El grupo de ransomware “The Gentlemen” expande sus operaciones con nuevo malware

Una nueva investigación del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky sobre el grupo de ransomware de rápido crecimiento conocido como The Gentlemen ha demostrado que los ciberdelincuentes han evolucionado sus tácticas mediante el uso de herramientas desarrolladas a medida.

Se trata de un backdoor o puerta trasera diseñado para facilitar la recopilación de información y el control de los sistemas comprometidos antes del despliegue del ransomware, y un archivo ejecutable. El grupo ha estado activo afectando a industrias de todo el mundo, incluyendo manufactura, servicios de TI, salud, finanzas, construcción y logística.

The Gentlemen es una operación de Ransomware – as – a – Service (RaaS) en continua expansión que se cree que surgió a mediados de 2025. El grupo y sus afiliados obtienen acceso a los sistemas de las víctimas, principalmente explotando servicios expuestos a Internet y credenciales comprometidas. Los ciberdelincuentes podrían estar buscando colaborar con Initial Access Brokers (IABs) para entrar en organizaciones con propiedad intelectual valiosa con el mínimo esfuerzo.

Kaspersky descubrió que el acceso a algunos sistemas de las víctimas, utilizando técnicas que el grupo no emplea habitualmente, ocurrió mucho antes de la infección por ransomware. Esto podría significar que el acceso inicial no fue realizado por The Gentlemen, sino por otro actor de amenazas, posiblemente un IAB.

Descubrimiento de herramientas personalizadas: implantes en Go y C

A diferencia de muchos grupos RaaS, The Gentlemen demuestra un alto nivel de sofisticación al emplear herramientas personalizadas y técnicas de intrusión flexibles. Los analistas de Kaspersky identificaron un backdoor previamente desconocido y desarrollado a medida y escrito en Go, que los ciberdelincuentes desplegaron un día antes de la ejecución del ransomware. Este implante recopila información del host y de la red, y oculta su ventana de consola para evitar la detección. Sus funcionalidades incluyen comunicaciones bidireccionales con los ciberdelincuentes, la ejecución de comandos controlados por el servidor y reconocimiento, lo que permite a los ciberdelincuentes a extender y adaptar su actividad.

Kaspersky también descubrió una nueva variante de ransomware escrita en C que afecta a un número limitado de victimas corporativas. Aunque The Gentlemen ha utilizado principalmente un implante de ransomware escrito en Go diseñado para un uso multiplataforma, la nueva variante basada en C parece estar enfocada en Windows. El grupo podría estar probando el malware en entornos reales.

Intentos fallidos de eludir la seguridad corporativa

The Gentleman intentó eliminar la solución de seguridad de Kaspersky utilizando una herramienta diseñada para desinstalar productos de la compañía. Sin embargo, la solución de Kaspersky se mantuvo activa, y la acción de los ciberdelincuentes fue bloqueada y catalogada como maliciosa.

«A pesar de ser un participante relativamente reciente en el panorama de amenazas de ransomware, el grupo The Gentlemen está ganando rápidamente reputación entre los actores de amenazas, atrayendo afiliados y ejecutando ataques de alto perfil. Las pruebas de las nuevas variantes de ransomware basadas en C sugieren que el grupo está perfeccionando activamente sus capacidades, lo que podría traducirse en cadenas de ataque más estables y escalables en un futuro próximo. Las organizaciones deben anticipar una mayor actividad maliciosa de ransomware y se les recomienda encarecidamente priorizar la gestión de vulnerabilidades y los procesos de fortalecer el sistema (system hardening) para mitigar el riesgo de compromiso«, afirmó Fatih Sensoy, experto en seguridad de Kaspersky GReAT.

En el Día Internacional Anti-Ransomware, celebrado el 12 de mayo, Kaspersky compartió un informe con una descripción general de las tendencias recientes de ransomware. Según Kaspersky Security Network, en 2025 América Latina tuvo la mayor proporción de organizaciones con ataques de ransomware detectados (8.13%), seguida de la región de Asia-Pacífico (7.89%), África (7.62%), Oriente Medio (7.27%), la Comunidad de Estados Independientes (CEI, 5.91%) y Europa (3.82%).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.