⚡ Points Clés

Check Point Research a identifié 1 570+ victimes d’entreprises liées au groupe RaaS The Gentlemen — près de 5 fois leurs 332 victimes publiques — grâce à l’analyse de l’infrastructure C2 SystemBC. Le 4 mai 2026, le groupe a été victime d’une violation interne exposant une base de données de 16,22 Go contenant des identifiants d’opérateurs, des identités d’affiliés et des données financières. Trois CVE sont activement exploitées : CVE-2024-55591 (FortiOS), CVE-2025-32433 (Erlang SSH) et CVE-2025-33073 (relais NTLM).

En résumé: **En bref :** Corrigez les appliances exposées sous 72 heures et lancez immédiatement une chasse aux indicateurs SystemBC dans vos 90 derniers jours de télémétrie EDR.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
les entreprises algériennes s’appuient sur la même infrastructure périphérique (FortiGate, VPN Cisco) et les mêmes configurations AD exploitées par The Gentlemen ; le ratio 4,7x de victimes cachées est mondial
Infrastructure prête ?
Partielle
les déploiements FortiGate et Cisco sont courants dans les entreprises et télécoms algériens, mais les flux de renseignement sur les menaces centralisés et la surveillance de la télémétrie C2 ne sont pas encore pratique standard
Compétences disponibles ?
Partielles
l’ASSI (Agence de la Sécurité des Systèmes d’Information) et DZ-CERT offrent une capacité de réponse nationale, mais les chasseurs de menaces au niveau entreprise avec expertise TTP RaaS restent rares
Calendrier d’action
Immédiat
les correctifs CVE-2024-55591 et CVE-2025-32433 devraient être appliqués dans les 72 heures ; la chasse aux IOC devrait commencer cette semaine
Parties prenantes clés
RSSI et équipes de sécurité IT des banques, télécoms, entreprises publiques et grands fabricants privés algériens
Assessment: RSSI et équipes de sécurité IT des banques, télécoms, entreprises publiques et grands fabricants privés algériens. Review the full article for detailed context and recommendations.
Type de décision
Tactique
Assessment: Tactique. Review the full article for detailed context and recommendations.

En bref: Les entreprises algériennes exploitant des appliances FortiGate ou Cisco non corrigées sont directement exposées au manuel d’accès initial documenté de The Gentlemen. Appliquez les correctifs dans les 72 heures et effectuez la chasse IOC sur les 90 derniers jours de télémétrie EDR cette semaine ; coordonnez avec l’ASSI ou DZ-CERT si des indicateurs SystemBC sont détectés.

Publicité

L’Écart Entre le Nombre de Victimes Publiques et Cachées

Lorsqu’un groupe de ransomware publie ses victimes sur son site de fuite de données, ce chiffre ne reflète jamais la réalité complète. Pour The Gentlemen — identifié par Check Point Research comme la deuxième opération Ransomware-as-a-Service la plus productive des débuts de 2026 — l’écart est saisissant : 332 victimes nommées publiquement, contre 1 570+ entreprises identifiées grâce à l’analyse de l’infrastructure de leurs serveurs de commande et contrôle SystemBC.

Cet écart de 4,7x entre les déclarations publiques et la télémétrie réelle n’est pas une erreur d’arrondi. Il reflète une posture opérationnelle délibérée. Les victimes qui paient discrètement, celles encore en négociation, et celles dont l’industrie rendrait la divulgation réglementairement coûteuse sont systématiquement maintenues hors du site de fuite. La seule façon de les détecter est de remonter en amont — vers l’infrastructure C2 qui persiste longtemps après l’envoi de la demande de rançon.

SystemBC, le malware proxy utilisé par The Gentlemen comme principal canal C2, envoie des signaux de balise en continu une fois déployé sur un réseau compromis. Ce trafic de balise laisse une trace forensique permanente. En cartographiant la topologie C2 du botnet, Check Point Research a pu corréler des données de victimologie que les propres opérateurs du groupe considéraient comme cachées. Le résultat est l’un des tableaux les plus complets de la portée réelle d’un groupe RaaS publiés en 2026.

Pour les défenseurs d’entreprise, cette découverte introduit une possibilité inconfortable : votre organisation figure peut-être déjà dans le panneau d’un opérateur de ransomware à votre insu. Le site public de fuite n’est pas un signal fiable pour savoir si vous avez été ciblé.

Comment The Gentlemen a Construit Son Opération

The Gentlemen a lancé son opération Ransomware-as-a-Service début 2026 et a atteint la deuxième place en termes de productivité en l’espace de cinq mois. Leur architecture opérationnelle est sophistiquée et multicouche, construite autour de neuf comptes d’opérateurs principaux et d’une structure de paiement aux affiliés allouant 90 % des rançons aux affiliés et 10 % à l’opérateur central — un partage situé à l’extrémité généreuse du spectre RaaS, expliquant le recrutement rapide d’affiliés.

Les méthodes d’accès initial se concentrent autour de trois vecteurs que les équipes d’entreprise sous-estiment fréquemment :

  • Appliances périphériques exposées : pare-feu FortiGate et appareils Cisco avec des interfaces de gestion non corrigées, notamment CVE-2024-55591 dans FortiOS et CVE-2025-32433 dans Erlang SSH
  • Brute-forcing de credentials : panneaux VPN et consoles de gestion web ciblés systématiquement via des scanners de ports incluant gogo.exe
  • Attaques par relais NTLM : exploitation de CVE-2025-33073 pour l’escalade de privilèges latérale après l’accès initial ; le spécialiste du groupe « qbit » est spécifiquement assigné à la reconnaissance et aux attaques par relais NTLM

Une fois à l’intérieur, les opérateurs démontrent un savoir-faire solide en Active Directory. L’affilié « quant » maintient un outil personnalisé appelé buildx641 spécifiquement pour la collecte de credentials à partir des journaux d’authentification OWA et Microsoft 365. L’activité post-compromission cible systématiquement les périphériques NAS, les systèmes de sauvegarde et l’infrastructure de virtualisation avant le déploiement du ransomware — un séquençage conçu pour maximiser le levier en détruisant d’abord les options de récupération.

La boîte à outils d’évasion EDR du groupe est étendue. Des outils nommés EDRStartupHinder, gfreeze et glinker sont utilisés pour désactiver ou contourner la détection des endpoints. L’Event Tracing for Windows (ETW) est activement manipulé pour aveugler les pipelines de journalisation, et les abus de registre sont utilisés pour établir la persistance entre les redémarrages. La combinaison signifie qu’au moment du déploiement du ransomware, la capacité de détection native de l’environnement a généralement été dégradée.

Un élément tactique particulièrement notable : The Gentlemen pratiquent des stratégies délibérées de « double pression » qui weaponisent les relations entre victimes. Dans un cas documenté, des données volées à une société de conseil en logiciels britannique ont été réutilisées comme levier d’accès initial contre une entreprise turque — et l’entreprise turque a ensuite été publiée sur le site de fuite avec la société de conseil britannique créditée comme « courtier d’accès ». Cela est conçu pour générer une pression juridique sur la société de conseil, créant un canal coercitif secondaire.

Publicité

Ce que la Violation Interne Révèle sur le Risque Opérationnel RaaS

Le 4 mai 2026, l’infrastructure même de The Gentlemen a été compromise. Un compte identifié comme « n7778 » a exfiltré la base de données backend « Rocket » du groupe et offert l’ensemble des données — environ 16,22 Go — pour 10 000 USD en Bitcoin. Une fuite partielle de 44,4 Mo a été publiée comme preuve.

Les données exposées comprennent les neuf comptes d’opérateurs principaux (incluant les identifiants administrateur du compte « zeta88/hastalamuerte »), les huit identifiants TOX de communication utilisés par les affiliés, et des enregistrements de transactions documentant les paiements de rançon. Un exemple de rançon divulgué : 190 000 USD obtenus après une remise de 60 000 USD par rapport à la demande initiale — un chiffre qui illustre la rapidité des négociations et les raisons pour lesquelles les incitations financières maintiennent l’écosystème.

Pour les défenseurs, cette violation interne constitue du renseignement, pas seulement de l’actualité. Les données divulguées contiennent :

  • TOX IDs complets des affiliés : Huit identifiants Tox distincts sont maintenant connus des fournisseurs de renseignement sur les menaces, permettant une attribution améliorée et éventuellement une action des forces de l’ordre
  • Signatures d’outils : L’ensemble d’outils opérateurs — ZeroPulse, Velociraptor, tunnels Cloudflare Zero Trust, NetExec, RelayKing-Depth, PrivHound, CertiHound, TaskHound — est maintenant entièrement documenté
  • Méthodes de blanchiment Bitcoin : Les membres utilisaient des conversions QR Tinkoff, des arrangements OTC peer-to-peer et des portefeuilles non-custodial (Guarda, Trust Wallet, Exodus) pour déplacer des fonds, des schémas maintenant disponibles pour les équipes de renseignement financier

Il y a aussi une leçon opérationnelle plus large ici. La violation de The Gentlemen a suivi un schéma connu : menace interne d’un affilié ou d’un compte d’opérateur à faible confiance. Les groupes RaaS sont intrinsèquement fragiles car ils reposent sur des relations de confiance avec des affiliés pseudonymes dont la loyauté est purement financière. Le partage 90/10 qui a accéléré le recrutement d’affiliés a également créé un grand nombre de personnes ayant suffisamment d’accès pour monétiser une fuite.

Ce que les Équipes de Sécurité Doivent Faire

La combinaison de l’échelle de télémétrie cachée et de l’exposition opérationnelle complète suite à la fuite du 4 mai crée une fenêtre temporelle limitée pour que les entreprises agissent avec des renseignements de haute fidélité. Les prescriptions suivantes priorisent des actions directement mappées aux TTP documentées de The Gentlemen.

1. Auditer et Corriger Toute l’Infrastructure Périphérique Exposée à Internet Dans les 72 Heures

Les trois CVE principaux de The Gentlemen — CVE-2024-55591 (interface de gestion FortiOS), CVE-2025-32433 (Erlang SSH dans les environnements Cisco) et CVE-2025-33073 (relais NTLM) — ont tous des correctifs disponibles. La fenêtre de 72 heures n’est pas arbitraire : l’analyse de Check Point Research montre que les spécialistes d’accès initial comme « qbit » scannent activement les appliances non corrigées et peuvent passer du scan à l’accès initial en moins de 24 heures sur les appareils FortiGate exposés. Vérifiez que les interfaces de gestion ne sont pas accessibles depuis l’internet public, quelle que soit l’état des correctifs. Les panneaux de gestion FortiGate exposés sur le port 8443 restent accessibles sur plus de 60 000 appareils exposés sur internet dans le monde à mi-2026. Patcher sans restreindre l’accès ne résout que la moitié de la surface d’attaque.

2. Chasser SystemBC et l’Ensemble des Signatures d’Outils de The Gentlemen Maintenant

Les données opérationnelles divulguées donnent aux défenseurs un kit de chasse complet. La liste d’IOC publiée par Check Point Research comprend 30 hashes SHA256 Windows, 3 hashes SHA256 Linux et une règle YARA ciblant les ransomwares Go avec les chaînes README-GENTLEMEN.txt, gentlemen.bmp et les messages de chiffrement associés. Chargez les 33 hashes dans votre EDR de manière rétroactive — interrogez les 90 derniers jours de télémétrie. Au-delà du payload ransomware lui-même, chassez l’ensemble d’outils opérateurs : NetExec, Velociraptor (lorsque déployé en dehors de votre inventaire d’outils autorisés), RelayKing-Depth, PrivHound, CertiHound, gogo.exe et KslDump. La présence de deux ou plus de ces outils dans le même environnement est un indicateur fort de staging pré-ransomware.

3. Fermer les Chemins de Relais NTLM et Protéger les Pipelines de Journalisation ETW

The Gentlemen exploitent systématiquement le relais NTLM (CVE-2025-33073) pour le mouvement latéral post-accès, et leur évasion EDR repose sur la manipulation ETW pour aveugler la journalisation avant la propagation latérale. Ce sont deux points d’étranglement discrets mais séquentiels. Appliquez la signature SMB dans l’ensemble de l’environnement pour briser les chaînes de relais. Auditez Active Directory pour les configurations de délégation permettant la délégation Kerberos non contrainte — ce sont des chemins de mouvement latéral secondaires lorsque le relais NTLM est fermé. Pour la protection ETW, déployez Sysmon ou équivalent avec des capacités d’alerte en cas de falsification, et routez les journaux ETW vers un collecteur SIEM hors bande qui ne peut pas être désactivé via des modifications du registre local.

4. Implémenter l’Isolation des Sauvegardes et de la Virtualisation Avant le Déploiement du Ransomware

Le séquençage pré-chiffrement de The Gentlemen cible systématiquement les périphériques NAS, les appliances de sauvegarde et les hyperviseurs de virtualisation (les configurations Veeam et les interfaces iDRAC sont spécifiquement documentées). L’objectif est d’éliminer les options de récupération avant la demande de rançon. Segmentez l’infrastructure de sauvegarde derrière un VLAN dédié sans chemin direct depuis les postes de travail ou serveurs d’entreprise. Exigez une authentification hors bande pour la modification des tâches de sauvegarde. Testez la restauration des sauvegardes tous les 30 jours — une sauvegarde qui n’a pas été restaurée est une sauvegarde de fiabilité inconnue.

La Vue d’Ensemble : Ce que l’Écart de 4,7x Signifie pour la Quantification du Risque Entreprise

Le problème fondamental que révèle la télémétrie de The Gentlemen n’est pas propre à ce groupe. Dans l’ensemble des écosystèmes RaaS majeurs, le ratio de victimes réelles aux victimes publiquement revendiquées se situe systématiquement entre 3x et 6x. Les organisations utilisent la surveillance des sites de fuite de données publics comme proxy pour l’exposition aux ransomwares — mais cette couche de surveillance ne fait remonter que la fraction des victimes pour lesquelles les opérateurs ont décidé que la divulgation serve leur stratégie de levier.

Les modèles de quantification des risques d’entreprise qui s’appuient sur le « nombre d’entreprises de mon secteur listées sur les sites de fuite ransomware » sous-estiment donc systématiquement l’exposition réelle du secteur d’un facteur 3 à 6. Pour la souscription d’assurance, les rapports de risque au conseil d’administration et les questionnaires de sécurité des achats, il s’agit d’un écart matériel.

La remédiation appropriée n’est pas d’arrêter la surveillance des sites de fuite — ce renseignement reste précieux. La remédiation consiste à compléter la surveillance par le suivi de l’infrastructure C2 via des plateformes de renseignement sur les menaces qui cartographient la télémétrie des botnets en temps réel. Le chiffre de 1 570 victimes dans l’analyse de Check Point n’est pas exceptionnel — c’est le résultat attendu de l’analyse au niveau de l’infrastructure appliquée à un groupe RaaS de niveau intermédiaire.

La violation du 4 mai de The Gentlemen rappelle également que les groupes RaaS ne sont pas des adversaires monolithiques. Ce sont des réseaux d’affiliés coordonnés de manière lâche avec une confiance pseudonyme, des incitations financières qui peuvent se retourner, et des pratiques de sécurité opérateur fréquemment plus faibles que celles de leurs victimes.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Qu’est-ce que SystemBC et pourquoi est-il important pour la détection des ransomwares ?

SystemBC est un malware proxy et un outil d’accès à distance utilisé par plusieurs groupes de ransomwares comme principal canal de commande et contrôle. Il fait passer le trafic C2 via des proxies SOCKS5 pour échapper à la détection réseau standard. Pour The Gentlemen spécifiquement, SystemBC crée des connexions de balise continues vers l’infrastructure des opérateurs — des connexions qui persistent même pendant la phase de staging pré-chiffrement. Cela fait de l’analyse du trafic C2 l’un des chemins de détection les plus fiables disponibles, car les balises SystemBC précèdent le déploiement du ransomware de quelques heures ou jours.

Comment la violation interne de The Gentlemen s’est-elle produite et qu’expose-t-elle ?

Le 4 mai 2026, un compte identifié comme « n7778 » — probablement un initié mécontent ou un affilié à faibles privilèges — a exfiltré la base de données backend « Rocket » de The Gentlemen. Un ensemble de données partiel de 44,4 Mo a été publié comme preuve d’accès ; la base de données complète représente environ 16,22 Go et a été proposée à la vente pour 10 000 USD en Bitcoin. L’exposition inclut les identifiants administrateur du compte d’opérateur principal du groupe, les huit identifiants TOX de communication des affiliés, l’inventaire complet des outils opérationnels et les enregistrements de transactions financières incluant des montants de rançon spécifiques.

Les entreprises doivent-elles supposer qu’elles figurent déjà dans le panneau des victimes de The Gentlemen ?

Pas nécessairement — mais le ratio de 4,7x entre victimes cachées et publiques (1 570 vs 332) signifie que la probabilité est plus élevée que la plupart des modèles de risque ne l’assument. Les entreprises des secteurs ciblés par The Gentlemen — manufacturing, services professionnels, santé et logistique — devraient effectuer la chasse IOC décrite ci-dessus indépendamment du fait qu’elles aient reçu une demande de rançon. La présence des outils de The Gentlemen dans la télémétrie ne signifie pas automatiquement que le ransomware se déploiera ; la détection précoce pendant la phase de staging est précisément là où les défenseurs ont le plus grand levier.

Sources et lectures complémentaires