脅威アクター zeta88 が、ハッキングフォーラムで The Gentlemen's RaaS という新しい ransomware-as-a-service 運用を宣伝しており、Windows、Linux、ESXi システムを標的にしています。このプラットフォームは、アフィリエイトに身代金支払いの 90 パーセントを提供し、Go と C で開発されたクロスプラットフォームの暗号化ツールを備えています。この進展は、エンタープライズ環境を標的とした洗練されたランサムウェアの継続的な商業化を強調しています。
2025 年 10 月 29 日、脅威インテリジェンスレポートが登場し、zeta88 として知られるオペレーターによる The Gentlemen's RaaS の地下ハッキングフォーラムでの広告を詳細に説明しました。このクロスプラットフォームの ransomware-as-a-service (RaaS) は、Windows、Linux(ネットワーク接続ストレージ (NAS) および BSD バリエーションを含む)、および VMware ESXi 仮想環境を実行するエンタープライズシステムを標的にしています。
技術アーキテクチャはモジュラリティと効率性を強調しています。Windows と Linux のロッカーは、クロスコンパイルとリソース最適化のために Go で構築されており、C でコード化された ESXi バリアントは、仮想化セットアップでのステルス展開を容易にするために約 32 キロバイトのコンパクトなサイズです。暗号化は XChaCha20 ストリーム暗号と Curve25519 をキー交換に使用し、ファイルごとのエフェメラルキーで復号化の試みを妨げます。伝播と永続化メカニズムには、Windows Management Instrumentation (WMI)、WMIC、SCHTASKS(スケジュールされたタスク用)、SC(サービス用)、PowerShell Remoting が含まれ、ラテラルムーブメントとブート時実行を可能にします。マルウェアはまた、ワームのような広がりのためにネットワーク共有の発見を自動化します。
経済的には、プログラムは身代金収益の 90 パーセントをアフィリエイトに割り当て、オペレーターが 10 パーセントを保持します。アフィリエイトは専門知識を活用して交渉を制御し、オペレーターはバックエンドサポートを提供します。これには、抽出されたデータのためのデータ漏洩サイトとすべてのプラットフォーム用のユニバーサルデクリプターが含まれます。ビルドは分析を回避するためにパスワードで保護されています。
この運用は、ロシアと独立国家共同体 (CIS) 諸国を対象外とし、ロシア関連のサイバー犯罪で一般的な特徴です。すべての仕様は未検証のプロモーション資料から来ていますが、プロフェッショナルなランサムウェア開発のトレンドと一致します。組織は、このような脅威に対するエンドポイント検知、ネットワークセグメンテーション、バックアップを強化することを推奨されます。