L'acteur de menace zeta88 fait la promotion d'une nouvelle opération ransomware-as-a-service appelée The Gentlemen's RaaS sur des forums de hacking, ciblant les systèmes Windows, Linux et ESXi. La plateforme offre aux affiliés 90 pour cent des paiements de rançon et propose des outils de chiffrement multiplateforme développés en Go et C. Ce développement met en lumière la commercialisation continue de ransomwares sophistiqués visant les environnements d'entreprise.
Le 29 octobre 2025, des rapports d'intelligence sur les menaces ont émergé détaillant la publicité du The Gentlemen's RaaS par l'opérateur connu sous le nom de zeta88 sur divers forums de hacking clandestins. Ce ransomware-as-a-service (RaaS) multiplateforme cible les systèmes d'entreprise exécutant Windows, Linux — y compris le stockage en réseau (NAS) et les variantes BSD — et les environnements virtuels VMware ESXi.
L'architecture technique met l'accent sur la modularité et l'efficacité. Les verrouilleurs Windows et Linux sont construits en Go pour la compilation croisée et l'optimisation des ressources, tandis que la variante ESXi, codée en C, a une taille compacte d'environ 32 kilooctets pour faciliter un déploiement furtif dans les configurations virtualisées. Le chiffrement repose sur le chiffre de flux XChaCha20 et Curve25519 pour l'échange de clés, avec des clés éphémères par fichier pour entraver les efforts de déchiffrement. Les mécanismes de propagation et de persistance incluent Windows Management Instrumentation (WMI), WMIC, SCHTASKS pour les tâches planifiées, SC pour les services et PowerShell Remoting, permettant le mouvement latéral et l'exécution au démarrage. Le malware automatise également la découverte de partages réseau pour une propagation de type ver.
Sur le plan économique, le programme alloue 90 pour cent des recettes de rançon aux affiliés, les opérateurs retenant 10 pour cent. Les affiliés contrôlent les négociations, tirant parti de leur expertise, tandis que l'opérateur fournit un support backend, incluant un site de fuite de données pour les données exfiltrées et un décripteur universel pour toutes les plateformes. Les builds sont protégées par mot de passe pour éviter l'analyse.
L'opération exclut les cibles en Russie et dans les pays de la Communauté des États indépendants (CEI), une caractéristique courante dans la cybercriminalité affiliée à la Russie. Toutes les spécifications proviennent de matériaux promotionnels non vérifiés, mais elles s'alignent sur les tendances dans le développement professionnel de ransomwares. Les organisations sont invitées à renforcer la détection des points d'extrémité, la segmentation réseau et les sauvegardes contre de telles menaces.
