// 1 CRITICAL · 3 CVE · 2 EXPLOIT NELLE ULTIME 24H
The Gentlemen è il secondo RaaS più attivo del 2026 con una crescita di oltre 6x e un payout affiliate del 90%. Il report di Unit 42 traccia l'ascesa di Storm-2697.

The Gentlemen, gruppo ransomware tracciato come Storm-2697, è emerso come secondo programma RaaS più attivo del 2026. Il dato emerge da un report di Unit 42, il team di ricerca di Palo Alto Networks, pubblicato il 10 luglio 2026. La crescita è stata spinta da un modello economico aggressivo — payout affiliate del 90% — e da una toolchain custom che include il framework EDR killer GentleKiller e una backdoor scritta in Go.

Punti chiave
  • The Gentlemen è passato da affiliate Qilin (ArmCorp/Spikey Scorpius) a RaaS indipendente nel settembre 2025, raggiungendo 580 vittime rivendicate in 77 paesi al 7 luglio 2026.
  • Il gruppo offre payout affiliate del 90%, contro il 70-80% standard del mercato RaaS, secondo il report di Unit 42.
  • La crescita delle vittime è di oltre 6x confrontando gli ultimi 6 mesi del 2025 con i primi 6 mesi del 2026, con un picco di 117 vittime a giugno 2026.
  • Il tooling custom include varianti ransomware in C e Go per cross-platform deployment, il framework GentleKiller per evasione EDR, e lo sfruttamento di CVE-2024-55591 su dispositivi edge Fortinet.

Da affiliate a disruptor: la genesi di Storm-2697

Gli operatori di The Gentlemen erano precedentemente attivi come affiliate "ArmCorp" del RaaS Qilin, tracciato dalla comunità di intelligence come Spikey Scorpius. Nel settembre 2025 il gruppo è transitato da entità privata a modello RaaS indipendente. La transizione ha coinciso con lo sviluppo di tooling proprietario e con una strategia di reclutamento che ha accelerato l'espansione operativa.

A maggio 2026 The Gentlemen ha annunciato una partnership con BreachForums, il marketplace criminale gestito da HasanBroker, per il reclutamento di affiliate. Nello stesso mese, un presunto insider ha leakato un database interno del gruppo. Unit 42 non verifica l'autenticità del leak, ma documenta entrambi gli eventi come indicatori della visibilità crescente del programma nell'ecosistema criminale.

Il modello del 90%: come si paga una crescita del 600%

Il rapporto di Unit 42 identifica nel payout la leva economica principale. "The Gentlemen offer an unprecedented 90% payout", si legge nel report. La cifra supera il range 70-80% che Unit 42 indica come standard per i programmi RaaS concorrenti. Questo margine aggiuntivo, spiegato come "unprecedented" nel testo della fonte, funziona da attrattore per affiliati operanti su altre piattaforme.

Il dato quantitativo conferma l'efficacia del modello. Confrontando gli ultimi sei mesi del 2025 con i primi sei mesi del 2026, le vittime rivendicate sono cresciute di oltre 6 volte. Va notato che il periodo 2025 copre circa quattro mesi di attività (da settembre a dicembre), contro i sei mesi pieni del 2026: la base temporale è quindi asimmetrica, ma la velocità di scalata resta significativa. A giugno 2026 il gruppo ha raggiunto il massimo mensile con 117 vittime, quasi quattro volte le 30 circa di gennaio 2026.

"The combination of a lucrative affiliate payout structure to recruit affiliates, alongside the use of custom tooling across different phases of their attack lifecycle, make The Gentlemen a formidable threat" — Unit 42, Palo Alto Networks

GentleKiller e la toolchain cross-platform

Il report di Unit 42 descrive una toolchain sviluppata internamente e distribuita in più linguaggi. Le varianti ransomware sono scritte in C e Go per consentire il deployment cross-platform. Accanto al payload crittografico, il gruppo dispone di una backdoor basata su Go e del framework "GentleKiller", progettato per l'evasione dei sistemi EDR.

Unit 42 rileva inoltre un "presunto utilizzo di uno zero-day non specificato" — una formulazione che lascia aperto lo stato di conferma del dato. Il brief non fornisce dettagli tecnici completi sul funzionamento del backdoor Go né sulla struttura di GentleKiller, limitandosi a documentarne l'esistenza e il ruolo nel ciclo di attacco.

Per l'initial access, The Gentlemen combina exploit di vulnerabilità su dispositivi edge, brute force, credenziali rubate e collaborazione con broker di accesso iniziale (IAB). Tra le vulnerabilità sfruttate, Unit 42 elenca esplicitamente CVE-2024-55591, classificata con CVSS 9.8 CRITICAL secondo il National Vulnerability Database, che colpisce Fortinet FortiOS e FortiProxy.

Il quadro vittime: settori e geografia

Al 7 luglio 2026, The Gentlemen rivendica 580 vittime totali in 77 paesi. Il dato proviene da "one reputable source" citata da Unit 42, identificata come Ransomware.live, piattaforma di tracciamento del fenomeno ransomware. Il report non garantisce la completezza del conteggio né verifica indipendentemente ogni singolo caso.

Il settore manifatturiero è il più colpito con 103 vittime specificate. La distribuzione geografica copre un arco globale: il dato di 77 paesi indica una strategia non mirata su specifici mercati nazionali, bensì un'opportunità di volume tipica dei programmi RaaS mature.

Unit 42 stima che il gruppo conti circa 20 operatori attivi. La dimensione, relativamente contenuta rispetto alla superficie d'attacco, suggerisce un'organizzazione snella con delega massiccia agli affiliate per la fase di compromissione iniziale.

Perche è importante

Il dossier di Unit 42 non specifica misure correttive specifiche adottate dal gruppo in seguito al leak del maggio 2026, né documenta variazioni del modello di payout dopo l'annuncio su BreachForums. Il report non traccia inoltre connessioni infrastrutturali tra Storm-2697 e altri attori oltre alla precedente affiliazione Qilin.

Il brief non fornisce indicazioni operative difensive né raccomandazioni di hardening: le azioni tecniche disponibili nel report si limitano al riferimento a CVE-2024-55591 e alle tecniche di accesso documentate. La fonte non specifica se The Gentlemen abbia modificato il proprio tooling in risposta alla visibilità crescente, né fornisce dettagli sulla natura dei dati esposti nel presunto leak interno.

Domande frequenti

Che relazione c'è tra The Gentlemen e Qilin?
Gli operatori erano affiliate "ArmCorp" del RaaS Qilin (Spikey Scorpius) prima di diventare indipendenti nel settembre 2025. Unit 42 non documenta sovrapposizioni infrastrutturali attuali tra i due programmi.

Il payout del 90% è garantito?
Il report di Unit 42 documenta l'offerta pubblica come "unprecedented 90% payout", ma non verifica che la cifra venga effettivamente erogata a tutti gli affiliate. Il dato riguarda il modello economico dichiarato, non la sua esecuzione.

Cosa significa "presunto zero-day non specificato"?
Unit 42 usa questa formulazione per indicare che il gruppo sospetta l'utilizzo di una vulnerabilità zero-day, senza fornire identificatore, prodotto interessato o conferma tecnica. Lo stato del dato resta aperto.

Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.

Fonti

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. unit42.paloaltonetworks.com