// 1 CVE · 2 EXPLOIT NELLE ULTIME 24H
Kaspersky analizza The Gentlemen, gruppo ransomware attivo dal 2026. Backdoor in Go con C2 persistente, 5 driver BYOVD per blindare EDR e movimento laterale via GPO

Kaspersky ha pubblicato il 29 giugno 2026 l'analisi tecnica completa di The Gentlemen, gruppo ransomware-as-a-service emerso a inizio 2026 e già posizionato tra i primi dieci attori per numero di annunci di vittime sui propri siti di data leak. Il report documenta un'architettura di attacco che non si limita al deployment del payload criptante: il gruppo installa una backdoor custom in Go con giorni di anticipo, trasformando il ransomware da evento isolato in operazione di intelligence su più fasi.

Le campagne analizzate, osservate direttamente da febbraio 2026, colpiscono grandi corporation e infrastrutture critiche. L'accesso iniziale avviene tramite vulnerabilità in servizi online esposti e credenziali deboli o rubate, con focus particolare su hardware VPN e firewall perimetrali. In alcuni casi Kaspersky rileva accessi preesistenti rispetto al deployment ransomware, elemento che suggerisce possibile collaborazione con Initial Access Broker.

Punti chiave
  • The Gentlemen è tra i primi dieci gruppi ransomware per annunci di vittime nel primo semestre 2026, con targeting di grandi corporation e infrastrutture critiche.
  • La backdoor custom in Go si installa un giorno prima dell'attacco ransomware, utilizzando la libreria Yamux per comunicazione TCP bidirezionale persistente con il server di comando e controllo.
  • L'arsenale include cinque driver vulnerabili BYOVD specifici per disabilitare EDR, affiancati da Windows Kernel Explorer e OpenArk64 per l'intercettazione di system call.
  • SharpADWS bypassa il logging standard di Active Directory incapsulando query LDAP in messaggi SOAP, mentre netsh cattura pacchetti su share amministrative per l'estrazione di credenziali in chiaro.

La backdoor come "gentleman's knock": intelligence prima del colpo

Il dato più disturbante dell'analisi Kaspersky è il timing. La backdoor viene deployata in media un giorno prima dell'esecuzione del ransomware, non come semplice accessorio ma come piattaforma operativa completa. Al momento dell'installazione raccoglie informazioni di sistema via WMI: hostname, dominio, UUID e indirizzo IP. Questi dati non servono al criptaggio immediato, ma a costruire una mappa della rete che il gruppo utilizza per decidere dove colpire.

La comunicazione con il C2 avviene tramite la libreria Yamux, che implementa multiplexing su connessione TCP singola. L'indirizzo identificato è 81.177.215[.]15 sulla porta 9443. La backdoor interpreta due byte di comando: 'c' per l'esecuzione di comandi via cmd.exe /c, 's' per l'instaurazione di un proxy SOCKS. Quest'ultima funzione consente pivoting verso segmenti di rete non direttamente raggiungibili dal punto di compromissione iniziale.

Secondo Kaspersky, "given the backdoor implant's capabilities, such as establishing two-way communication, executing commands, setting up a SOCKS proxy, and gathering information, it's clear that it can also be used to expand the attack chain as needed". La distinzione tra accesso iniziale e fase di deployment si dissolve: la backdoor è un red team tool integrato nell'infrastruttura del crimeware.

SharpADWS e netsh: quando le tattiche APT diventano commodity

Dopo il posizionamento iniziale, The Gentlemen effettua reconnaissance di Active Directory tramite SharpADWS, tool che incapsula query LDAP in messaggi SOAP per eludere i meccanismi di logging standard. La tecnica non è nuova nel panorama delle intrusioni avanzate, ma la sua comparsa sistematica in un operatore RaaS indica una commistione di sofisticazione precedentemente riservata agli attori sponsorizzati da stati-nazione.

Parallelamente, il gruppo utilizza netsh per catturare pacchetti di rete, salvando i dati su share amministrative con nomi casuali. L'analisi successiva avviene con Wireshark per estrarre "sensitive information such as unencrypted network activity and potential passwords", come riporta la fonte. Il punto è architettonico: le share amministrative, tradizionalmente considerate infrastrutture interne di gestione, diventano surface di attacco attiva per il harvesting di credenziali in transito.

Il movimento laterale conferma questa impostazione. The Gentlemen distribuisce il payload ransomware via GPO utilizzando uno script PowerShell personalizzato denominato deploy_gpo.ps1, ospitato sulla share NETLOGON. In alternativa o in combinazione, ricorre a PsExec. L'uso sistematico di strumenti di amministrazione legittima rende inefficace la detection basata su firme di strumenti malevoli noti.

BYOVD a cinque driver: la guerra degli anelli zero

L'evasione delle difese endpoint rappresenta il segmento più tecnico dell'analisi. The Gentlemen impiega cinque driver vulnerabili specifici per acquisire esecuzione in modalità kernel: ProcessMonitorDriver.sys (Safetica, soluzione DLP/EDR), gamedriverx64.sys (Fedeen/Hotta, sistema anti-cheat), biontdrv.sys (Paragon, gestione partizioni), inpoutx64.sys (legacy per hardware RGB) e wsftprm.sys (Topaz, anti-fraud). Il catalogo copre categorie software diverse, suggerendo acquisto o sviluppo di un toolkit BYOVD già pronto all'uso.

Affianco ai driver, il gruppo utilizza Windows Kernel Explorer e OpenArk64 per intercettare e bloccare system call, con l'obiettivo esplicito di rimuovere i driver dei prodotti di sicurezza. Il tentativo di disinstallazione di Kaspersky tramite eseguibile kavrmvr.exe è stato bloccato dal rilevamento comportamentale, ma la strategia è chiara: non eludere l'EDR, ma neutralizzarlo prima dell'esecuzione del payload.

Il ransomware stesso è sviluppato in Go e protetto da un obfuscator precedentemente sconosciuto che rinomina simboli, file sorgente, strutture e altera le firme delle funzioni. La password di esecuzione hardcoded, CbdU8EgF, funge da barriera anti-sandbox impedendo l'analisi automatica. Non è confermato se l'obfuscator sia sviluppato internamente o acquisito da fornitore terzo.

"We have been observing the activity of The Gentlemen since February 2026 and have discovered new tactics, techniques, and procedures (TTPs) as well as custom tool development efforts" — Kaspersky Securelist

Cosa fare adesso

Le organizzazioni devono assumere che la presenza di ransomware sia il finale di una compromissione già avvenuta, non l'evento iniziale. Il deployment della backdoor Go un giorno prima del payload offre una finestra di rilevamento: monitorare connessioni TCP persistenti verso IP esterni sulla porta 9443 e l'uso della libreria Yamux in processi non documentati.

Per contrastare SharpADWS, è necessario ispezionare il traffico LDAP incapsulato in SOAP anziché limitarsi ai log query standard. Le share amministrative devono essere sottoposte a monitoraggio di accesso anomalo, con particolare attenzione a file di cattura generati da netsh in cartelle con nomi casuali.

I cinque driver BYOVD identificati nelle campagne — ProcessMonitorDriver.sys, gamedriverx64.sys, biontdrv.sys, inpoutx64.sys e wsftprm.sys — devono essere inclusi in liste di blocco driver se non strettamente necessari all'operatività aziendale. La presenza di Windows Kernel Explorer o OpenArk64 in ambienti di produzione costituisce indicatore di compromissione.

Il movimento laterale via NETLOGON e script PowerShell come deploy_gpo.ps1 richiede controllo delle modifiche ai GPO e audit delle esecuzioni su share SYSVOL. La password anti-sandbox CbdU8EgF può essere usata come IoC in ambienti di analisi automatizzata.

Perché è importante

Il brief non documenta misure correttive specifiche rilasciate da vendor o autorità in risposta alle campagne di The Gentlemen. Il dossier non specifica la natura completa dei dati esposti dalle vittime, né quantifica il numero esatto di organizzazioni colpite o il volume di riscatti ottenuti. Non è chiaro se la collaborazione con Initial Access Broker sia strutturale o occasionale per campagne specifiche, né se i cinque driver BYOVD identificati rimangano tutti sfruttabili allo stato attuale.

Ciò che il report Kaspersky documenta con precisione è una maturazione operativa. The Gentlemen non si presenta come operatore che acquista accessi e deploya payload, ma come organizzazione che investe in sviluppo di tool custom, ricerca di driver vulnerabili, e integrazione di tecniche di persistenza pre-ransomware. La backdoor con C2 persistente e proxy SOCKS non è un optional: è l'elemento che trasforma ogni compromissione in piattaforma di intelligence, con il ransomware come epilogo piuttosto che come evento principale.

L'emergere di un obfuscator Go proprietario e la combinazione sistematica di BYOVD, GPO abuse e tecniche di evasione logging rappresenta un innalzamento del livello di sofisticazione nel crimeware RaaS. Per le organizzazioni che ancora si affidano a difese perimetrali e rilevamento di payload noti, il messaggio è che il perimetro è già stato scavalcato al momento in cui il ransomware appare.

La fonte 2, ransomware.live, fornisce contesto statistico generico sulle vittime ransomware nel 2026 ma non include The Gentlemen nel proprio dataset, rendendo impossibile la corroborazione indipendente della posizione "top 10" dichiarata dalla fonte primaria.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. securelist.com
  2. ransomware.live