DeafNews
// 1 CRITICAL · 2 ZERO-DAY · 4 CVE · 4 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
News

The Gentlemen: come LLM e automazione ridisegnano il ransomware

Published: Updated: By DeafSuite team 7 min read News
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
CERT-AGID mappa l'uso di LLM nel gruppo ransomware The Gentlemen: 500 vittime in un anno, piattaforma negoziazione in 3 giorni, worm autoreplicante.

Il 4 maggio 2026 un leak ha esposto le comunicazioni interne di The Gentlemen, gruppo ransomware ex-ArmCorp attivo da marzo 2025. Nel giro di pochi giorni, i criminali sono migrati su piattaforme decentralizzate e hanno continuato le operazioni. Secondo l'analisi del CERT-AGID, l'adozione di modelli di linguaggio non è più sperimentale: funge da moltiplicatore di efficacia in quattro fasi critiche del ciclo di attacco. Il risultato è circa 500 vittime globali in meno di un anno, un volume che compete con le gang storiche pur con una struttura ridotta.

Punti chiave
  • La piattaforma di negoziazione con le vittime è stata sviluppata in 3 giorni con assistenti di codifica basati su LLM, contro le settimane tradizionali.
  • L'intelligenza artificiale personalizza email di ricatto e contatti telefonici estraendo dati sulla vittima per individuarne i punti deboli.
  • Il gruppo ha sottratto dati interni a organizzazioni concorrenti come Black Basta per fare fine-tuning dei propri modelli LLM.
  • La variante Go del ransomware include il parametro --spread, che converte il payload in worm autoreplicante con movimenti laterali automatici.
  • Il modello RaaS offre il 90% del riscatto agli affiliati; il pannello ne conta 34 registrati.

Il ciclo di attacco ridisegnato dai modelli di linguaggio

Il dossier del CERT-AGID disegna un ciclo di feedback positivo. L'accesso iniziale avviene principalmente attraverso l'acquisto di credenziali legittime rubate da infostealer. In assenza di queste, il gruppo ricorre alla scansione di vulnerabilità note non patchate su apparati Cisco e Fortinet.

Da qui il payload si propaga in 5 varianti: Windows, Linux, ESXi, e una versione Go dotata della flag --spread. Quest'ultima è il cuore dell'automazione. Il parametro trasforma il ransomware in worm autoreplicante, capace di automatizzare la cifratura dell'intera rete aziendale sfruttando i movimenti laterali senza intervento umano.

La dipendenza da operatori qualificati si riduce drasticamente: un affiliato con credenziali valide e un'esecuzione manuale iniziale può delegare la propagazione al codice. L'innovazione tecnica non sta nel worm in sé, già visto in altri contesti, ma nella combinazione con l'uso sistematico di LLM per ottimizzare ogni fase successiva all'infezione.

La negoziazione, tradizionalmente il collo di bottiglia umano, viene gestita attraverso una piattaforma sviluppata in 3 giorni anziché settimane. Le comunicazioni con le vittime sono strutturate da prompt alimentati da dati estratti dall'AI, che identifica autonomamente i punti deboli da sfruttare psicologicamente.

L'"apprendimento parassitario": fine-tuning sui leak dei concorrenti

Il terzo impiego di LLM documentato dal CERT-AGID è quello più insolito. The Gentlemen ha utilizzato dati confidenziali e manuali interni sottratti ad altre organizzazioni cybercriminali, in particolare Black Basta, per fare fine-tuning o alimentare il contesto dei propri modelli. Questo crea una forma di "organizational learning" criminale senza sperimentazione sul campo: il gruppo assimila tattiche collaudate da gang più grandi, le rielabora attraverso modelli di linguaggio, le ridistribuisce agli affiliati.

Il modello operativo è RaaS con una quota del 90% del riscatto agli affiliati, confermata anche da FortiGuard. Secondo Prodaft, il pannello affiliati conta 34 utenti registrati. Il data leak site elenca oltre 200 vittime in più di 50 paesi e 20 industrie, secondo FortiGuard; il CERT-AGID indica circa 500 vittime totali in meno di un anno. La differenza può riflettere ritardi di pubblicazione sul leak site o conteggio diverso tra vittime effettive e pubbliche.

"L'adozione dell'intelligenza artificiale non è più solo teorica, ma agisce come un vero e proprio moltiplicatore di efficacia per le attività della gang" — CERT-AGID

Identità e struttura: da ArmCorp a The Gentlemen

Secondo il report di Prodaft, basato su HUMINT e fonti underground, il gruppo era originariamente noto come ArmCorp da marzo 2025. La transizione a The Gentlemen è avvenuta nel 2025. L'amministratore è identificato come hastalamuerte/zeta88, tracciato da Prodaft con il codice LARVA-368. Le fonti lo descrivono come Russian-speaking, con possibile familiarità con la cultura ispanico-latinoamericana; la nazionalità non è determinata.

FortiGuard solleva dubbi sulla natura del modello: definisce The Gentlemen un "piccolo team altamente coordinato" piuttosto che un tradizionale RaaS strutturato. Qualunque sia la gerarchia reale, l'automazione AI permette a un nucleo ridotto di competere numericamente con gang storiche. Il leak del maggio 2026, relativo al provider 4VPS, ha provocato una migrazione immediata su piattaforme decentralizzate senza interruzione operativa.

Perché è importante

Il caso The Gentlemen mostra 4 meccanismi concreti di trasformazione del ransomware: compressione dei tempi di sviluppo (3 giorni vs settimane), personalizzazione psicologica delle estorsioni, apprendimento accelerato dai dati altrui, e propagazione autonoma del payload. Per le organizzazioni, questo significa che un singolo accesso iniziale via credenziali rubate o vulnerabilità non patchata può escalare in cifratura di rete completa senza ulteriore intervento umano.

Il CERT-AGID mette a disposizione il proprio servizio IoC per la rilevazione di indicatori di compromissione associati al gruppo. La sottoscrizione del feed richiede l'accreditamento tramite modulo dedicato sul portale istituzionale. Il dato di 500 vittime in meno di un anno, con 34 affiliati e 90% di revenue share, indica che l'automazione AI sta abbassando la barriera d'ingresso nel ransomware-as-a-service: skill tecniche ridotte, volume di attacco elevato, apprendimento collettivo accelerato.

Domande frequenti

Che cosa rende The Gentlemen differente da altri gruppi ransomware?

Il dossier evidenzia l'uso sistematico di LLM non solo per velocizzare il coding ma per apprendimento tattico accelerato dai dati dei concorrenti. Il fine-tuning su leak di Black Basta rappresenta una meta-tattica documentata che distingue il gruppo da chi si limita a usare modelli generici per scripting o phishing.

Il parametro --spread funziona senza interazione umana?

Sì, secondo il CERT-AGID la versione Go con --spread converte il payload in worm autoreplicante che automatizza i movimenti laterali e la cifratura dell'intera rete. L'avvio richiede comunque l'esecuzione iniziale, probabilmente tramite credenziali compromesse o vulnerabilità sfruttata.

Quanto attendibile è il conteggio di 500 vittime?

La cifra deriva dall'analisi investigativa del CERT-AGID, non da verifica forense caso per caso. FortiGuard ne conferma almeno 200 pubblicate sul data leak site. Il dato complessivo potrebbe includere vittime non ancora divulgate o conteggi con margini diversi.

Le informazioni sono basate sull'advisory citato e aggiornate al momento della pubblicazione.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Approfondimenti correlati

  • Malware su Steam Workshop: wallpaper animati rubano credenziali
  • Corea del Nord contro gli sviluppatori: quando l'IDE diventa la superficie di
  • ZDI-26-359: RCE in Samsung rlottie, patch urgente

Fonti

Fonti e riferimenti
  1. cert-agid.gov.it
  2. catalyst.prodaft.com
  3. fortiguard.com