O ator de ameaças zeta88 está promovendo uma nova operação de ransomware-as-a-service chamada The Gentlemen's RaaS em fóruns de hacking, visando sistemas Windows, Linux e ESXi. A plataforma oferece aos afiliados 90 por cento dos pagamentos de resgate e apresenta ferramentas de criptografia multiplataforma desenvolvidas em Go e C. Esse desenvolvimento destaca a comercialização contínua de ransomware sofisticado direcionado a ambientes empresariais.
Em 29 de outubro de 2025, relatórios de inteligência de ameaças surgiram detalhando o anúncio do The Gentlemen's RaaS pelo operador conhecido como zeta88 em fóruns de hacking subterrâneos. Esse ransomware-as-a-service (RaaS) multiplataforma visa sistemas empresariais que executam Windows, Linux — incluindo armazenamento conectado à rede (NAS) e variantes BSD — e ambientes virtuais VMware ESXi.
A arquitetura técnica enfatiza modularidade e eficiência. Os bloqueadores para Windows e Linux são construídos em Go para compilação cruzada e otimização de recursos, enquanto a variante ESXi, codificada em C, tem um tamanho compacto de aproximadamente 32 kilobytes para facilitar o implantação furtivo em configurações virtualizadas. A criptografia depende do cifrador de fluxo XChaCha20 e Curve25519 para troca de chaves, com chaves efêmeras por arquivo para dificultar esforços de descriptografia. Os mecanismos de propagação e persistência incluem Windows Management Instrumentation (WMI), WMIC, SCHTASKS para tarefas agendadas, SC para serviços e PowerShell Remoting, permitindo movimento lateral e execução no boot. O malware também automatiza a descoberta de compartilhamentos de rede para propagação semelhante a um worm.
Economicamente, o programa aloca 90 por cento dos rendimentos de resgate aos afiliados, com os operadores retendo 10 por cento. Os afiliados controlam as negociações, aproveitando sua expertise, enquanto o operador fornece suporte backend, incluindo um site de vazamento de dados para dados exfiltrados e um descriptografador universal para todas as plataformas. As builds são protegidas por senha para evitar análise.
A operação exclui alvos na Rússia e nos países da Comunidade de Estados Independentes (CEI), uma característica comum no cibercrime afiliado à Rússia. Todas as especificações provêm de materiais promocionais não verificados, mas se alinham com tendências no desenvolvimento profissional de ransomware. As organizações são aconselhadas a aprimorar a detecção de endpoints, segmentação de rede e backups contra tais ameaças.
