Vào ngày 4/5/2026, KELA ghi nhận rằng một phần nội dung trao đổi nội bộ và dữ liệu backend được cho là liên quan đến hoạt động RaaS của The Gentlemen đã được rao bán trên một số diễn đàn ngầm. Việc phân tích các tài liệu bị rò rỉ cho đến nay, bao gồm cả đoạn chat dạng văn bản và hình ảnh, trải dài trong gần 6 tháng, từ ngày 7/11/2025 đến ngày 30/4/2026, đã mang lại góc nhìn hiếm có về cấu trúc nội bộ, mô hình affiliate, hạ tầng, bộ công cụ, logic lựa chọn mục tiêu, cách sử dụng AI, cũng như mối quan hệ của nhóm này với các cộng tác viên và những hệ sinh thái ransomware khác. Vụ rò rỉ cung cấp cái nhìn từ bên trong về cách một chương trình ransomware tương đối mới nhưng hoạt động rất mạnh điều phối các cuộc xâm nhập, đánh giá nạn nhân, hỗ trợ affiliate và chuyên nghiệp hóa quy trình vận hành.
Vụ rò rỉ này có nhiều điểm tương đồng với vụ rò rỉ lớn về chat nội bộ của Black Basta vào tháng 2/2025. Ban đầu, dữ liệu xuất hiện dưới dạng một bài đăng rao bán trên Exploit.in bởi tài khoản XxHDSandwichxX vào ngày 4/5/2026. Sau đó, tài liệu tiếp tục được chia sẻ bởi hai người dùng khác, được nghi ngờ là cùng một tác nhân: tài khoản n7778 trên diễn đàn Cracked vào ngày 5/5/2026 và tài khoản n789 trên Nulled trong cùng ngày.
Người rao bán mô tả tài liệu này là các trao đổi nội bộ của The Gentlemen, định giá toàn bộ bộ dữ liệu ở mức 10.000 USD bằng BTC và cung cấp thông tin liên hệ Tox để gửi mẫu. Các mẫu dữ liệu được cho là bắt đầu bị rò rỉ vào ngày 6/5, và tài khoản trên Exploit.in sau đó đã bị cấm.
THE GENTLEMEN – MỘT RAAS ĐANG TRỖI DẬY
Từ ngày 1/1/2026 đến ngày 13/5/2026, KELA đã theo dõi tổng cộng 3.349 nạn nhân ransomware được công khai tuyên bố, tăng khoảng 14,50% so với tổng số vụ tấn công được công bố trong cùng kỳ năm 2025.
Theo data lake của KELA, trong giai đoạn từ tháng 1 đến tháng 5/2026, nhóm ransomware hoạt động mạnh nhất là Qilin RaaS, chiếm 17% tổng số vụ tấn công ransomware được công khai. Vị trí thứ hai thuộc về một đối thủ mới đang trỗi dậy: The Gentlemen.
Hoạt động của The Gentlemen, được cho là bắt đầu từ khoảng tháng 9/2025, đã phát triển rất nhanh với 328 nạn nhân được công khai chỉ trong 5 tháng đầu năm 2026. Điều này có nghĩa là các tuyên bố của nhóm này chiếm 10% tổng số vụ ransomware được công bố trên toàn cầu tính đến thời điểm đó trong năm 2026.
NHỮNG “QUÝ ÔNG” NỔI BẬT
Ngay từ đầu, các đoạn chat đã tiết lộ vòng tròn nội bộ có thể quan sát được của The Gentlemen, gồm các thành viên zeta88, Wick, mAst3r, Kunder, qbit, quant, Protagor và JeLLy. Các đoạn chat không cho thấy một hệ thống phân cấp cứng nhắc, mà giống một hệ sinh thái kiểu RaaS xoay quanh The Gentlemen hơn: gồm lớp quản trị viên/người vận hành cốt lõi, các tác nhân trực tiếp thực hiện xâm nhập, cộng tác viên chuyên về quyền truy cập, người đóng góp công cụ, cùng các đối tác hoặc affiliate bên ngoài.
Dựa trên các đoạn chat quan sát được, vai trò của từng người có thể được mô tả như sau:
- zeta88 – Có vẻ là quản trị viên/người vận hành cốt lõi; quản lý panel, locker/encrypter, hạ tầng, affiliate, đàm phán và nhận 10% tiền chuộc.
- Wick – Tác nhân trực tiếp thực hiện xâm nhập/mã hóa; tham gia lựa chọn mục tiêu, truy cập, trinh sát, đánh cắp dữ liệu và mã hóa, thường cộng tác với mAst3r.
- mAst3r – Cộng tác viên trực tiếp, tập trung vào lựa chọn mục tiêu, trinh sát và hỗ trợ trong quá trình xâm nhập/mã hóa.
- Kunder – Được nghi ngờ là cộng tác viên chuyên về quyền truy cập và xác thực môi trường nạn nhân. Vai trò của Kunder có vẻ vượt quá mức chỉ bán lại quyền truy cập thụ động, nhưng chưa đến mức quản trị như zeta88.
- qbit – Có thể tham gia phát triển công cụ và nghiên cứu lỗ hổng.
- quant – Dường như đóng góp thông qua các quyền truy cập thu được từ log, năng lực brute-force, ý tưởng phishing và các công cụ thu thập dữ liệu.
- Protagor và JeLLy – Các tác nhân hỗ trợ trong thảo luận về công cụ, quyền truy cập hoặc vận hành.
- Hastala/hastalamuerte – Có vẻ là một initial access broker (IAB) làm việc với nhóm. Các đoạn chat cho thấy những tác nhân khác chờ Hastala cung cấp hoặc lựa chọn mục tiêu/mạng, gợi ý vai trò giống IAB, dù thỏa thuận thương mại cụ thể không được thể hiện đầy đủ trong các đoạn chat mẫu.
- Dragon Force (DragonForce), Devman, LockBit, Qilin và Black Basta, nhóm đã không còn hoạt động, cũng được nhắc đến như các nhóm liền kề, đối thủ cạnh tranh, đối tác hoặc điểm kết nối trong hệ sinh thái.
HẠ TẦNG VÀ KHO CÔNG CỤ CỦA THE GENTLEMEN
Sau khi rời khỏi một nền tảng mà họ cho là “tệ hại” là Mattermost, nhóm cốt lõi đã chuyển sang một máy chủ Rocket.Chat .onion tự host mà họ nghĩ là được tăng cường bảo vệ. Tuy nhiên, sự trớ trêu của hạ tầng ngầm đã không bỏ qua họ. zeta88 thực ra đang lên kế hoạch chuyển sang một giải pháp chat thay thế Rocket nhanh hơn, được xây dựng bằng Rust, nhưng dữ liệu nội bộ đã bị rò rỉ trước khi kế hoạch này hoàn tất.
Theo các đoạn chat, để liên lạc bên ngoài và đàm phán với nạn nhân, nhóm này dựa vào Tor Data Leak Site (DLS), Tox, Session và Element. Lưu lượng tấn công của họ được định tuyến qua một mạng lưới các nhà cung cấp bulletproof VPS, chẳng hạn như 4vps.su và JustHost.asia, sử dụng Amnezia VPN, WireGuard và Cloudflare ZeroTrust tunnel, được điều phối bằng các công cụ tùy chỉnh như ZeroPulse.
Theo dữ liệu rò rỉ, nhóm này chủ động quét các lỗ hổng như CVE-2023-34039, CVE-2025-33073, CVE-2024-55591 đối với quyền truy cập quản trị FortiOS, cũng như lỗ hổng Erlang SSH CVE-2025-32433 nhắm vào thiết bị Cisco. Tuy vậy, họ cũng sẵn sàng tận dụng các lỗi cấu hình kinh điển, kết hợp PetitPotam, PrinterBug, WebDAV WebClient exposure, ZeroLogon, thậm chí khai thác iDRAC hoặc máy chủ sao lưu Veeam để đạt được quyền Domain Admin. Khi các phương án khác thất bại, họ lạm dụng Windows MSI service thông qua RegPwn để âm thầm leo thang đặc quyền ngay trong môi trường của nạn nhân.
AI TRONG RANSOMWARE: CÁCH THE GENTLEMEN SỬ DỤNG CÁC LLM “XÓA BỎ RÀO CHẮN”
Một trong những phát hiện đáng chú ý nhất là cách nhóm này sử dụng AI một cách thực dụng và có chọn lọc. zeta88 nói rằng anh ta đã “vibe-code” một panel trong ba ngày, nhưng nhấn mạnh rằng đầu ra của AI vẫn cần người có hiểu biết kiểm tra và chỉnh sửa thủ công. zeta88 và những người khác phân biệt các mô hình phục vụ cho những mục đích khác nhau: các mô hình Trung Quốc hoặc mô hình không bị kiểm duyệt như Qwen, DeepSeek, Kimi, Ernie/Baidu và chat.z.ai được thảo luận để phục vụ tác vụ lập trình và kỹ thuật. Các đoạn chat cũng cho thấy LLM được dùng để tra cứu kỹ thuật, chẳng hạn như Jira mass-mailing và nội bộ FortiGate.
Các đoạn chat cũng thể hiện sự quan tâm đến những biến thể LLM độc hại, thay vì chỉ các trợ lý AI phổ biến. qbit đã chia sẻ một mô hình có tên Huihui-Qwen3.5-35B-A3B-abliterated, mô tả nó là một “mạng neural cấp tiến” có thể tạo ra bất kỳ nội dung nào “không kiểm duyệt”, với “mọi rào cản bị loại bỏ”, “hoàn toàn không từ chối” và “tuyệt đối không có giới hạn”. Riêng Protagor đề xuất thuê năng lực GPU trên Vast.ai và sử dụng Qwen 3.5 để xử lý hàng trăm gigabyte dữ liệu đánh cắp từ nạn nhân, xác định các panel và suy luận về các đường truy cập.
TÁI SỬ DỤNG PLAYBOOK RANSOMWARE BỊ RÒ RỈ: HỌC TỪ BLACK BASTA
KELA nhận thấy vụ rò rỉ này gợi nhớ đến vụ rò rỉ chat nội bộ lớn của Black Basta vào tháng 2/2025. Đáng chú ý, các nội dung trao đổi bị rò rỉ cho thấy các thành viên The Gentlemen đã chủ động nghiên cứu tài liệu và quy trình vận hành bị rò rỉ của Black Basta.
Các thảo luận tập trung nhiều vào phương pháp phishing và truy cập ban đầu của Black Basta. Các thành viên phân tích ảnh chụp màn hình từ các đoạn chat bị rò rỉ để hiểu liệu Black Basta gửi email phishing hàng loạt thông qua hạ tầng Microsoft, hay trước tiên xâm nhập hộp thư doanh nghiệp rồi lạm dụng các tài khoản email nội bộ đáng tin cậy để gửi những thông điệp có sức thuyết phục hơn và dễ vượt qua danh sách cho phép hơn. Các ảnh chụp được chia sẻ mô tả một quy trình vận hành dựa trên OWA, trong đó tác nhân tấn công tận dụng quyền truy cập hợp lệ vào mailbox, xem xét doanh thu và hồ sơ của tổ chức nạn nhân, xác định hạ tầng bị lộ thông qua các nền tảng trinh sát như Censys, sau đó kiểm thử thông tin đăng nhập bị đánh cắp trên VPN, Citrix, Cisco, Fortinet, RDP và các dịch vụ truy cập từ xa khác.
Các đoạn chat bị rò rỉ của Black Basta cũng cho thấy nhóm này tập trung vào social engineering chất lượng cao. Trong một trao đổi, một tác nhân đã từ chối các mẫu phishing chung chung, ưu tiên những tin nhắn ngắn, tự nhiên theo kiểu đồng nghiệp gửi cho đồng nghiệp, chẳng hạn như “Hi, look at the document.” Các ảnh chụp bổ sung đề cập đến việc mạo danh nhân viên nội bộ, xem lại các luồng email để tạo phản hồi đáng tin cậy và lựa chọn mục tiêu dựa trên giá trị tài chính. Những thảo luận này cho thấy The Gentlemen xem vụ rò rỉ của Black Basta như một playbook thực tế để cải thiện kỹ thuật phishing, tái sử dụng thông tin đăng nhập và trinh sát nội bộ.
Nhìn chung, vụ rò rỉ cung cấp góc nhìn về một hệ sinh thái ransomware ngày càng cạnh tranh, nơi các tác nhân đe dọa liên tục phân tích kỹ thuật, sai lầm vận hành và các phương pháp xâm nhập thành công của nhau nhằm tinh chỉnh hoạt động của chính mình.
CHIẾN THUẬT TRUY CẬP BAN ĐẦU: LẠM DỤNG OWA VÀ TỐNG TIỀN QUA EMAIL
Về vector truy cập ban đầu, The Gentlemen đã thử nghiệm việc sử dụng Outlook Web Access (OWA) bị xâm nhập như một nguồn truy cập ban đầu, đồng thời là kênh để phishing, staging payload và tạo áp lực tống tiền.
Trong quá trình phân tích các tài liệu bị rò rỉ, bao gồm cả đoạn chat văn bản và hình ảnh, KELA quan sát thấy một ảnh chụp màn hình bị rò rỉ từ các đoạn chat của The Gentlemen. Ảnh này cho thấy một phương pháp tống tiền nạn nhân bằng nội dung y tế nhạy cảm, có thể được thực hiện thông qua chính hộp thư cá nhân của nạn nhân.
Ảnh chụp màn hình thể hiện một email mang phong cách tống tiền, đe dọa leo thang bằng cách thông báo cho các cá nhân bị ảnh hưởng có liên quan đến nạn nhân. Tin nhắn bao gồm dữ liệu theo kiểu thông tin y tế/bệnh nhân nhạy cảm, và ý nghĩa vận hành của nó rất rõ ràng: The Gentlemen không chỉ thảo luận về tài khoản OWA như một cách tìm thông tin đăng nhập VPN hoặc phục vụ phishing; họ còn thử nghiệm hoặc sử dụng các mailbox bị xâm nhập như một kênh đáng tin cậy để gửi thông điệp và gây áp lực trong quy trình tống tiền. Điều này làm mờ ranh giới giữa xác thực quyền truy cập, phishing và hỗ trợ đàm phán ransomware.
MÔ HÌNH RAAS VÀ ƯU TIÊN LỰA CHỌN MỤC TIÊU
Logic lựa chọn mục tiêu của nhóm này mang tính thực dụng. Các đoạn chat cho thấy Wick yêu cầu mAst3r ưu tiên các quốc gia Tier 1–3 hoặc khu vực Mỹ Latinh, đồng thời tránh các mục tiêu kiểu Ấn Độ/châu Phi. Tuy nhiên, Wick cũng giải thích rằng doanh thu thô không phải là tất cả: một công ty tiện ích có doanh thu 20 triệu USD có thể hấp dẫn hơn một nhà sản xuất có doanh thu 200 triệu USD nếu mức độ gián đoạn vận hành tạo ra áp lực lớn hơn. Ngoài yếu tố địa lý, doanh thu và lĩnh vực, họ còn đánh giá sự hiện diện của LDAP, khả năng có panel, khả năng đạt Domain Admin, giá trị dữ liệu, file share, trạng thái cloud và mức độ ảnh hưởng thực sự nếu doanh nghiệp bị “khóa” hoàn toàn.
Các đoạn chat nội bộ cũng phần lớn xác nhận tuyên bố công khai của The Gentlemen về mô hình RaaS, nhưng bổ sung thêm một số chi tiết vận hành. Công khai, nhóm này quảng bá mô hình chia tiền 90/10, affiliate kiểm soát đàm phán và các bản build được phát hành dưới Tox của affiliate. Trong nội bộ, zeta88 mô tả mô hình này cụ thể hơn: các bản build thực thi ransomware tùy chỉnh được tạo thông qua panel, vốn là một phần của gói RaaS; ransom note bao gồm Tox và Session của affiliate; nạn nhân liên hệ với quản trị viên sẽ được chuyển hướng về affiliate; ví tiền thuộc về affiliate; và zeta88 nhận 10%.
Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua:
Email: info@unitas.vn
Hotline: (+84) 939 586 168
