Aktor ancaman zeta88 sedang mempromosikan operasi ransomware-as-a-service baru bernama The Gentlemen's RaaS di forum hacking, menargetkan sistem Windows, Linux, dan ESXi. Platform ini menawarkan afiliasi 90 persen dari pembayaran tebusan dan menampilkan alat enkripsi lintas platform yang dikembangkan dalam Go dan C. Perkembangan ini menyoroti komersialisasi berkelanjutan ransomware canggih yang menargetkan lingkungan perusahaan.
Pada 29 Oktober 2025, laporan intelijen ancaman muncul yang merinci iklan The Gentlemen's RaaS oleh operator yang dikenal sebagai zeta88 di berbagai forum hacking bawah tanah. Ransomware-as-a-service (RaaS) lintas platform ini menargetkan sistem perusahaan yang menjalankan Windows, Linux—termasuk penyimpanan terhubung jaringan (NAS) dan varian BSD—dan lingkungan virtual VMware ESXi.
Arsitektur teknis menekankan modularitas dan efisiensi. Pengunci Windows dan Linux dibangun dalam Go untuk kompilasi silang dan optimalisasi sumber daya, sementara varian ESXi, yang dikode dalam C, memiliki ukuran kompak sekitar 32 kilobyte untuk memfasilitasi penerapan sembunyi-sembunyi di pengaturan virtualisasi. Enkripsi mengandalkan cipher stream XChaCha20 dan Curve25519 untuk pertukaran kunci, dengan kunci efemeral per file untuk menghambat upaya dekripsi. Mekanisme propagasi dan persistensi mencakup Windows Management Instrumentation (WMI), WMIC, SCHTASKS untuk tugas terjadwal, SC untuk layanan, dan PowerShell Remoting, yang memungkinkan pergerakan lateral dan eksekusi saat boot. Malware juga mengotomatiskan penemuan berbagi jaringan untuk penyebaran seperti cacing.
Secara ekonomi, program ini mengalokasikan 90 persen dari hasil tebusan kepada afiliasi, dengan operator mempertahankan 10 persen. Afiliasi mengendalikan negosiasi, memanfaatkan keahlian mereka, sementara operator menyediakan dukungan backend, termasuk situs kebocoran data untuk data yang diekstrak dan dekriptor universal untuk semua platform. Build dilindungi dengan kata sandi untuk menghindari analisis.
Operasi ini mengecualikan target di Rusia dan negara-negara Persemakmuran Negara-Negara Merdeka (CIS), ciri umum dalam kejahatan siber yang berafiliasi dengan Rusia. Semua spesifikasi berasal dari materi promosi yang belum diverifikasi, tetapi selaras dengan tren dalam pengembangan ransomware profesional. Organisasi disarankan untuk meningkatkan deteksi endpoint, segmentasi jaringan, dan cadangan terhadap ancaman semacam itu.
