The Gentlemen n'existait pas il y a un an. Le groupe a fait son apparition en juillet-août 2025, et en quelques mois, il revendique plus de 320 victimes dans plus de 17 pays. C'est le constat que dresse Trend Micro dans son analyse du groupe. La montée en puissance est brutale. Un serveur de commande et contrôle compromis en 2026 a permis d'identifier plus de 1 570 victimes liées à l'infrastructure du groupe, selon les données de ransomware.live.
En mai 2026, les systèmes internes du groupe sont à leur tour compromis. L'intégralité de la structure opérationnelle, journaux de discussion inclus, se retrouve exposée. Check Point a analysé cette fuite en détail : c'est elle qui permet aujourd'hui de dresser un portrait précis de l'organisation, de ses membres et de ses méthodes. Une ironie que les chercheurs en sécurité apprécient, mais qui ne diminue en rien la menace.
The Gentlemen opère sur un modèle Ransomware-as-a-Service classique dans sa forme, exceptionnel dans ses conditions. Les affiliés perçoivent 90% des revenus générés par chaque rançon. C'est l'un des taux les plus élevés observés dans l'écosystème RaaS. Pour un attaquant qui cherche à rejoindre un programme, l'équation financière est évidente.
La fuite interne analysée par Check Point révèle une organisation resserrée : environ neuf opérateurs nommés gravitent autour d'un administrateur central qui se fait appeler "zeta88", probablement identique à un acteur connu ailleurs sous l'alias "hastalamuerte". Ce profil cumule les responsabilités : développement du rançongiciel, gestion du panneau RaaS, supervision des paiements, et participation directe aux attaques. Ce niveau de centralisation est une vulnérabilité pour le groupe, mais aussi un accélérateur. Les décisions sont rapides, la cohérence opérationnelle est forte.
Halcyon, qui suit également le groupe, le décrit comme montant en puissance plus vite que tout autre groupe observé récemment. Ce n'est pas une formule : le volume de victimes confirmées en moins d'un an parle de lui-même.
Pas d'exploit zero-day. Pas de campagne de phishing sophistiquée. The Gentlemen privilégie le chemin de moindre résistance : les journaux d'infostealers. Avant de lancer une attaque, l'équipe chargée de l'accès initial consulte systématiquement Snusbase et d'autres moteurs de recherche spécialisés dans les journaux volés, à la recherche d'identifiants valides appartenant à des employés de la cible. C'est documenté par l'analyse d'InfoStealers.
La logique est implacable. Des millions d'identifiants circulent en permanence sur les marchés souterrains, issus de logiciels malveillants comme Redline, Lumma ou Vidar installés sur des postes de travail. Un employé infecté chez lui, sur un poste personnel qui accède au VPN de l'entreprise, suffit à ouvrir une porte. L'attaquant n'a pas besoin de casser un mot de passe : il le cherche simplement dans une base de données qu'il a achetée pour quelques dizaines de dollars.
C'est exactement pour cette raison que la surveillance des fuites d'identifiants est devenue un prérequis de la détection précoce. Savoir qu'un identifiant de votre organisation circule dans les journaux d'infostealers avant que l'attaquant ne l'utilise, c'est la fenêtre d'action que la plupart des équipes n'exploitent pas encore.
Le locker du groupe est écrit en Go. Il cible Windows, Linux, les périphériques NAS et les systèmes BSD. Cette couverture multiplateforme n'est plus l'exception : c'est la norme pour tout groupe qui vise des environnements d'entreprise hétérogènes.
Selon Trend Micro, la concentration géographique est forte sur la région Asie-Pacifique, mais les 17 pays touchés couvrent bien d'autres zones. Les secteurs les plus frappés sont l'industrie manufacturière en premier lieu, suivie de la construction, de la santé et de l'assurance. Des secteurs qui partagent souvent le même profil : systèmes opérationnels critiques, tolérance à l'interruption quasi nulle, pression à payer.
La France n'est pas épargnée. Parmi les victimes identifiées figure leperreux94.fr, le portail officiel de la commune du Perreux-sur-Marne, en banlieue parisienne. Une collectivité locale qui illustre un angle souvent négligé : les organismes publics de taille moyenne, avec des ressources IT limitées, sont des cibles accessibles. Leurs identifiants circulent dans les mêmes journaux d'infostealers que ceux des grandes entreprises. Leurs défenses, elles, ne sont pas comparables.
Surveiller les identifiants compromis en continu. Pas une fois par trimestre lors d'un audit. En continu. Les journaux d'infostealers sont mis à jour quotidiennement sur les marchés souterrains. Un identifiant exposé aujourd'hui peut être utilisé demain. Intégrez une solution de surveillance qui alerte dès qu'un domaine ou une adresse e-mail de votre organisation apparaît dans ces sources.
Déployer une MFA résistante au phishing. Les clés de sécurité matérielles (FIDO2) ou les méthodes basées sur des certificats éliminent le risque lié aux identifiants volés simples. Un mot de passe compromis ne suffit plus à ouvrir une session. C'est la mesure la plus directement efficace contre le vecteur utilisé par The Gentlemen.
Lutter contre les infostealers sur les postes. La détection des infostealers passe par une protection endpoint à jour, des politiques strictes sur les extensions de navigateur, et une sensibilisation ciblée sur les usages personnels des postes professionnels. Les journaux volés viennent souvent d'un poste infecté hors du périmètre de l'entreprise qui accède aux ressources internes.
Faire tourner les identifiants exposés immédiatement. Dès qu'un identifiant est identifié dans une fuite, la rotation doit être traitée comme une urgence, pas comme une tâche planifiée. Consultez notre guide sur les indicateurs de compromission pour comprendre comment prioriser ces actions dans un contexte de réponse à incident.
Pas exclusivement, mais la méthode basée sur les journaux d'infostealers ne fait pas de distinction par taille. Si des identifiants d'une organisation circulent dans ces journaux, elle devient une cible potentielle. Les collectivités locales et les PME sont vulnérables précisément parce qu'elles apparaissent dans ces bases sans disposer des moyens de détection correspondants.
Non. Une fuite opérationnelle expose des membres et des méthodes, mais ne démantèle pas un groupe. Les affiliés RaaS peuvent migrer vers d'autres programmes. L'administrateur "zeta88" reste actif selon les données disponibles. La fuite est utile pour la recherche et l'attribution, pas pour considérer la menace comme résolue.
Oui. Snusbase est un moteur de recherche commercial indexant des données issues de fuites. L'accès est payant mais ouvert. Ce n'est pas un outil du dark web réservé à des acteurs sophistiqués. N'importe quel affilié peut l'utiliser pour rechercher des identifiants liés à un domaine cible en quelques minutes.
Les données disponibles sur The Gentlemen ne précisent pas de délai médian. Mais le modèle infostealer implique généralement une phase de reconnaissance après l'obtention des identifiants, avant le déploiement du locker. Ce délai, variable selon la cible, est la fenêtre dans laquelle une surveillance active des identifiants peut permettre d'intervenir avant le chiffrement.
