Se ha observado que los actores de amenazas asociados con la operación The Gentlemen ransomware-as-a-service (RaaS) intentan implementar un conocido malware proxy llamado SystemBC.
Según una nueva investigación publicada por Check Point, el servidor de comando y control (C2 o C&C) vinculado a SystemBC ha permitido descubrir una botnet con más de 1.570 víctimas.
“SystemBC establece túneles de red SOCKS5 en el interior del entorno de la víctima y se conecta a su servidor C&C utilizando un protocolo enigmático RC4 personalizado”, dijo Check Point. Igualmente puede descargar y ejecutar malware adicional, con cargas avíos escritas en el disco o inyectadas directamente en la memoria.
Desde su aparición en julio de 2025, The Gentlemen se ha establecido rápidamente como uno de los grupos de ransomware más prolíficos, cobrándose más de 320 víctimas en su sitio de filtración de datos. Operando bajo un maniquí clásico de doble perturbación, el colección es versátil y sofisticado, exhibiendo capacidades para apuntar a sistemas Windows, Linux, NAS y BSD con un casillero basado en Go, adicionalmente de gastar controladores legítimos y herramientas maliciosas personalizadas para trastornar las defensas.
No está claro exactamente cómo los actores de amenazas obtienen paso auténtico, aunque la evidencia sugiere que se está abusando de los servicios de Internet o de las credenciales comprometidas para establecer un punto de apoyo auténtico, seguido de la décimo en el descubrimiento, el movimiento vecino, la puesta en ámbito de la carga útil (es opinar, Cobalt Strike, SystemBC y el cifrador), la diversión de defensa y la implementación de ransomware. Un aspecto importante de los ataques es el injusticia de los objetos de política de colección (GPO) para solucionar el compromiso de todo el dominio.
“Al adaptar sus tácticas contra proveedores de seguridad específicos, The Gentlemen ha demostrado una gran conciencia de los entornos de sus objetivos y una voluntad de participar en un registro en profundidad y modificación de herramientas durante el curso de su operación”, señaló el proveedor de seguridad Trend Micro en un disección del oficio del colección en septiembre de 2025.
Los últimos hallazgos de Check Point muestran que un afiliado de The Gentlemen RaaS implementó SystemBC en un host comprometido, con el servidor C2 vinculado al malware proxy que se apoderó de cientos de víctimas en todo el mundo, incluidos EE. UU., Reino Unido, Alemania, Australia y Rumania.
Si proporcionadamente SystemBC se ha utilizado en operaciones de ransomware desde 2020, la naturaleza exacta de la conexión entre el malware y el esquema de delito electrónico de The Gentlemen aún no está clara, por ejemplo, si es parte del manual de ataque o si es poco implementado por un afiliado específico para la exfiltración de datos y el paso remoto.
“Durante el movimiento vecino, el ransomware intenta cegar a Windows Defender en cada host remoto accesible al impulsar un script de PowerShell que deshabilita el monitoreo en tiempo positivo, agrega amplias exclusiones para la mecanismo, el procedimiento compartido de preparación y su propio proceso, apaga el firewall, vuelve a habilitar SMB1 y afloja los controles de paso secreto de LSA, todo antiguamente de implementar y ejecutar el binario del ransomware en ese host”, dijo Check Point.
La variación ESXi incorpora menos funcionalidades que la variación de Windows, pero está equipada para apagar máquinas virtuales para mejorar la efectividad del ataque, agrega persistencia a través de crontab e inhibe la recuperación antiguamente de que se implemente el binario del ransomware.
“La mayoría de los grupos de ransomware hacen ruido cuando se inician y luego desaparecen. Los Gentlemen son diferentes”, dijo Eli Smadja, jefe de colección de Check Point Research, en un comunicado compartido con The Hacker News.
“Han solucionado el problema de sustitución de afiliados al ofrecer un mejor trato que cualquier otra persona en el ecosistema criminal. Cuando ingresamos a uno de los servidores de su cirujano, encontramos más de 1,570 redes corporativas comprometidas que ni siquiera habían aparecido en las noticiario todavía. La escalera positivo de esta operación es significativamente longevo de lo que se conoce públicamente, y sigue creciendo”.
Los hallazgos se producen cuando Rapid7 destacó el funcionamiento interno de otra tribu de ransomware relativamente nueva emplazamiento Kyber que apareció en septiembre de 2025, apuntando a infraestructuras Windows y VMware ESXi utilizando cifrados desarrollados en Rust y C++, respectivamente.
“La variación ESXi está diseñada específicamente para entornos VMware, con capacidades para enigmático de almacenes de datos, terminación opcional de máquinas virtuales y nerviosismo de interfaces de dependencia”, dijo la compañía de ciberseguridad. “La variación de Windows, escrita en Rust, incluye una característica ’empírico’ que él mismo describe para apuntar a Hyper-V”.
“Kyber ransomware no es una obra maestra de código enredado, pero es muy eficaz a la hora de causar destrucción. Refleja un cambio en torno a la especialización sobre la sofisticación”.
Según los datos compilados por ZeroFox, en el primer trimestre de 2026 se observaron al menos 2.059 incidentes distintos de ransomware y perturbación digital (I+DE), y en marzo se registraron no menos de 747 incidentes. Los grupos más activos durante el período fueron Qilin (338), Akira (197), The Gentlemen (192), INC Ransom y Cl0p.
“En particular, las víctimas con sede en América del Septentrión representaron aproximadamente el 20 por ciento de los ataques de The Gentlemen en el tercer trimestre de 2025, el 2% en el cuarto trimestre de 2025 y el 13% en el primer trimestre de 2026”, dijo ZeroFox. “Esto va en gran medida en contra de las tendencias típicas de ataques regionales por parte de otros colectivos de I+D, de los cuales al menos el 50 por ciento son víctimas de América del Septentrión”.
La velocidad cambiante de los ataques de ransomware
La empresa de ciberseguridad Halcyon, en su Mensaje sobre la proceso del ransomware de 2025, reveló que la amenaza continúa madurando hasta convertirse en poco más disciplinado y una empresa criminal impulsada por los negocios, incluso cuando los ataques de ransomware dirigidos a la industria automotriz se duplicaron con creces en 2025, representando el 44% de todos los incidentes cibernéticos en todo el sector.
Otras tendencias importantes incluyen intentos de perjudicar las herramientas de seguridad de detección y respuesta de endpoints (EDR), el uso de la técnica de ataque Bring Your Own Frágil Driver (BYOVD) para prosperar privilegios y deshabilitar soluciones de seguridad, desdibujar las campañas de ransomware criminales y de los estados nacionales, y aumentar los ataques a organizaciones pequeñas y medianas y a entornos de tecnología operativa (OT).
“El ransomware continuó creciendo como un ecosistema industrializado duradero construido sobre la especialización, la infraestructura compartida y la rápida regeneración en oportunidad de una sola marca”, dijo. “La presión de las fuerzas del orden y las incautaciones de infraestructura interrumpieron operaciones importantes, generando fragmentación, cambios de marca e intensificación de la competencia en un panorama más fluido”.
Las operaciones de ransomware son cada vez más rápidas y los tiempos de permanencia se reducen de días a horas. Se ha descubierto que cerca de del 69% de los intentos de ataque observados se realizaron deliberadamente durante las noches y los fines de semana para aventajar la respuesta de los defensores.
Por ejemplo, los ataques que involucran al ransomware Akira han demostrado una celeridad inusual, escalando rápidamente desde el punto de apoyo auténtico hasta el enigmático completo en una hora en algunos casos sin detección, lo que destaca un motor de ataque proporcionadamente engrasado diseñado para maximizar el impacto.
“La combinación de Akira de capacidades de compromiso rápido, ritmo activo disciplinado e inversión en infraestructura de descifrado confiable lo distingue de muchos operadores de ransomware”, dijo Halcyon. “Los defensores deberían tratar a Akira no como una amenaza oportunista, sino como un adversario capaz y persistente que explotará cada cariño habitable para alcanzar su objetivo”.
