Um relatório da Vectra AI revelou que o grupo ransomware The Gentlemen, formado por operadores vindos do Conti e do Black Basta, explora falhas em dispositivos Fortinet e usa inteligência artificial como apoio operacional. A análise de 3.366 mensagens internas mostra continuidade nas táticas de invasão apesar da rebrandagem do grupo em 2026.
Vínculos com Conti e Black Basta
Uma análise de 3.366 mensagens internas do Rocket.Chat, obtidas em vazamento do grupo e documentada em relatório da Vectra AI em maio de 2026, revela continuidade operacional direta entre três das maiores gangues de ransomware da última década. O operador conhecido como “Tinker” aparece nos chats do Conti (2022), do Black Basta (2025) e do The Gentlemen (2026), atuando em phishing, negociação e operações com credenciais. A infraestrutura compartilhada — incluindo o servidor Matrix bestflowers247.online — reforça que atores de ransomware trocam de marca em vez de abandonar operações.
Falhas Fortinet como porta de entrada
O vetor de acesso inicial predominante do grupo são dispositivos Fortinet de borda. Os logs registram 81 referências a sistemas FortiGate, com exploração da vulnerabilidade CVE-2024-55591 (bypass de autenticação no FortiOS), além de campanhas de força bruta contra cerca de 1.000 instâncias VPN Fortinet. Credenciais fracas como “gentlemen25” foram identificadas nos chats internos. A estratégia repete o padrão histórico do Conti e do Black Basta: explorar dispositivos de perímetro com falhas conhecidas ou credenciais fracas.
G-BOT substitui Cobalt Strike
O grupo desenvolveu o G-BOT, framework proprietário de comando e controle (C2) que substituiu o Cobalt Strike. O G-BOT suporta túnel SOCKS5 e utiliza serviços públicos de compartilhamento de arquivos (temp.sh, 0x0.st) para entrega de payloads. Nas técnicas de evasão, o grupo emprega unhooking de NTDLL, execução direta de syscalls, patching de ETW e manipulação de registradores de debug. No mercado underground, ferramentas capazes de desabilitar EDRs líderes custam cerca de US$ 5.000.
IA apoia operações do grupo
The Gentlemen integra ferramentas de inteligência artificial nas operações, assim como outros grupos que já demonstraram evasão de EDR com IA, mas não para geração de malware. ChatGPT, Claude e LLMs sem censura no Hugging Face são usados para elaborar mensagens de phishing, automatizar comunicação com vítimas, traduzir código entre variantes de malware e analisar dados roubados via infraestrutura de GPU alugada. O relatório aponta confiança mista dos operadores nos resultados de IA — a tecnologia funciona como ferramenta de apoio.
O grupo também ataca ambientes Hyper-V diretamente no nível do host, criptografando armazenamento de máquinas virtuais sem que ferramentas de segurança no nível guest detectem a atividade. Para exfiltração, utiliza a cadeia rclone para NAS Synology (staging) e depois MEGA (nuvem), com credenciais e endereços IP expostos nos chats vazados.
| Estágio | Técnica | Detalhe |
|---|---|---|
| Acesso inicial | Exploração de perímetro | CVE-2024-55591, força bruta VPN Fortinet |
| Comando e controle | C2 proprietário | G-BOT com SOCKS5, temp.sh, 0x0.st |
| Evasão de EDR | Técnicas de bypass | NTDLL unhooking, syscalls diretos, ETW patching |
| Coleta de creds | Stealers | LummaC2, Phemedrone, DumpBrowserSecrets |
| Exfiltração | Cloud staging | rclone → Synology NAS → MEGA |
| Impacto | Virtualização | Criptografia no nível host Hyper-V |
Para equipes de segurança, as recomendações específicas incluem: aplicar patches do FortiOS imediatamente; monitorar tráfego SOCKS5 anômalo para serviços de compartilhamento públicos; reforçar credenciais VPN com autenticação multifator; auditar configurações de Hyper-V para detectar acesso não autorizado no nível do host; e implementar detecção de unhooking de NTDLL e patching de ETW como indicadores de comprometimento.
Fontes
Vectra AI — From Conti to The Gentlemen