أظهر تقرير حديث لشركة PRODAFT أن مجموعة The Gentlemen بدأت نشاطها في مارس 2025 كجهة تابعة لبرامج الفدية كخدمة (RaaS) مثل LockBit وQilin وMedusa، قبل أن تتحول في يوليو 2025 إلى برنامج شراكة مستقل تحت اسمها الحالي. يقود المجموعة مجرم سيبراني روسي يُعرف بالاسم المستعار LARVA-368، الذي اعتمد بشكل كبير على الذكاء الاصطناعي لتطوير أدوات الفدية وإدارة مراحل ما بعد الاختراق.
هوية القائد وتاريخ النزاعات
كشفت تقارير صحفية أن هوية LARVA-368 تعود إلى شخص يُدعى ألكسندر أندريفيتش ياباييف من مدينة إيجيفسك الروسية. وقد ارتبط سابقاً بمجموعة Embargo قبل أن يطلق عملياته الخاصة تحت اسم ArmCorp، ثم أعاد تسميتها إلى The Gentlemen.
التحول جاء بعد نزاع مالي مع مجموعة Qilin، حيث اتهم LARVA-368 الأخيرة بالاحتيال وسرقة 48 ألف دولار، ما دفعه إلى جذب شركاء جدد عبر التشكيك في مصداقية منافسيه.
تكتيكات وأساليب متقدمة
تصف تقارير أمنية مثل Cybereason وNCC Group المجموعة بأنها عملية فدية سريعة التكيف، تستخدم تقنيات ناضجة مثل:
- الابتزاز المزدوج
- أدوات RaaS
- قفل متعدد المنصات
- التلاعب بـ GPO
- تقنية BYOVD لتجاوز أنظمة الحماية
كما توفر المجموعة دعماً فنياً لشركائها عبر منصات مشفرة مثل Tox وSimpleX Chat وRicochet Refresh، وتفرض شرطاً على الشركاء الجدد بتقديم 1 جيجابايت من بيانات مسروقة لإثبات الجدية ومنع الباحثين والسلطات من التسلل إلى بنيتها التحتية.
انتشار عالمي ونموذج ربح مغري
حتى الآن، تدّعي المجموعة أنها استهدفت 478 ضحية، معظمهم في تايلاند والمملكة المتحدة والبرازيل وألمانيا والهند، بينما لا تتجاوز نسبة الضحايا في الولايات المتحدة 13%.
يعتمد نموذج الربح على تقاسم الأرباح بنسبة 90% للشركاء و10% للمشغل، ما يجعلها واحدة من أكثر العمليات جذباً للمهاجمين.
قدرات تقنية متطورة
تستخدم المجموعة مزيجاً تشفيرياً يجمع بين X25519 لتبادل المفاتيح وXChaCha20 للتشفير المتماثل. كما أن برمجيتها مكتوبة بلغة Go ومموهة بأداة Garble، وتملك القدرة على التحول إلى دودة رقمية عند تفعيل خيار –spread، حيث تنتشر تلقائياً عبر الشبكة لتصيب أنظمة إضافية.
تتضمن سلاسل الهجوم أدوات مثل NetExec وRelayKing وTaskHound وPrivHound لاكتشاف Active Directory ورفع الامتيازات، إضافة إلى أدوات مثل EDRStartupHinder وDumpBrowserSecrets لتجاوز أنظمة الحماية.
تسريبات تكشف البنية الداخلية
في أبريل 2026، أدى تسريب قاعدة بيانات Rocket.Chat إلى كشف أكثر من 3,300 رسالة داخلية بين أعضاء المجموعة، أظهرت استخدامهم لثغرات في منتجات VMware وFortinet وCisco وMicrosoft، مع تقسيم واضح للأدوار والمهام داخل العملية. كما عُثر على دليل مفتوح يحتوي على أدوات كاملة للاختراق، من الاستطلاع إلى التحرك الجانبي والتصعيد والتحميل المسبق قبل التشفير.
هذه المعطيات تؤكد أن مجموعة The Gentlemen ليست مجرد عملية فدية تقليدية، بل بنية إجرامية متكاملة تجمع بين الابتكار التقني والقدرة على التكيف، ما يجعلها واحدة من أخطر التهديدات في مشهد الأمن السيبراني العالمي.
