در یک رخداد کمسابقه در دنیای جرایم سایبری، گروه باجافزاری The Gentlemen، یکی از فعالترین عملیاتهای Ransomware-as-a-Service (RaaS) در سال 2026، قربانی نفوذ سایبری شد. افشای بخشی از دادههای داخلی نشان میدهد گروه باجافزاری The Gentlemen چگونه با ساختاری سازمانیافته، مدل درآمدی جذاب برای همکاران عملیاتی و بهرهبرداری گسترده از اکسپلویتها و ابزارهای نفوذ، در مدت کوتاهی به یکی از عوامل اصلی اکوسیستم باجافزار تبدیل شده است. اکنون محققان امنیتی برای نخستینبار به جزئیات ساختار عملیاتی، تاکتیکها و ابزارهای این باند دسترسی پیدا کردهاند.
نفوذ به زیرساخت عملیات باجافزاری
بر اساس گزارش Check Point Research، این باند سایبری در پنج ماه نخست سال 2026 موفق به انتشار دادههای حساس متعلق به حدود 332 سازمان در سایت افشای داده خود شده است. از آنجا که قربانیانی که باج پرداخت میکنند معمولاً در این سایتها ثبت نمیشوند، احتمالاً تعداد واقعی سازمانهای آلوده بسیار بیشتر از این رقم است.
این آمار باعث شده گروه باجافزاری The Gentlemen در سال جاری به دومین عملیات فعال باجافزاری جهان تبدیل شود؛ جایگاهی که تنها کمی پایینتر از گروه Qilin قرار دارد.
اما حوالی 4 می 2026 شرایط تغییر کرد. یک گروه ناشناس موفق شد به پایگاه داده داخلی این عملیات نفوذ کند و اکنون بیش از 16 گیگابایت داده داخلی را برای فروش عرضه کرده است.
این دادهها شامل موارد زیر است:
- ارتباطات داخلی اعضا
- ابزارهای عملیاتی
- زیرساختهای مورد استفاده
- دادههای مدیریتی
این اطلاعات با قیمت 10 هزار دلار بیتکوین برای فروش عرضه شده است.
برای اثبات صحت اطلاعات، حدود 44 مگابایت نمونه داده منتشر شد که توسط محققان Check Point تحلیل شده است.
ساختار سازمانی گروه باجافزاری The Gentlemen
تحلیل دادههای افشا شده نشان میدهد این گروه ساختاری بسیار شبیه یک سازمان حرفهای دارد. مدیر اصلی این باند با نام مستعار zeta88 شناخته میشود و مسئول توسعه و مدیریت بدافزار Locker، اداره زیرساختهای حمله، انتخاب اهداف و مدیریت مذاکرات باجگیری است.
در کنار او دو عضو کلیدی qbit و quant فعالیت دارند.
وظایف اصلی qbit شامل موارد زیر است:
- اسکن دستگاههای Edge آسیبپذیر
- شناسایی اهداف
- جمعآوری اطلاعات
- ایجاد پایداری (Persistence) در شبکه قربانی
در مقابل، quant مسئول دستیابی اولیه به شبکهها از طریق اعتبارنامهها و لاگهای سرقتشده است.
علاوه بر این افراد، حدود هفت عضو دیگر در نقشهای تخصصی فعالیت میکنند، از جمله:
- متخصصان Red Team
- واسطههای فروش دسترسی (Access Brokers)
- متخصص تبلیغات و جذب همکار
علاوه بر هسته مرکزی، احتمالاً شبکهای از همکاران عملیاتی (Affiliates) نیز به صورت جداگانه با این گروه همکاری دارند و عملیات پشتیبانی را انجام میدهند.
مدل درآمدی جذاب در عملیات RaaS
یکی از عوامل اصلی پیشرفت چشمگیر گروه باجافزاری The Gentlemen در اکوسیستم باجافزار، مدل پرداخت بسیار جذاب در عملیات RaaS است.
در هر حمله موفق:
- zeta88 تنها 10 درصد از مبلغ باج را دریافت میکند.
- 90 درصد باقیمانده بین اعضای تیم عملیاتی تقسیم میشود.
این مدل پرداخت نسبت به بسیاری از برنامههای RaaS جذابتر است و انگیزه بالایی برای همکاری همکاران عملیاتی فراهم میکند.
به گفته Eli Smadja از Check Point, تقسیم وظایف مشخص و Workflow منظم در این گروه، مشابه سازمانهای حرفهای، باعث افزایش بهرهوری و در نتیجه افزایش تعداد نفوذهای موفق شده است.
همچنین سابقه فعالیت zeta88 به عنوان یک همکار عملیاتی سابق باعث شده او شناخت دقیقی از عملکرد اکوسیستم باجافزار داشته باشد و بتواند عملیات را به شکل بهینه مدیریت کند.
ابزارها و تکنیکهای نفوذ
تحلیل دادههای افشا شده نشان میدهد گروه باجافزاری The Gentlemen برای نفوذ به سازمانها از ترکیبی از آسیبپذیریهای شناختهشده و تکنیکهای بهرهبرداری استفاده میکند.
مجموعه ابزارهای این عملیات شامل حدود 30 ابزار مختلف است، از جمله:
- اسکنرهای آسیبپذیری
- سرویسهای VPN برای مخفیسازی ترافیک
- ابزارهای دسترسی از راه دور (Remote Access)
- ابزارهای دور زدن EDR و آنتیویروس
یکی از تکنیکهای مهم مورد استفاده در این حملات BYOVD (Bring Your Own Vulnerable Driver) است. در این روش مهاجم با استفاده از درایورهای آسیبپذیر، مکانیزمهای امنیتی سیستم را دور زده و کنترل بیشتری بر سیستم هدف به دست میآورد.
استفاده آزمایشی از هوش مصنوعی
دادههای افشا شده نشان میدهد اعضای این باند به استفاده از مدلهای زبانی بزرگ (LLM) نیز علاقهمند هستند.
برخی از برنامههای آنها شامل:
- استفاده از LLM برای توسعه کد مخرب
- بررسی امکان ساخت ابزارهای خودکار حمله
- طراحی پنل مدیریتی با کمک هوش مصنوعی
طبق یکی از پیامهای داخلی، zeta88 اعلام کرده که آنها توانستهاند با کمک LLM یک پنل مدیریت را تنها در سه روز توسعه دهند.
تعامل و رقابت با سایر گروههای باجافزاری
چتهای افشا شده نشان میدهد که گروه باجافزاری The Gentlemen فعالیت سایر گروههای باجافزاری را با دقت دنبال میکند. برای نمونه:
- گروه DragonForce از نظر آنها عملکرد مثبتی داشته است.
- گروه Chaos چندان مورد توجه آنها قرار نگرفته است.
علاوه بر این، این گروه تلاش کرده است از افشای اطلاعات سال گذشته گروه Black Basta درس بگیرد، بهویژه در زمینه امضای دیجیتال کدها (Code Signing) برای بدافزارها.
تاثیر افشای اطلاعات بر ادامه فعالیت گروه باجافزاری The Gentlemen
به گفته محققان Check Point، بعید است این نفوذ بتواند فعالیت گروه باجافزاری The Gentlemen را بهطور جدی مختل کند. تجربه عملیاتی بالای اعضا و نبود فناوری محرمانه در دادههای افشا شده باعث میشود این عملیات احتمالاً به فعالیت خود ادامه دهد.
با این حال، این افشاگری ممکن است برخی همکاران عملیاتی این گروه را ترغیب کند تا عملیات RaaS مستقل خود را راهاندازی کنند؛ هرچند با وجود مدلهای پرداخت مشابه در سایر گروهها، چنین تصمیمی لزوماً برای همه جذاب نخواهد بود.
