The Gentlemen: связи RaaS, CountLoader и Cobalt Strike

Недавние публикации об операции The Gentlemen привлекли внимание к методам и связям этой группировки Ransomware-as-a-Service (RaaS), активной с середины 2025 года. Исследование показало, что ключевую роль в ее операционной инфраструктуре играет загрузчик вредоносного ПО CountLoader, который связан сразу с тремя известными операциями по вымогательству: Black Basta, LockBit и Qilin.

CountLoader и следы в инфраструктуре RaaS

По данным аналитиков Silent Push, CountLoader был обнаружен в версиях на .NET, PowerShell и JScript. Именно этот компонент, как отмечают исследователи, помог выйти на цепочку связей, указывающую на устойчивую инфраструктуру, используемую в различных кампаниях вымогательства.

Особый интерес вызвали водяные знаки Cobalt Strike — 1473793097 и 1357776117. Эти идентификаторы оказались уникальными маркерами, связанными с одним и тем же аффилированным лицом, действовавшим в рамках разных групп программ-вымогателей.

«Использование лицензированных экземпляров Cobalt Strike, несущих уникальные идентификаторы, позволило осуществлять постоянный мониторинг злоумышленников, несмотря на изменения в их аффилированности с сервисами RaaS».

Такой подход, по оценке Silent Push, оказался особенно эффективным: аналитики смогли непрерывно отслеживать активность этого аффилированного лица на протяжении трех лет.

C2-сервер и раннее предупреждение

Еще одним важным элементом разведданных стало выявление IP-адреса 91.107.247.163 как сервера управления C2 для Cobalt Strike. По данным Silent Push, этот адрес был отмечен в феврале 2026 года, а уже к апрелю того же года его подтверждение появилось у Check Point в связи с вторжением, связанным с операцией The Gentlemen.

Система раннего предупреждения Silent Push позволила клиентам заранее внедрить блокировки против этого IP-адреса, что снизило вероятность успешного использования инфраструктуры злоумышленников.

Тактика атак: VPN и межсетевые экраны

Анализ операционной инфраструктуры The Gentlemen дает представление и об их тактике. Аффилиаты этой программы-вымогателя, как указано в отчете, предпочитают эксплуатировать internet-facing VPN и межсетевые экраны для первоначального доступа к целевым сетям.

Для организаций это означает необходимость уделять повышенное внимание следующим мерам:

• аудиту внешне доступных VPN-сервисов;
• своевременному обновлению межсетевых экранов;
• контролю точек входа, через которые может быть получен начальный доступ;
• проверке наличия признаков компрометации в периметре.

IOFA, SIEM и EDR как инструмент проактивной защиты

Для усиления защиты от подобных угроз предприятиям рекомендуется использовать потоки Indicators of Future Attack (IOFA) для Cobalt Strike, доступные через Silent Push. Эти данные могут быть напрямую интегрированы в системы безопасности, включая firewalls, Security Information and Event Management (SIEM) и платформы Endpoint Detection and Response (EDR).

По сути, речь идет о переходе от реактивной модели защиты к проактивной: организации получают возможность заранее блокировать инфраструктуру злоумышленников и выстраивать защиту на несколько недель вперед относительно планируемых вторжений.

Вывод отчета очевиден: в условиях, когда аффилиаты RaaS-операций меняют названия, партнеров и инструменты, решающим фактором становится не только обнаружение текущей атаки, но и постоянная разведка инфраструктуры, позволяющая выявлять повторяющиеся маркеры и быстро закрывать уязвимые каналы доступа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.