新たに分析されたThe Gentlemen ランサムウェアグループのリーク情報から、現代のランサムウェア組織が構造やツール面では進化しながらも、過去4年間にわたって実績のある侵入手法に依然として依存している実態が明らかになりました。
このリークでは、主要なランサムウェアブランドをまたいだ攻撃者の継続性も浮き彫りになっています。「Tinker」として知られる脅威アクターは、Conti(2022年)、Black Basta(2025年)、そして今回の The Gentlemen(2026年)にわたって登場しており、フィッシング・交渉・認証情報窃取を担う同一の役割を維持し続けています。
Matrixサーバー「bestflowers247.online」を含む共有インフラの存在も、これらのグループ間の帰属関係の重複を裏付けており、ランサムウェアアクターは活動を終了するのではなくリブランドするというパターンを改めて証明しています。
組織的な変化にもかかわらず、初期侵入手法はほとんど変わっていません。The Gentlemen はチャットログ内で Fortinet エッジデバイスに少なくとも81か所言及しており、FortiGate システムへの強い依存が確認されています。
グループは FortiOS の認証バイパス脆弱性である CVE-2024-55591 の悪用を明示的に議論していました。それと並行して、「gentlemen25」や「Gentlemen25」といった脆弱または使い回しの認証情報を使い、約1,000件の Fortinet VPN インスタンスに対するブルートフォース攻撃も確認されています。
これは、エッジデバイスの悪用や既知の脆弱性が侵入の糸口として一貫して機能していた Black Basta および Conti の過去の活動とも一致しています。
人工知能(AI)が業務に組み込まれていますが、一般的に想像されるような形ではありません。マルウェアの生成に使用するのではなく、攻撃者は ChatGPT や Claude などの AI ツールをソーシャルエンジニアリング、スクリプト作成、データ処理に活用しています。
内部の会話記録からは、AI がフィッシングメッセージの作成、被害者とのコミュニケーションの自動化、マルウェア亜種のコード変換支援に使われていた様子が確認されています。
Vectra AI の報告書によると、2026年5月に公開され Ransom-ISAC が分析したこのリークには、3,366件の Rocket.Chat 内部メッセージとインフラのアーティファクトが含まれており、今年最も活発なランサムウェアグループの一つの実態を明らかにしています。
グループはまた、Hugging Face などのプラットフォームでホストされている無検閲の大規模言語モデルを試験的に使用し、盗んだデータの解析にはレンタルした GPU インフラも活用していました。
ただし、AI の出力に対する信頼度はオペレーター間で一定ではなく、あくまで主要な能力ではなく補助的なツールにとどまっていることが示されています。
ツール面ではより大きな進化が見られます。The Gentlemen は、Cobalt Strike のような従来型フレームワークを独自のコマンド&コントロールプラットフォーム「G-BOT」に置き換えました。
このフレームワークは SOCKS5 トンネリングに対応しており、temp.sh や 0x0.st などの公開ファイル共有サービスをペイロード配信に利用しています。
Black Basta による Breaker C2 フレームワーク(TCP・DNS・ICMP 通信チャネルを備える)の開発といった以前の取り組みも、検知回避を目的とした独自ツールへのシフトという業界全体のトレンドを示しています。
エンドポイント検出・応答(EDR)システムは回避の対象ではなく、積極的に無効化の対象となっています。リークで言及された手法には、NTDLL アンフッキング、直接システムコール実行、ETW パッチ適用、デバッグレジスタの操作などが含まれています。
あるオペレーターは、主要な EDR ソリューションを無効化できるツールの価格が約5,000ドルと主張しており、防御回避能力に特化した地下市場が成熟していることをうかがわせます。
このリークでは、ハイパーバイザーレベルの攻撃への関心が高まっていることも明らかになっています。The Gentlemen は Hyper-V 環境をホストレベルで直接標的とし、仮想マシンのストレージを暗号化しました。
このアプローチはゲスト側の監視ツールを回避するため、エンドポイントセキュリティ製品は進行中の暗号化活動を検知できない状態に置かれます。
侵害後の活動は、従来のランサムウェア作戦と一貫しています。LummaC2、Phemedrone Stealer、DumpBrowserSecrets などの認証情報窃取ツールを使用してブラウザに保存された認証情報が抽出されました。
ドメインの完全掌握は、NTDS.dit のボリュームシャドウコピーバックアップを通じて実現され、全認証情報へのアクセスが可能になりました。データ窃取は、rclone を使用して盗んだデータを Synology NAS のステージングサーバー経由で MEGA クラウドストレージに転送するという従来の手口に沿って実行されました。
ある公開された設定情報では、アカウント「d0wnloAd1」を使用してポート2222経由でIP 193.228.128.2 へ活発に窃取が行われていたことが確認されています。
今回の Gentlemen リークは、ランサムウェア作戦における重大なパターンを改めて浮き彫りにしています。すなわち、イノベーションは回避手法・インフラ・規模の拡大に集中している一方で、中核となる侵入手法は変わっていないという点です。
エッジデバイスの悪用、認証情報の窃取、そして信頼性の高いツールを用いたデータ窃取は引き続き成功を収めており、長年にわたる公開開示や脅威インテリジェンスレポートにもかかわらず、防御上の欠陥が依然として残存していることを示しています。
翻訳元: https://gbhackers.com/fortinet-flaws-ai-and-custom-c2-tools-exploited/
