De Conti à The Gentlemen : les outils ont évolué, mais les lacunes sont restées les mêmes.
Lire le blog
Vectra AIfigure parmi les leaders du Magic Quadrant de Gartner pour la gestion des réponses aux incidents (NDR) en 2026
Lire le rapport
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Ransomware

De Conti à The Gentlemen : les outils ont évolué, mais les lacunes sont restées les mêmes.

June 2, 2026
6/2/2026
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
De Conti à The Gentlemen : les outils ont évolué, mais les lacunes sont restées les mêmes.

En bref.

Quatre fuites provenant des opérateurs sur une période de quatre ans (Conti en 2022, Black Basta en février 2025, le panneau de contrôle de LockBit en mai 2025, The Gentlemen en mai 2026) montrent que les groupes de ransomware modifient leurs méthodes de recrutement, de commercialisation et d'équipement. Elles ne révèlent pratiquement aucun changement dans la manière dont ils parviennent à s'introduire, à se déplacer et à voler des données. La détection n'est pas défaillante. Elle est incomplète.

--

En mai 2026, le Équipe de recherche Ransom-ISAC a extrait 3 366 messages d'un site Onion Rocket.Chat utilisé par un groupe russophone appelé « The Gentlemen », classé deuxième groupe de ransomware le plus actif de 2026, derrière Qilin. Parmi ces données figurait un journal Matrix provenant de bestflowers247.online, le serveur domestique Black Basta utilisé depuis 2023. La poignée qui figurait sur les deux : Tinker, le négociateur. Intel 471 a publié un profil individuel de Tinker en tant que «phishing et négociateur » Black Basta au début de l'année 2025. Ransom-ISAC estime, avec un degré de confiance modéré à élevé que ce même opérateur avait déjà occupé le même poste chez Conti auparavant.

Une seule fonction. Trois marques. Quatre ans. Toujours le même poste.

C'est un détail, mais c'est tout ce qu'il y a à dire. Les opérateurs changent de nom, ils ne disparaissent pas. Et les méthodes qu'ils ont utilisées pour s'implanter sur les réseaux n'ont pratiquement pas changé.

Ces dernières semaines, j'ai passé mon temps à lire toutes les fuites de données brutes sur lesquelles j'ai pu mettre la main : la fuite de données de Conti Jabber, la fuite SQL du panneau d'affiliation de LockBit, les discussions Black Basta , ainsi que les deux parties de l'analyse de Ransom-ISAC concernant The Gentlemen. Vous trouverez ci-dessous ce qui a changé, ce qui n'a pas changé, ainsi que les cinq lacunes qui revenaient systématiquement dans toutes ces fuites.

Les quatre fuites en bref

Quatre fuites liées à des ransomwares, de 2022 à 2026 Chronologie présentant les groupes Conti (février 2022), Black Basta février 2025), LockBit (mai 2025) et The Gentlemen (mai 2026), avec l'ampleur de chaque fuite. Quatre fuites liées à des ransomwares, en quatre ans 2022 2023 2024 2025 2026 Février 2022 Conti février 2025 Black Basta Mai 2025 LockBit Mai 2026 Les Gentlemen 200,000+ Messages Jabber 196,000+ Messages Matrix Sauvegarde SQL complète 75 affiliés, 103 victimes 3 366 messages + Sauvegarde MEGA et NAS Trois ans entre deux ruptures

Conti (février 2022)

Le 25 février 2022, la direction de Conti a publié un communiqué sur le darknet dans lequel elle s'engageait à apporter son « soutien total » au gouvernement russe dans la guerre contre l'Ukraine. Deux jours plus tard, un utilisateur non identifié a ouvert un compte Twitter @ContiLeaks et a commencé à publier des années de conversations internes sur Jabber. La plupart des analystes estiment que la source est un chercheur ukrainien ayant eu accès auparavant à l'infrastructure de Conti. Ces données ont été hébergées par le malware vx-underground et comprenaient environ 60 000 messages privés couvrant la période de juin 2020 à février 2022.

Black Basta février 2025)

Le 11 février 2025, un compte intitulé @ExploitWhispers a publié sur Telegram un fichier JSON de 47 Mo contenant 196 045 messages Matrix, principalement en russe, couvrant la période du 18 septembre 2023 au 28 septembre 2024. La motivation invoquée par le divulgateur : Black Basta « franchi la ligne rouge » en prenant pour cible des banques russes.

LockBit (mai 2025)

Le 7 mai 2025, un individu anonyme se faisant appeler « xoxo from Prague » a remplacé le site Onion de LockBit par le message « Ne commettez pas de délits : LE CRIME, C'EST MAL » et un lien vers paneldb_dump.zip, une exportation SQL complète du panneau d'administration des affiliés. Le fichier couvre la période du 18 décembre 2024 au 29 avril 2025, soit toute la période de relance qui a suivi l'opération Cronos, après la fermeture du site par l'Agence nationale contre la criminalité du Royaume-Uni l'année précédente.

Les Gentlemen (mai 2026)

Le 2 mai, l'hébergeur 4VPS.SU a révélé une faille dans son infrastructure : un serveur proxy avait été remplacé et le chargeur GRUB endommagé. Deux jours plus tard, le groupe The Gentlemen a publié sa propre déclaration sur le forum T1erOne, balayant cette fuite d'un revers de main avec un proverbe russe, « Les chiens aboient, mais la caravane passe. » Le 5 mai, un utilisateur se faisant appeler n345 a proposé ce jeu de données sur PwnForums pour 10 000 dollars américains en bitcoins. Trois jours plus tard, ce même utilisateur l’a publié gratuitement sur CryptBB. Le dump en lui-même : 3 366 messages provenant d’un site Rocket.Chat « onion » auto-hébergé, répartis sur 22 salles, datant de novembre 2025 à fin avril 2026. Un lot complémentaire connu sous le nom de JA456 est réapparu peu après sous un autre nom d'utilisateur sur Cracked, dévoilant cette fois des données provenant des opérateurs : l'historique RGPD d'un compte MEGA, un NAS Synology /etc/shadow, ainsi que des captures d'écran de la réinitialisation d'usine effectuée alors que l'exfiltration se poursuivait à un débit de 395 Ko/s en envoi.

Ce qui a évolué

1. La structure de l'entreprise s'est réduite et décentralisée

Conti fonctionnait comme une entreprise de taille moyenne: environ 100 employés, un service des ressources humaines, un processus de recrutement, des salaires versés les 15 et 30 de chaque mois, et des horaires de bureau de 10 h à 18 h, heure de Moscou. Certaines estimations vont même jusqu’à 350 membres, toutes équipes confondues.

Trois ans plus tard, Black Basta opérait toujours depuis deux bureaux à Moscou, avec un budget hebdomadaire de 2 000 dollars américains pour la cuisine et un chauffeur qui assurait les trajets du dirigeant entre les différents sites. Une structure plus petite, plus soudée, toujours regroupée au même endroit.

Les Gentlemen ont un profil différent. On recense neuf identifiants d'opérateurs distincts dans le dump Rocket.Chat, dont les horodatages d'activité de chat se concentrent sur les fuseaux horaires MSK (zeta88, Kunder, Protagor), UTC+5 à +9 (quant), UTC+7 à +8 (mAst3r) et UTC+8 à +10 (qbit). Pas de bureau. Pas de cadence de paie. Une équipe principale répartie sur plusieurs fuseaux horaires, qui se coordonne via une instance Rocket.Chat auto-hébergée et prévoit de migrer « bientôt vers un chat basé sur Rust ».

Cette organisation spécialisée dans les ransomwares s'est scindée en plusieurs groupes opérant sous forme de franchises.

2. Les mêmes personnes, trois marques, pas de remise à zéro

La lignée Tinker constitue la preuve la plus évidente de la continuité de l'opérateur au fil des changements de marque. Intel 471 a retracé les activités de ce même opérateur depuis Black Basta un rôle qu'il occupait à l'époque de Conti, axé sur phishing , la coordination de centres d'appels et les négociations. Ransom-ISAC intègre Tinker au sein de The Gentlemen avec les mêmes missions opérationnelles : analyse des données, prise de contact avec les victimes, opérations liées aux identifiants. Le partage bestflowers247.online Matrix homeserver, présent à la fois dans les archives Black Basta de Gentlemen, constitue le pilier de l'infrastructure de cette lignée.

Le rebranding est un plan de continuité, et non un plan d'urgence.

3. L'IA est passée du stade de l'ambition à celui de la mise en œuvre

Dans les discussions sur Conti, l'IA n'est pas mentionnée. Le processus opérationnel de 2022 repose sur l'intervention humaine : des abonnements à ZoomInfo ont été souscrits pour évaluer le montant des rançons par rapport au chiffre d'affaires des entreprises, et des réviseurs de code externes ont été engagés pour éviter tout chevauchement des empreintes de propriété intellectuelle entre les sous-équipes.

D'ici les Black Basta de 2024, ChatGPT sera utilisé au quotidien. Quatre utilisations distinctes ont été recensées dans le corpus :

  1. L'opérateur NN s'est connecté par inadvertance à une session utilisateur active sur le réseau de la victime et a utilisé ChatGPT pour générer un faux message de « vérification du réseau professionnel » afin de tromper l'utilisateur.
  2. mecor (développeur de Pikabot) a utilisé ChatGPT pour résoudre une erreur de compilation d'un serveur proxy ARM/Linux écrit en Go.
  3. YY (programmeur principal) a reçu pour instruction de réécrire malware C# malware Python à l'aide de ChatGPT afin de contourner les antivirus et les solutions EDR ; en cas de refus de ChatGPT, YY devait soumettre le code par morceaux.
  4. Tinker (négociateur) a utilisé les services de l'API GPT pour automatiser la collecte des coordonnées des victimes, la vérification sur LinkedIn, l'envoi de spams et les appels à froid.

D'ici 2026, dans les discussions entre hommes, l'IA s'intègre au processus de négociation. Zeta88 à un collègue : « GPT, Claude, on joue au négociateur. Il écrit pour toi. » Le groupe discute également des modèles Qwen « ablitérés » non censurés hébergés sur Hugging Face et de la location de GPU sur vast.ai pour le tri assisté par IA des données volées.

Ce qui ne figure dans aucune des quatre fuites : malware générés par l'IA. Les opérateurs utilisent l'IA pour l'analyse linguistique, l'OSINT et la traduction de code. Ils ne lui demandent pas d'inventer de nouvelles techniques. Et tous ne sont pas commercialisés. Wick, l'un des opérateurs du groupe Gentlemen : « Rien ne marche, l'IA me donne des conseils à la con. »

4. L'EDR est en train d'être vaincu, et non contourné

En 2021, Conti a créé une société écran française afin d'acheter en toute légalité Carbon Black EDR pour environ 14 800 euros, frais de conversion compris, afin que l'équipe Ryuk puisse tester malware un appareil sous licence authentique. C'était là l'opération d'achat.

D'ici 2026, le groupe The Gentlemen exploitera des serveurs de stockage en direct grâce à une « solution EDR d'un fournisseur réputé », en utilisant des techniques documentées et annoncées dans leurs discussions internes : suppression des points d'arrêt matériels dans les registres DR, déconnexion de NTDLL à l'aide de stubs d'appels système propres, et modification des fichiers ETW. Selon l'opérateur mAst3r, un outil permettant de contourner CrowdStrike « coûte environ 5 000 dollars ».

Des frameworks C2 personnalisés ont remplacé Cobalt Strike. YY, le programmeur en chef Black Basta, a passé deux ans à les développer Disjoncteur, un C2 personnalisé avec des communications TCP/DNS/PING et un cryptage RC4. Les Gentlemen gèrent leur propre Panneau de commande G-BOT, un framework jusqu'alors inconnu proposant un tunnel SOCKS5 par balise et des téléchargements via le générateur vers temp.sh et 0x0.st.

5. L'hyperviseur est devenu le nouveau point aveugle

Les programmes malveillants de Conti visaient initialement les terminaux Windows, l'ESXi n'étant qu'un objectif secondaire. D'après les informations divulguées en 2026, il est établi que le groupe The Gentlemen attaquait directement Hyper-V Volume Manager, en procédant au chiffrement au niveau de l'hyperviseur afin que « les agents EDR et de sauvegarde au niveau de l'invité » ne puissent pas voir ce qui se passait au sein des machines virtuelles qu'ils protégeaient.

Tout semble normal pour l'invité, car il ne se passe rien de ce qu'il puisse observer.

Ce qui n'a pas évolué

Les cinq éléments ci-dessous apparaissent dans chacune des quatre fuites, en 2022 puis à nouveau en 2026, et jouent le même rôle dans la chaîne d'attaque.

1. L'authentification aboutit au niveau de la périphérie

VulnCheck a recensé 62 CVE distinctes évoquées par Black Basta dans les conversations divulguées, dont 53 étaient déjà connues pour avoir été exploitées en milieu réel et 44 figuraient dans le catalogue des vulnérabilités connues pour avoir été exploitées de la CISA. La CVE la plus mentionnée dans l'ensemble du corpus était la CVE-2024-3400, une zero-day du système d'exploitation PAN-OS de Palo Alto Networks. Le reste de la liste des vulnérabilités les plus discutées couvrait l'ensemble des périphériques d'entreprise : Citrix NetScaler, Atlassian Confluence, Microsoft, F5, Cisco, Fortinet. Les opérateurs ont commencé à discuter de ces CVE quelques jours seulement après la publication de l'avis de sécurité initial.

Les pirates ont continué à opérer de la même manière. Leur principal vecteur d'accès initial au sein du corpus était Fortinet, avec 81 mentions de FortiGate dans les journaux Rocket.Chat et la référence CVE-2024-55591 (contournement de l'authentification FortiOS) explicitement citée. Des mots de passe de VPN de marque ont été utilisés chez plusieurs victimes : Messieurs25, Messieurs25, gentle26. HalcyonUne analyse distincte de ce groupe fait état d'une attaque par force brute visant environ 1 000 VPN Fortinet.

Il s'agit du deuxième groupe de ransomware de 2026, qui utilise un mot de passe de marque réutilisé contre la même catégorie de fournisseurs qui fait la une de tous les rapports annuels sur les failles de sécurité depuis 2021. Le journal d'audit leur a ouvert la voie.

Les discussions de Conti suivent le même schéma. Stern a lancé un appel pour un scanner permettant de détecter la vulnérabilité CVE-2020-5135 (débordement de tampon de la pile SonicWall, CVSS 9,4), et l'opérateur Ghost sa demande. Ils ont acheté du matériel SonicWall neuf et reconditionné afin d'étudier cette même gamme de produits.

Le fournisseur change. La catégorie reste la même. L'identité en périphérie est la porte d'entrée, et l'authentification continue de fonctionner.

Source : Vulncheck

2. Les identifiants enregistrés dans le navigateur constituent toujours le coffre-fort de mots de passe

La boîte à outils « The Gentlemen » : DumpBrowserSecrets, Chiffrement et déchiffrement liés à l'application Chrome, XenAllPasswordPro, Phemedrone Stealer V2.3.2, LummaC2. Black Basta de Black Basta indiquent que LummaC2 a déployé des charges utiles vers %temp% et en exfiltrant les identifiants collectés dans qwertyuio.txt via le gestionnaire de fichiers AnyDesk.

Les identifiants ne font pas l'objet d'une tentative d'hameçonnage. Ils sont extraits du navigateur une heure après la connexion de l'utilisateur. Le journal d'audit les a laissés passer.

3. Le fichier NTDS.dit dans une sauvegarde VSS constitue toujours une prise de contrôle de domaine

JA456 (Gentlemen, 2e partie) contient un blob de métadonnées de sauvegarde VSS provenant d'un contrôleur de domaine Windows Server, avec le Le programme NTDS Writer (b2014c9e) est présent et sauvegardeRéussie=oui, c'est-à-dire ntds.dit et les journaux de transactions ont été récupérés dans leur intégralité. Le Ransom-ISAC précise : « Tous les hachages de domaine étaient en possession de Zeta au moment de l'exfiltration. »

C'est un problème datant de 2018 qui, en 2026, pose toujours un défi aux pirates informatiques.

4. Linux, ESXi et Hyper-V ne font toujours pas l'objet d'une surveillance suffisante

L'invocation de la commande « Gentlemen Linux/NAS locker » figure telle quelle dans le corpus : /opt/updateamd --password W8wNZteb --ultrafast --keep, en supprimant l'extension .i8p14s et la note README-GENTLEMEN.txt. La capture d'écran du NAS Synology présentée dans la deuxième partie montre l'opérateur en train de configurer rclone, MEGAcmd et un sc-rclone compte de service directement sur le NAS, puis la création des comptes des membres d'équipage entre le 3 janvier et le 21 mars 2026.

Le NAS servait de serveur intermédiaire pour 127 To de données volées, géré avec autant de désinvolture qu'un partage de fichiers sur un ordinateur personnel. Les transferts entre serveurs que le SOC n'enregistre pas sont des transferts qui n'existent pas.

5. Le transfert de rclone vers MEGA reste le canal d'exfiltration

Les serveurs de Conti ont été acheminés via Bazar et IcedID vers une infrastructure personnalisée en 2020. En 2026, le chemin d'exfiltration de The Gentlemen se résume à une seule ligne, comme le montre le rapport JA456 : rclone → NAS (193.228.128.2:2222, utilisateur Télécharger1) → MEGA. Six ans, toujours le même schéma. Un trafic d'apparence légitime vers un cloud légitime. Tout semble normal.

La détection ne fonctionne pas mal. Elle est simplement incomplète.

En lisant les 600 000 messages d'opérateurs qui ont fuité, on est tenté de se sentir soit déprimé, soit conforté dans ses opinions. Ces deux réactions passent à côté de l'essentiel.

Ces fuites ont apporté aux défenseurs quelque chose de bien plus utile : une confirmation de première main des failles à combler. Ces pirates ne sont pas des magiciens. Il s'agit simplement de huit à vingt personnes disposant d'une instance Rocket.Chat, d'un exploit Fortinet loué et d'un compte MEGA. S'ils réussissent, c'est parce que les cinq mêmes failles qui ont fonctionné en 2022 fonctionnent toujours en 2026.

Cinq mesures que les fuites ont déjà justifiées :

  1. Vérifiez la vulnérabilité de vos appareils périphériques par rapport aux listes de CVE qui ont fuité. La faille CVE-2024-3400 (PAN-OS) a dominé les discussions Black Basta. La faille CVE-2024-55591 (contournement de l'authentification FortiGate) est mentionnée dans les discussions de The Gentlemen comme leur principale voie d'accès. CVE-2025-32433 (Erlang/OTP SSH RCE) et CVE-2025-33073 (relais NTLM) apparaissent dans la même boîte à outils. L'état des correctifs sur les périphériques Palo Alto, Fortinet, Citrix, F5 et Cisco est un indicateur de niveau directionnel.
  2. Considérez les magasins d'identifiants des navigateurs comme une infrastructure d'authentification. Les outils Phemedrone, LummaC2 et Chrome App-Bound Encryption Decryption partent du principe que l'utilisateur est déjà connecté. Le point de détection réside dans le comportement post-authentification sur le endpoint, et non dans la connexion elle-même.
  3. Recherchez rclone, MEGAcmd, WinSCP et Velociraptor sur les hôtes où ces outils ne devraient pas se trouver. Ces quatre outils apparaissent dans le corpus Gentlemen comme des outils d'exfiltration et de déplacement latéral. Velociraptor, en particulier, est un outil DFIR légitime qui a été détourné pour servir de canal de commande et de contrôle (C2) à l'encontre de plusieurs victimes.
  4. Bénéficiez d'une visibilité au niveau de l'hyperviseur. De par leur conception, les attaques visant Hyper-V Volume Manager contournent les solutions EDR des machines virtuelles. Il en va de même pour ESXi. Si votre détection s'arrête aux limites de la machine virtuelle, elle est inefficace.
  5. Considérez l'accès au fichier NTDS.dit comme un déclencheur de niveau 1, et non comme un élément de preuve. Le manuel Black Basta de Conti, Black Basta et les archives de Gentlemen JA456 confirment tous que le vol des sauvegardes des contrôleurs de domaine constitue un objectif courant. La détection doit se déclencher dès que le fichier est modifié, et non lorsque la réinitialisation du mot de passe a lieu trois semaines plus tard.
Cinq lacunes. Cinq solutions. Liste des cinq failles d'attaque récurrentes identifiées dans les fuites liées à Conti, Black Basta, LockBit et The Gentlemen, accompagnée d'une brève explication sur les raisons pour lesquelles chacune d'entre elles échappe aux systèmes de détection standard, ainsi que d'une recommandation pour y remédier. Cinq lacunes. Cinq solutions. L'écart Pourquoi il s'agit d'un écart Comment le fermer Identité de périphérie VPN, OWA, appareils Edge Chemin d'accès initial n° 1 Retard dans l'application des correctifs et réutilisation des mots de passe sur Fortinet, Palo Alto, Les périphériques de périphérie de Citrix, F5 et Cisco permettent aux pirates d'accéder au réseau avec des identifiants valides. Le journal d'audit enregistre un connexion normale. Vérifier l'état des correctifs par rapport à la liste des vulnérabilités CVE divulguée : CVE-2024-3400, CVE-2024-55591, CVE-2023-4966, CVE-2025-32433, CVE-2025-33073. Considérer l'état des correctifs de périphérie comme un indicateur clé de performance. Identifiants enregistrés dans le navigateur Phemedrone, LummaC2, ABE Vol d'identifiants après authentification Les pirates récupèrent les mots de passe de Chrome en une heure une fois que l'utilisateur s'est connecté. Rien ne pose de problème sur le côté authentification. Le journal d'audit enregistre une opération normale session. Détecter l'accès aux identifiants après l'authentification sur le endpoint, et pas seulement la connexion. Hunt Phemedrone, LummaC2 et Chrome App-Bound Outils de chiffrement et de déchiffrement. Sauvegardes DC NTDS.dit, instantanés VSS Tous les hachages de domaine ont disparu Le fichier NTDS.dit extrait d'une sauvegarde VSS transfère chaque hachage de domaine. La détection ne se déclenche souvent que plusieurs semaines plus tard, lorsque la réinitialisation du mot de passe est en cours. Considérer l'accès aux sauvegardes NTDS.dit et VSS comme un déclenchement de niveau 1 le jour même où cela se produit, Ce n'était pas un résultat médico-légal trois semaines plus tard. Angle mort de l'hyperviseur Hyper-V, ESXi, NAS sous Linux EDR ne le voit pas Les attaques visant Hyper-V Volume Manager et ESXi chiffrent sous le système d'exploitation invité. Agents EDR et de sauvegarde invités ne voient pas ce qui se passe avec les machines virtuelles qu'ils protéger. Ajouter visibilité au niveau de l'hyperviseur sur Hyper-V et ESXi. Si la détection s'arrête aux limites de la machine virtuelle, la détection finit. Pipeline Cloud rclone, MEGAcmd, WinSCP On dirait cloud Trafic rclone, MEGAcmd, WinSCP et Velociraptor Cela ressemble à cloud tout à fait normale. Même tendance en 2020, 2024 et 2026. Chasse rclone, MEGAcmd, WinSCP, Velociraptor sur les serveurs qui ne devraient pas en avoir. Le vélociraptor, en particulier est un outil DFIR légitime, réutilisé comme système de commande et de contrôle (C2).

La tâche qui attend tout RSSI qui lira ces lignes en 2026 consiste à combler les lacunes que les opérateurs eux-mêmes ont déjà relevées à deux reprises. L’ ebook « Mind Your Attack Gaps » présente le cadre de bout en bout, en s'appuyant sur les exemples concrets de Scattered Spider, Volt Typhoon et du modèlecloud .

Foire aux questions