Derrière un nom presque anodin, le groupe The Gentlemen s’impose comme une mécanique offensive structurée. Le rapport DFIR de Check Point du 20 avril lève le voile sur une chaîne d’attaque maîtrisée, appuyée sur SystemBC et une logique d’affiliation qui accélère l’industrialisation des compromissions.
Une opération déjà largement déployée
L’enquête de Check Point Research apporte surtout un élément clé : une visibilité concrète sur l’ampleur du dispositif. En exploitant un serveur de commande et contrôle lié à SystemBC, les chercheurs ont identifié plus de 1 500 machines compromises, réparties dans plusieurs régions du monde.
Cette volumétrie donne une autre lecture de l’activité du groupe. Il ne s’agit plus seulement d’un acteur émergent du ransomware-as-a-service, mais d’une opération déjà installée, capable de maintenir un nombre important de points d’accès actifs. Comme le souligne le rapport, cette infrastructure « offre une fenêtre rare sur les opérations réelles des affiliés ».
La répartition géographique des infections met en évidence une concentration dans des environnements professionnels, avec une présence marquée en Amérique du Nord et en Europe.
SystemBC, colonne vertébrale des opérations
Au cœur de cette visibilité : SystemBC. L’outil utilisé comme proxy permet d’établir des communications chiffrées entre les machines compromises et les serveurs de commande et contrôle. Mais son rôle dépasse largement la simple connectivité.
Selon Check Point Research, SystemBC constitue un point d’ancrage technique durable, utilisé pour maintenir l’accès, orchestrer les échanges et préparer les phases suivantes de l’attaque. Il facilite également le téléchargement de charges malveillantes supplémentaires, tout en contribuant à contourner les mécanismes de détection.
Le rapport insiste sur cette dimension structurante : l’outil s’inscrit dans une chaîne opératoire cohérente, où chaque étape, de l’accès initial à la persistance, repose sur des briques éprouvées et réutilisables.
Un modèle d’affiliation qui amplifie l’échelle
The Gentlemen repose sur un modèle d’affiliation classique du ransomware-as-a-service, mais dont l’efficacité se mesure ici à l’échelle observée. Les opérateurs fournissent l’infrastructure et les outils, tandis que les affiliés exécutent les intrusions.
Cette organisation permet de multiplier les opérations tout en conservant une homogénéité technique. « L’infrastructure analysée démontre comment les affiliés peuvent s’appuyer sur des outils partagés pour mener des attaques à grande échelle », note le rapport.
Ce découplage entre conception et exécution crée une dynamique particulière : la croissance de l’activité ne dépend plus uniquement des capacités internes du groupe, mais de sa capacité à fédérer et équiper un réseau d’acteurs.
