Gentlemen RaaS nutzt Fortinet- und Cisco-Geräte für den ersten Zugriff

Dieser aggressive Aufteilung hat eine stetige Strömung öglicht es der Gruppe, ihre Angriffe in einem raschen Tempo zu skalieren. Analysten The Gentlemen seit langem und haben kürzlich einen seltenen Einblick in die inneren Abläufe der Gruppe gewonnen, nachdem eine interne Datenbank auf Foren im Untergrund geleakt wurde. Am 4.

Mai 2026 gab der Administrator der Gruppe öffentlich zu, dass ihr Backend-System, intern als „Rocket" bezeichnet, kompromittiert wurde und sensible Betriebsdaten offengelegt wurden. Zeta88 Werbung für The Gentlemen's RaaS (Quelle – Check Point). Das geleakte Material umfasste interne Chat-Protokolle aus den Kanälen INFO, general, TOOLS und PODBOR.

Diese Gespräche gaben Forschern einen vollständigen Überblick darüber, wie die Gruppe ihre Kampagnen durchführt – öglichkeit und der Aufklärung bis hin zu Ransomware-Verhandlungen und Auszahlungen. Zielsetzung: Fortinet- und Cisco-Edge-Geräte.

Einordnung fuer Autofahrer

In einem dokumentierten Fall verhandelte die Gruppe eine finale Lösegeldzahlung von 190.000 USD nach einer anfänglichen Forderung von 250.000 USD. Besonders gefährlich an The Gentlemen ist ihre hohe Organisationsstruktur trotz ihres affiliationsbasierten Aufbaus.

Das Leck identifizierte neun benannte Konten, die koordiniert zusammenarbeiten, wobei der Administrator, der als zeta88 oder hastalamuerte bekannt ist, persönlich an der Durchführung gleichzeitig das gesamte Programm steuert.

RaaS-Administrator in einem unterirdischen Forum (Quelle – Check Point) Die bevorzugte Methode der Gruppe, in ein Zielsystem einzudringen, beginnt am Netzwerkrand.

Technischer Hintergrund

Ihr Hauptfokus liegt auf exponierten Randgeräten wie Fortinet-FortiGate-VPN-Geräten und Cisco-Systemen, die sich häufig an den Eintrittspunkten ein verwundbares oder falsch konfiguriertes Gerät identifiziert, nutzen sie es als Gateway für den Zugriff im Inneren.

Um diesen ersten Fußfänger zu erringen, kombiniert die Gruppe mehrere Ansätze: Sie führen Brute-Force-Angriffe auf Login-Oberflächen durch, nutzen bekannte Sicherheitslücken aus und erwerben fertigen Zugang über Broker im Untergrund.

Drei Schwachstellen, die sie aktiv verfolgen, sind CVE-2024-55591, die die FortiOS-Verwaltungsschnittstelle betrifft, CVE-2025-32433, ein Erlang-SSH-Fehler, der in Cisco-Umgebungen relevant ist, sowie CVE-2025-33073, das mit NTLM-Relay-Angriffen in Verbindung steht. Vollständiger Screenshot der geleakten Daten (Quelle: Check Point).

Technischer Hintergrund

Ein bekannter Hauptakteur namens qbit wurde dabei beobachtet, wie er nach Fortinet-VPNs suchte und mit einem Tool namens RelayKing NTLM-Relay-Prüfungen durchführte. Nach dem Erreichen eines ersten Zugriffs wechseln sie in das Netzwerk ein.

Sie führen Erkundungen im Active Directory durch, erhöhen ihre Berechtigungen und deaktivieren Sicherheitstools mithilfe nutzen sie cloud-basierte Tunneling-Dienste wie Cloudflare, um einen zuverlässigen, langfristigen Zugriff ohne Erkennung aufrechtzuerhalten.

Erst wenn das Netzwerk fest in ihrer Kontrolle ist, setzen sie ihre eigene Ransomware-Locker-Software ein und beginnen mit der Verschlüsselung der Systeme. Ein ausgeklügeltes Double-Extortion-Szenario Die Gentlemen beschränken sich nicht nur auf die Verschlüsselung.

Einordnung fuer Autofahrer

Sie exfiltrieren Daten, bevor sie ihren Locker bereitstellen, und nutzen diese als Hebel in Verhandlungen.

In einem bemerkenswerten Fall im April 2026 durchdrang die Gruppe eine Softwareberatungsfirma im Vereinigten Königreich, stahl sensible Kundendaten und nutzte diese Wochen später erneut, um einen Angriff gegen ein Unternehmen in der Türkei zu unterstützen, bei dem sie ebenfalls über ein verwundbares VPN-Gerät den ersten Zugriff erlangt hatten.

Verhandlungs-Leitfaden (Quelle – Check Point) Bei der Operation in der Türkei veröffentlichte die Gruppe die britische Beratungsfirma als vermeintlichen „Zugangsbroker" auf ihrer Datenlecks-Seite und übte damit Druck auf beide Opfer gleichzeitig aus.

Einordnung fuer Autofahrer

Diese Taktik, bei der frühere Opfer gegen zukünftige eingesetzt werden, signalisiert einen deutlichen Wandel in der Denkweise. Von zeta88 verfasste Erpressungsanforderungsschreiben betonten zudem regulatorische Risiken und Reputationsschäden, um die Opfer zu einem schnelleren Zahlungsverhalten zu drängen.

Für Verteidiger heben die in dieser Kampagne beobachteten Muster klare Bereiche hervor, die besondere Aufmerksamkeit erfordern. Organisationen sollten die Patches für internetexponierte Systeme priorisieren, insbesondere für VPN-Geräte und Firewalls.

Die Überwachung auf NTLM-Relay-Aktivitäten, die Absicherung Gewährleistung, dass EDR-Lösungen gegen Manipulation geschützt sind, stellen alle sinnvolle Schritte dar, die die Exposition gegenüber Gruppen mit diesem Maß an Sophistikhierung verringern können.

Die Re-Fang-Maßnahmen sind ausschließlich auf kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM durchzuführen. Sie uns auf