitigación

Ante una amenaza de este calibre, las defensas tradicionales basadas en firmas son insuficientes. Los equipos de ciberseguridad deben adoptar un enfoque proactivo:

• Auditoría de perímetros: Es fundamental parchear de inmediato cualquier vulnerabilidad en dispositivos VPN y firewalls, además de implementar autenticación multifactor (MFA) en todos los puntos de acceso remoto.
• Monitoreo de tráfico proxy: Las organizaciones deben buscar conexiones SOCKS5 inusuales o tráfico cifrado hacia direcciones IP desconocidas que puedan indicar la presencia de SystemBC.
• Restricción de herramientas administrativas: Limitar el uso de PowerShell y bloquear la ejecución de herramientas como PsExec en cuentas que no sean estrictamente administrativas.
• Protección contra BYOVD: Implementar políticas de control de aplicaciones que bloqueen la carga de controladores que no estén explícitamente autorizados o que figuren en listas de controladores vulnerables conocidos.

Conclusión: El futuro de la amenaza

La botnet de 1,570 víctimas vinculada a Ransomware The Gentlemen es una advertencia clara sobre la dirección que está tomando el cibercrimen en 2026. La integración de infraestructuras de proxy maduras como SystemBC con modelos de negocio agresivos crea un entorno donde la velocidad de ataque supera la velocidad de defensa. La “profesionalización” de estos grupos significa que ya no estamos luchando contra códigos aislados, sino contra corporaciones criminales con recursos vastos y una capacidad de adaptación técnica sin precedentes.

Para las organizaciones, la resiliencia ya no se trata solo de tener respaldos, sino de entender la anatomía completa de la intrusión. Solo mediante la visibilidad total de la red y la neutralización de los canales de persistencia como los túneles SOCKS5, se podrá mitigar el avance de grupos que, como “The Gentlemen”, han demostrado que la cortesía en el nombre no se traduce en piedad durante el ataque.