Hotaktören zeta88 marknadsför en ny ransomware-as-a-service-operation kallad The Gentlemen's RaaS på hackingforum, som riktar sig mot Windows-, Linux- och ESXi-system. Plattformen erbjuder affiliates 90 procent av lösenbetalningarna och har korsplattformskrypteringverktyg utvecklade i Go och C. Denna utveckling belyser den pågående kommersialiseringen av sofistikerad ransomware som riktar sig mot företagsmiljöer.
Den 29 oktober 2025 dök hotintelligensrapporter upp som detaljerar annonseringen av The Gentlemen's RaaS av operatören känd som zeta88 på underjordiska hackingforum. Denna korsplattformsransomware-as-a-service (RaaS) riktar sig mot företagsystem som kör Windows, Linux — inklusive nätverksansluten lagring (NAS) och BSD-varianter — samt VMware ESXi virtuella miljöer.
Den tekniska arkitekturen betonar modularitet och effektivitet. Windows- och Linux-lås byggs i Go för korskompilering och resursoptimering, medan ESXi-varianten, kodad i C, har en kompakt storlek på cirka 32 kilobyte för att underlätta smygande distribution i virtualiserade uppsättningar. Kryptering bygger på XChaCha20 strömchiffer och Curve25519 för nyckelutbyte, med efemära nycklar per fil för att hindra dekryptering. Propagations- och persistensmekanismer inkluderar Windows Management Instrumentation (WMI), WMIC, SCHTASKS för schemalagda uppgifter, SC för tjänster och PowerShell Remoting, vilket möjliggör laterell rörelse och körning vid uppstart. Malware automatiserar också upptäckt av nätverksdelningar för maskliknande spridning.
Ekonomiskt allokerar programmet 90 procent av lösenintäkterna till affiliates, medan operatörer behåller 10 procent. Affiliates styr förhandlingar och utnyttjar sin expertis, medan operatören tillhandahåller backend-stöd, inklusive en dataläckagesajt för exfiltrerad data och en universell dekrypterare för alla plattformar. Byggena är lösenordsskyddade för att undvika analys.
Operationen utesluter mål i Ryssland och länderna i Oberoende staternas samvälde (CIS), en vanlig egenskap hos ryskrelaterad cyberbrottslighet. Alla specifikationer kommer från verifieringslösa promotionsmaterial, men de stämmer överens med trender inom professionell ransomware-utveckling. Organisationer rekommenderas att förbättra endpointdetektering, nätverkssegmentering och säkerhetskopior mot sådana hot.
