Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. , pionero y líder global en soluciones de ciberseguridad, ha publicado un análisis exhaustivo sobre el grupo de Ransomware-as-a-Service (RaaS) conocido como The Gentlemen. La investigación se produce tras una brecha de seguridad en la infraestructura del grupo en mayo de 2026, que expuso registros de chat internos, estructuras organizativas y tácticas de negociación. 

A pesar de su enorme impacto, con más de 400 víctimas públicas, The Gentlemen es una operación sorprendentemente ágil gestionada por unos nueve operadores identificados que giran en torno a un único administrador (zeta88, probablemente la misma persona conocida en otros ámbitos como hastalamuerte), quien se encarga de crear el ransomware, gestionar el panel RaaS, administrar los pagos y participar personalmente en los ataques.

La investigación de Check Point Research (CPR) ha revelado estos detalles:

• Desarrollo acelerado por IA: el administrador utilizó asistentes de codificación de IA, específicamente los modelos chinos DeepSeek y Qwen, para desarrollar el panel de control de la plataforma en tan solo tres días.
• Modelo de negocio agresivo: el grupo ofrece a sus afiliados un reparto de ingresos del 90/10, superando el estándar de la industria del 80/20. Esta estrategia ha permitido atraer a operadores experimentados de grupos competidores como Qilin.
• Liderazgo participativo: a diferencia de otros administradores, zeta88 participa directamente en los eventos de cifrado, confirmando personalmente las acciones mediante chats internos.

La investigación ha revelado una táctica alarmante denominada cadena de victimización. En un caso reciente, el grupo atacó a una consultora de software en el Reino Unido y utilizó los datos robados para lanzar un ataque subsiguiente contra uno de sus clientes en Turquía. The Gentlemen llegó a publicar a ambas empresas en su página de filtraciones, señalando a la consultora británica como su proveedor de acceso para presionar legalmente a las víctimas entre sí. 

El grupo explota principalmente dispositivos de borde sin parchear y credenciales robadas para obtener acceso inicial. Entre las vulnerabilidades activamente explotadas se encuentran: 

• Acceso inicial: CVE-2024-55591 y CVE-2025-32433 en dispositivos VPN y appliances.
• Movimiento lateral: ataques de relevo NTLM (CVE-2025-33073) y explotación de Active Directory.

Check Point Software recomienda a las empresas:

• Priorizar el parcheo de dispositivos de borde (VPNs y firewalls) como una urgencia de nivel directivo.
• Implementar análisis de comportamiento: permitirá detectar movimientos laterales antes del despliegue del ransomware.
• Asegurar copias de seguridad inmutables y aisladas del dominio: esta medida es necesaria porque el grupo apunta específicamente a sistemas NAS y backups.

Check Point Research ya ha compartido estos hallazgos con las autoridades correspondientes y mantiene una investigación activa. Los clientes de Check Point Software están protegidos contra el ransomware de The Gentlemen a través de las soluciones Threat Emulation y Harmony Endpoint. 

Para acceder al informe técnico completo y los indicadores de compromiso (IoC), se puede visitar el blog de Check Point Research.