El 30 de junio de 2025, JN Aceros, empresa metalúrgica peruana se convirtió en la primera víctima documentada de The Gentlemen. En ese momento, nadie fuera de los foros de la dark web había oído hablar del grupo. Nueve meses después, su sitio de filtraciones lista más de 250 organizaciones comprometidas en al menos 17 países, con víctimas confirmadas en Colombia, Argentina, Chile, México, Ecuador, Panamá y República Dominicana.

The Gentlemen no es un grupo oportunista que lanza ataques masivos esperando que alguno funcione. Es lo opuesto, una operación disciplinada que estudia el entorno específico de cada víctima, mapea sus controles de seguridad y compila herramientas personalizadas para evadir exactamente esos controles.

Trend Micro publicó el primer análisis técnico detallado del grupo el 9 de septiembre de 2025, lo documentó con precisión, cuando sus herramientas genéricas de evasión encontraban resistencia, los operadores realizaban reconocimiento adicional del endpoint protection desplegado y desarrollaban variantes específicas para neutralizarlo. Mid-campaign. Sin interrumpir el ataque.

El origen del Ransomware The Gentlemen

El actor detrás de The Gentlemen opera bajo el alias hastalamuerte. Según el análisis de Group-IB, fue afiliado de Qilin durante aproximadamente seis semanas en 2025, desplegando ransomware en 14 objetivos. En uno de esos casos, una firma de recuperación ofreció 60.000 dólares fuera del panel de negociación oficial por un rescate que hastalamuerte había cotizado originalmente en 500.000. Qilin aceptó 200.000 sin consultarlo. La diferencia de 48.000 dólares en comisiones impagadas terminó en un hilo de arbitraje público en el foro RAMP el 22 de julio de 2025.

Lo que Group-IB documentó es revelador: el 17 de julio, cinco días antes de abrir ese hilo de arbitraje, hastalamuerte ya había subido un sample de Windows ransomware a VirusTotal con la URL del Data Leak Site de The Gentlemen embebida. La disputa pública con Qilin no fue el detonante de la independencia. Fue la estrategia de marketing para dañar la reputación de Qilin mientras lanzaba su propia operación. El DLS fue operativo desde mediados de julio, pero no se hizo públicamente conocido hasta principios de septiembre de 2025, cuando el grupo publicó 32 víctimas simultáneamente.

El modelo de negocio que construyó es competitivo incluso para los estándares del ecosistema RaaS: 90% de los rescates para los afiliados, control total sobre las negociaciones con víctimas, comunicación vía TOX para mantener operaciones cifradas e infraestructura cross-platform que soporta Windows, Linux, NAS, BSD y un locker especializado para ESXi.

El malware está escrito en Go y C. Los afiliados se reclutan en foros underground con un pitch que Fortiguard documenta como profesional y estructurado, más cercano a una oferta de partnership comercial que a la comunicación típica de un grupo criminal.

La kill chain: cómo entra, se mueve y destruye

1. Acceso inicial:
El vector de entrada documentado con mayor frecuencia es la explotación de dispositivos FortiGate expuestos a internet. The Gentlemen explota activamente CVE-2024-55591, una vulnerabilidad crítica de autenticación bypass en FortiOS/FortiProxy. El grupo mantiene una base de datos operacional de aproximadamente 14.700 dispositivos FortiGate ya comprometidos globalmente, y adicionalmente tiene 969 conjuntos de credenciales VPN de FortiGate validadas mediante fuerza bruta, listas para usar en nuevos objetivos.

Según Group-IB, el grupo también está en fase activa de reconocimiento y desarrollo de exploits contra SonicWall VPN, Cisco ASA y Oracle E-Business Suite, buscando replicar el patrón de explotación masiva que Cl0p ejecutó contra Oracle en 2025.

2. Reconocimiento y escalada:
Una vez dentro, el operador no actúa inmediatamente. Mapea el entorno usando Advanced IP Scanner y Nmap, identifica los administradores de dominio y entiende la arquitectura del Active Directory antes de cualquier acción visible. Para escalar privilegios, usa PowerRun.exe para evadir UAC y obtener acceso de sistema.

3. Evasión de defensas — BYOVD:
Esta es la técnica más documentada y más peligrosa del grupo. Utilizan un controlador legítimo y firmado digitalmente, ThrottleStop.sys (renombrado a ThrottleBlood.sys), que contiene la vulnerabilidad CVE-2025-7771. Al cargarlo, obtienen acceso a nivel de kernel que les permite terminar forzosamente cualquier proceso protegido, incluyendo agentes de EDR, antivirus y Windows Defender que en condiciones normales no pueden ser detenidos por procesos de usuario estándar.

La herramienta All.exe o su variante Allpatch2.exe ejecuta esta secuencia. Si el driver genérico no es suficiente para los controles específicos del objetivo, el operador realiza reconocimiento adicional del endpoint protection y compila una variante personalizada. Cybereason confirmó que también inhabilitan Windows Defender mediante comandos PowerShell y reescriben reglas de firewall para mantener acceso persistente durante las negociaciones.

4. Movimiento lateral:
La propagación usa una combinación de PsExec sobre SMB, RDP, SSH, y AnyDesk para mantener persistencia. El grupo abusa de WMI y PowerShell remoting para ejecutar comandos en múltiples sistemas simultáneamente.

5. Exfiltración:
Los datos se extraen silenciosamente usando WinSCP mediante canales SFTP cifrados, antes de que se active cualquier fase de cifrado visible. La exfiltración precede al ransomware para garantizar el material de doble extorsión independientemente de si la víctima puede recuperar sus archivos.

6. Despliegue masivo:
El ransomware se distribuye mediante Group Policy Objects (GPO) y el recurso compartido NETLOGON, garantizando infección simultánea de todos los dispositivos del dominio. Antes del cifrado, el malware termina servicios críticos de backup (Veeam), bases de datos (SQL), VMware, y elimina las shadow copies de Windows para bloquear la recuperación. El ejecutable requiere una contraseña de 8 bytes como parámetro obligatorio medida anti-sandbox que impide análisis automatizado en entornos de seguridad.

7. Cifrado:
Utiliza XChaCha20 para cifrado simétrico de archivos y Curve25519 para intercambio de claves, añadiendo la extensión .7mtzhh a cada archivo afectado. La nota de rescate README-GENTLEMEN.txt incluye un identificador TOX para negociación cifrada. Tras el cifrado, el grupo elimina logs del sistema y rastros de conexiones remotas para dificultar la investigación forense.

La presión de la doble extorsión en contexto regulatorio

Lo que hace especialmente efectiva la estrategia de doble extorsión de The Gentlemen en el contexto latinoamericano es la brecha regulatoria que explota.

En Colombia existe la Ley 1581 de protección de datos. En Argentina, la Ley 25.326. En México, la LFPDPPP. En Brasil, la LGPD. Ninguna de esas organizaciones que hoy aparecen en el DLS de The Gentlemen puede ignorar que los datos exfiltrados incluyen información que activa obligaciones de notificación y potenciales sanciones regulatorias si se publican.

El grupo entiende ese contexto. La amenaza de publicación no es solo reputacional, es un mecanismo de presión que convierte el costo del rescate en una variable que compite directamente con el costo regulatorio de la brecha. Qilin ya documentó esta táctica con su servicio de "presión regulatoria" en el Cyber Security Report 2026 de Check Point. The Gentlemen la incorpora por defecto en su modelo.

Lo que el tamaño de 14.700 FortiGates comprometidos significa operativamente

El número más alarmante del reporte de Group-IB no es el conteo de víctimas publicadas. Es la base de datos pre-comprometida. Catorce mil setecientos dispositivos FortiGate ya explotados más 969 conjuntos de credenciales VPN validadas representan una infraestructura de acceso inicial que el grupo puede activar sin necesidad de un nuevo vector de entrada.

Cualquier organización en LATAM con un FortiGate expuesto que ejecutó versiones vulnerables de FortiOS entre julio de 2025 y hoy debe asumir que existe una probabilidad no despreciable de que sus credenciales o acceso estén en esa base de datos.

CVE-2024-55591 tiene parche disponible desde enero de 2025. La ventana de exposición para organizaciones que no lo aplicaron en ese momento ya se mide en meses, no en días.

Controles que interrumpen la kill chain

Contra el acceso inicial vía FortiGate:

• Aplicar el parche de CVE-2024-55591 inmediatamente si no se ha hecho
• Auditar logs de autenticación de FortiGate buscando accesos anómalos en el período julio 2025 a la fecha
• Deshabilitar acceso administrativo directo desde internet a paneles de gestión
• Rotar todas las credenciales VPN como medida preventiva si el dispositivo estuvo expuesto sin parche

Contra la técnica BYOVD:

• Implementar Windows Defender Credential Guard y habilitar HVCI (Hypervisor-Protected Code Integrity) para bloquear la carga de drivers vulnerables a nivel de kernel
• Configurar listas de drivers permitidos (driver allowlisting) para impedir la carga de ThrottleBlood.sys y variantes
• Habilitar Tamper Protection en las soluciones EDR para que no puedan ser terminadas por procesos externos

Contra el despliegue vía GPO y NETLOGON:

• Monitorear cambios en GPOs de dominio con alertas en tiempo real — cualquier modificación no autorizada en un GPO es una señal de alarma crítica
• Auditar el contenido del recurso compartido NETLOGON regularmente
• Implementar alertas sobre consultas masivas inusuales al Active Directory

Contra la exfiltración:

• Monitorear tráfico SFTP saliente inusual, especialmente desde servidores que no deberían generar ese tipo de tráfico
• Implementar DLP con inspección de transferencias cifradas hacia destinos externos no conocidos

Contra el cifrado y destrucción de backups:

• Mantener backups offline o inmutables completamente desconectados del dominio corporativo — Veeam conectado al mismo AD que The Gentlemen compromete es un backup que The Gentlemen puede destruir
• Probar la recuperación de backups regularmente. Un backup que nunca se ha probado no es un backup, es un archivo

El grupo que estudia a sus víctimas más de lo que las víctimas estudian al grupo

The Gentlemen lleva menos de un año operando y ya tiene presencia confirmada en más países de LATAM que la mayoría de los grupos de ransomware establecidos. Lo que los distingue no es solo la sofisticación técnica, es la disciplina operacional. Estudian las defensas específicas de cada objetivo antes de actuar. Adaptan sus herramientas durante el ataque cuando encuentran resistencia. Eliminan sus huellas sistemáticamente cuando terminan.

Frente a ese perfil, las defensas basadas en firmas y los controles reactivos llegan tarde por diseño. La pregunta para los equipos de seguridad en LATAM no es si The Gentlemen tiene capacidad técnica para comprometer su organización. Es si los controles preventivos, parcheo de FortiGate, HVCI habilitado, GPO monitoreados, backups inmutables, están en lugar antes de que el grupo decida que son el próximo objetivo en su lista.