Recrutement, politique de rémunération, innovation continue et sous-traitance : les groupes de ransomware agissent désormais de façon structurée et adoptent les codes des entreprises. 

La montée en puissance d’un nouveau groupe cybercriminel 

Apparu au milieu de l’année 2025, The Gentlemen est un groupe de ransomware-as-a-service (RaaS) attribué à des cybercriminels russophones. En moins d’un an, il s’est imposé comme l’un des acteurs les plus actifs de l’écosystème cybercriminel grâce à un modèle reposant sur un vaste réseau d’affiliés recrutés sur les forums du dark web, auxquels il fournit son infrastructure de ransomware.

Les victimes revendiquées sont réparties dans plus de 70 pays et appartiennent principalement aux secteurs de l’industrie, de la santé, de l’assurance et des services. Connu pour ses méthodes offensives et sa forte capacité d’adaptation, le groupe revendique plus de 340 victimes et s’appuie sur un malware développé en langage Go (ou Golang) capable de cibler des environnements Windows, Linux, NAS et ESXi. Son modèle économique repose sur la double extorsion : avant de chiffrer les systèmes, les attaquants exfiltrent les données sensibles afin de menacer leur publication en cas de refus de paiement.

Selon les chercheurs de Check Point Research, 1570 réseaux d’entreprises auraient été compromis par The Gentlemen, un chiffre très supérieur au nombre de victimes publiquement revendiquées sur son site de fuite. Cet écart suggère qu’une part importante des intrusions n’aboutit ni à une publication des données volées ni à une revendication officielle, témoignant d’une activité opérationnelle bien plus étendue que ce que laissent apparaître les seules victimes affichées publiquement.

Le niveau de menace représenté par The Gentlemen s’est notamment illustré lors de l’attaque contre Mackay Sugar, deuxième producteur australien de sucre brut. L’incident a interrompu pendant près d’une semaine une partie des activités de ses sucreries dans le Queensland, démontrant la capacité du groupe à provoquer des perturbations cyber-physiques affectant directement des infrastructures industrielles critiques. L’Australie figure aujourd’hui en 4e position parmi les pays les plus ciblés par le groupe de RaaS. 

Une chaîne de production de l’attaque 

Le mode opératoire de The Gentlemen suit une séquence parfaitement standardisée. L’attaque débute par la compromission de services exposés sur Internet ou de comptes administrateurs, avant une phase de reconnaissance destinée à cartographier le réseau et à identifier les systèmes critiques. Les attaquants prennent ensuite progressivement le contrôle de l’environnement en utilisant des outils d’administration légitimes, une technique qui leur permet de limiter leur détection.

Une fois des privilèges élevés obtenus, ils neutralisent les solutions de sécurité, désactivent les antivirus et les outils de détection, puis automatisent la propagation du ransomware sur l’ensemble du domaine Windows. Conformément au modèle de la double extorsion, les données sensibles sont d’abord exfiltrées avant le chiffrement des systèmes. Enfin, les cybercriminels sabotent les mécanismes de restauration, effacent leurs traces et déploient le ransomware afin de maximiser les perturbations et d’accroître la pression sur la victime.

Cette organisation témoigne d’un haut degré de maturité. Loin d’une attaque improvisée, The Gentlemen applique une chaîne d’attaque méthodique et reproductible, où chaque étape est optimisée pour accroître l’efficacité opérationnelle et la rentabilité du modèle de ransomware-as-a-service.

Quand la compromission devient une vitrine capacitaire du groupe 

Alors que The Gentlemen consacre une grande partie de ses efforts à préserver son anonymat et sa sécurité opérationnelle, le groupe a lui-même été victime d’une compromission. À la suite d’une attaque visant son hébergeur 4VPS, plus de 8 200 lignes de conversations internes, des captures d’écran, des portefeuilles Bitcoin et de nombreux éléments techniques ont été divulgués.

Cette fuite constitue une source de renseignement d’une valeur exceptionnelle. Au-delà de l’anecdote des « hackers hackés », elle révèle les rouages d’une organisation criminelle dont le fonctionnement s’apparente de plus en plus à celui d’une entreprise de ransomware. Contrairement à l’image traditionnelle d’un groupe de hackers menant lui-même ses attaques, The Gentlemen adopte le modèle du ransomware-as-a-service (RaaS). Les développeurs conçoivent et maintiennent le ransomware, administrent l’infrastructure technique et assurent son évolution, tandis que des affiliés, recrutés sur les forums du dark web, se chargent de compromettre les réseaux des victimes, de déployer le malware et de négocier les rançons. En contrepartie, ils reversent une commission aux opérateurs de la plateforme.

Pour attirer ces affiliés, The Gentlemen mise sur une politique de rémunération particulièrement agressive. Le groupe reverse 90 % des rançons aux opérateurs qui utilisent son infrastructure, contre environ 80 % dans la plupart des programmes RaaS concurrents. En 2026, il pousse même cette logique plus loin en proposant 97 % des revenus pour les campagnes d’extorsion reposant uniquement sur le vol de données, sans chiffrement des systèmes. Une stratégie qui traduit l’évolution des modèles économiques du ransomware, où l’extorsion tend progressivement à prendre le pas sur le chiffrement.

Cette politique tarifaire constitue un véritable avantage concurrentiel au sein de l’économie clandestine. L’objectif est clair : attirer des cybercriminels expérimentés, notamment issus de programmes concurrents tels que LockBit, en leur offrant une rémunération supérieure. Le recrutement s’effectue principalement sur les forums du dark web, où le groupe publie des annonces détaillant les performances de son malware, les outils mis à disposition et les conditions financières offertes aux affiliés. Cette logique de concurrence, de fidélisation et de partage des revenus illustre à quel point le ransomware s’est transformé en une véritable économie de plateforme, où développeurs et affiliés se répartissent les rôles selon une chaîne de valeur désormais bien établie.

La principale révélation de cette fuite n’est finalement pas technique. Elle est organisationnelle. The Gentlemen illustre une mutation profonde du cybercrime : le hacker isolé laisse progressivement place à une économie structurée, où développeurs, affiliés, courtiers en accès et négociateurs occupent des fonctions spécialisées au sein d’une véritable plateforme criminelle. Les codes de l’entreprise recrutement, innovation, avantage concurrentiel, partage de revenus se retrouvent désormais au cœur des modèles de ransomware-as-a-service.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.