สรุปสั้น
กลุ่มแรนซัมแวร์ที่พูดภาษารัสเซียชื่อ The Gentlemen พุ่งขึ้นอย่างรวดเร็วจนกลายเป็นหนึ่งในภัยคุกคามที่เคลื่อนไหวมากที่สุดในปี 2569 โดยรั้งอันดับ 2 รองจาก Qilin ในกิจกรรมแรนซัมแวร์ ชุดเครื่องมือของกลุ่มผสมผสานการใช้ช่องโหว่ Fortinet, ปฏิบัติการที่ AI ช่วย และเฟรมเวิร์ก command-and-control ที่สร้างเองทั้งหมดซึ่งเครื่องมือความปลอดภัยส่วนใหญ่มองไม่เห็น
กลุ่มนี้ทำงานแบบไร้สำนักงานกลางและไม่มีโครงสร้างเงินเดือนแบบเดิม มีการระบุ operator 9 รายที่สื่อสารข้ามโซนเวลาผ่าน Rocket.Chat ที่โฮสต์เองบนเว็บ onion โดยในเดือนพฤษภาคม 2569 ทีมวิจัย Ransom-ISAC ได้ดึงข้อความ 3,366 รายการจากเซิร์ฟเวอร์ Rocket.Chat ของกลุ่ม เปิดโปงแผนภายใน การพูดคุยเรื่องเครื่องมือ และรายละเอียดการเลือกเหยื่อ
นักวิเคราะห์จากบริษัท Vectra AI ตั้งข้อสังเกตว่าแม้เครื่องมือของกลุ่มจะเปลี่ยนไปมาก แต่จุดอ่อนหลักที่กลุ่มใช้เจาะเครือข่ายเหยื่อแทบไม่เปลี่ยนตั้งแต่ปี 2565 นอกจากนี้ข้อความที่รั่วยังเผยความเชื่อมโยงระหว่าง The Gentlemen กับแบรนด์แรนซัมแวร์เดิม โดย negotiator ที่ใช้ชื่อ “Tinker” ปรากฏทั้งในแชตของ Black Basta และ The Gentlemen พร้อม Matrix homeserver ที่ใช้ร่วมกันคือ bestflowers247.online
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าบริษัท Vectra AI วิเคราะห์ข้อความที่รั่วจากเซิร์ฟเวอร์ Rocket.Chat ของกลุ่ม The Gentlemen ซึ่งกลายเป็นกลุ่มแรนซัมแวร์ที่เคลื่อนไหวมากอันดับ 2 ในปี 2569 โดยใช้ช่องโหว่ Fortinet, AI และ C2 ที่สร้างเอง
รูปแบบนี้ชี้ถึงความจริงที่ใหญ่กว่า คือผู้ปฏิบัติการแรนซัมแวร์ไม่เกษียณ แต่เปลี่ยนแบรนด์ คนกลุ่มเดิมนำความรู้และการเข้าถึงจากองค์กรอาชญากรรมหนึ่งไปยังอีกแห่ง ทำให้การทลายกลุ่มได้ผลน้อยกว่าที่ผู้ป้องกันหลายคนคาดหวัง โดย Fortinet ยังคงเป็น “ประตูหน้า” ที่กลุ่มเลือกใช้ บันทึก Rocket.Chat กล่าวถึง FortiGate ถึง 81 ครั้ง พร้อมระบุ CVE-2024-55591 ซึ่งเป็นช่องโหว่ authentication bypass ใน FortiOS อย่างชัดเจนว่าเป็นทางเข้าหลักสู่เครือข่ายเหยื่อ
การวิเคราะห์แยกของบริษัท Halcyon พบว่ากลุ่ม brute-force VPN Fortinet ราว 1,000 ตัว โดยบางกรณีใช้รหัสผ่านซ้ำอย่าง gentlemen25 และ gentle26 กับเหยื่อหลายราย เมื่อเข้าถึงได้แล้ว กลุ่มจะ deploy เฟรมเวิร์ก C2 ที่สร้างเองชื่อ G-BOT ซึ่งเป็นแผงควบคุมที่ไม่เคยมีเอกสารมาก่อน รองรับ SOCKS5 tunneling ต่อ beacon และอัปโหลด builder ไปยังเว็บแชร์ไฟล์ชั่วคราว แทนเครื่องมือเชิงพาณิชย์อย่าง Cobalt Strike ทำให้การตรวจจับด้วย signature ที่รู้จักทำได้ยากขึ้น
กลุ่มยังโจมตี hypervisor โดยตรง โดย Linux locker โจมตี Hyper-V Volume Manager เข้ารหัสที่ระดับ hypervisor เพื่อให้ endpoint agent ภายใน VM มองไม่เห็นการโจมตี locker จะเพิ่มนามสกุล .i8p14s และทิ้ง ransom note ชื่อ README-GENTLEMEN.txt นอกจากนี้กลุ่มยังนำ AI มาใช้จริงในปฏิบัติการ โดย operator อ้างถึงการใช้โมเดล GPT และ Claude ช่วยเขียนข้อความเจรจาค่าไถ่อัตโนมัติ และเช่า GPU บน vast.ai รัน AI แบบไม่เซ็นเซอร์จาก Hugging Face เพื่อคัดกรองข้อมูลที่ขโมยมาจำนวนมาก
วิธีการโจมตี
ทางเข้าหลักของ The Gentlemen คือการใช้ช่องโหว่ FortiOS CVE-2024-55591 (authentication bypass) ควบคู่กับการ brute-force VPN Fortinet ราว 1,000 ตัวด้วยรหัสผ่านซ้ำ เมื่อเข้าถึงเครือข่ายแล้ว กลุ่ม deploy C2 ของตัวเองชื่อ G-BOT ที่รองรับ SOCKS5 tunneling ต่อ beacon แทน Cobalt Strike เพื่อหลบการตรวจจับด้วย signature
สำหรับการขโมย credential กลุ่มใช้เครื่องมือหลายตัว ทั้ง Phemedrone Stealer V2.3.2, LummaC2, XenAllPasswordPro, Chrome App-Bound Encryption Decryption และ DumpBrowserSecrets ซึ่งดึงรหัสผ่านที่บันทึกไว้ออกจากเบราว์เซอร์โดยตรงโดยไม่กระตุ้น login failure ทำให้ log การยืนยันตัวตนมาตรฐานไม่แสดงสิ่งผิดปกติ จากนั้นข้อมูลที่ขโมยถูกส่งออกผ่าน rclone ไปยัง MEGA ตามรูปแบบ exfiltration ที่กลุ่มแรนซัมแวร์ใช้มานานหลายปี
ในขั้นเข้ารหัส กลุ่มโจมตี hypervisor โดยตรงผ่าน Linux locker ที่โจมตี Hyper-V Volume Manager เข้ารหัสที่ระดับ hypervisor เพื่อให้ endpoint agent ภายใน VM มองไม่เห็น ทิ้งไฟล์นามสกุล .i8p14s และ ransom note README-GENTLEMEN.txt นอกจากนี้ยังนำ AI (GPT/Claude) มาช่วยเจรจาค่าไถ่และคัดกรองข้อมูลที่ขโมย
ผลกระทบต่อไทย
อุปกรณ์ Fortinet โดยเฉพาะ FortiGate และ Fortinet VPN เป็นโซลูชันความปลอดภัยที่องค์กรไทยใช้แพร่หลายมาก ทั้งหน่วยงานราชการ สถาบันการเงิน โรงพยาบาล และบริษัทเอกชน ทำให้ช่องโหว่ CVE-2024-55591 ที่ The Gentlemen ใช้เป็นทางเข้าหลักเป็นภัยโดยตรงต่อองค์กรไทยจำนวนมาก
การที่กลุ่ม brute-force VPN ด้วยรหัสผ่านซ้ำและขโมย credential จากเบราว์เซอร์โดยไม่กระตุ้น login failure ทำให้องค์กรไทยที่พึ่งพา log การยืนยันตัวตนเพียงอย่างเดียวตรวจจับได้ยาก ขณะที่การโจมตี hypervisor โดยตรงยังกระทบองค์กรไทยที่ใช้ virtualization (Hyper-V) อย่างหนัก เพราะ endpoint agent ภายใน VM จะมองไม่เห็นการเข้ารหัส
นอกจากนี้ การใช้ C2 ที่สร้างเอง (G-BOT) แทน Cobalt Strike ทำให้องค์กรไทยที่พึ่งการตรวจจับด้วย signature ของเครื่องมือยอดนิยมตรวจไม่เจอ ต้องหันมาใช้การตรวจจับเชิงพฤติกรรมและล่าหาเครื่องมือ exfiltration อย่าง rclone แทน
คำแนะนำ
- แพตช์ Fortinet ทันที — ปิดช่องโหว่ CVE-2024-55591 และตรวจสอบ edge device (Palo Alto, Fortinet, Citrix, F5, Cisco) ตามรายการ CVE ที่พบในแชต operator
- เปลี่ยนรหัสผ่าน VPN ที่อ่อนแอ/ซ้ำ — โดยเฉพาะที่อาจตรงกับ gentlemen25, gentle26 และเปิด MFA สำหรับ VPN
- ถือการเข้าถึง NTDS.dit และ VSS backup เป็น alert ระดับ 1 — แทนการค้นพบทาง forensic ภายหลังหลายสัปดาห์
- ล่าหาเครื่องมือต้องสงสัย — เช่น rclone, MEGAcmd, WinSCP, Velociraptor บนเครื่องที่ไม่มีเหตุผลต้องใช้
- ปกป้อง hypervisor — เฝ้าระวังการเข้ารหัสที่ระดับ Hyper-V และตรวจไฟล์นามสกุล .i8p14s กับ README-GENTLEMEN.txt
- บล็อก IoC ที่เผยแพร่ — นำโดเมน, IP, เครื่องมือด้านล่างเข้าระบบป้องกัน
Indicators of Compromise (IoCs)
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| CVE | CVE-2024-55591 | FortiOS authentication bypass; ทางเข้าหลักของ The Gentlemen |
| CVE | CVE-2025-32433 | Erlang/OTP SSH RCE; อยู่ในชุดเครื่องมือกลุ่ม |
| CVE | CVE-2025-33073 | NTLM relay; อยู่ในชุดเครื่องมือกลุ่ม |
| Domain | bestflowers247[.]online | Matrix homeserver เชื่อม Black Basta กับ The Gentlemen |
| IP / SSH | 193[.]228[.]128[.]2:2222 | NAS staging server ใน pipeline exfiltration ผ่าน rclone |
| Password | gentlemen25 / Gentlemen25 / gentle26 | รหัสผ่าน VPN ซ้ำที่พบในเหยื่อ Fortinet หลายราย |
| File Extension | .i8p14s | นามสกุลไฟล์ที่ Linux/NAS locker เพิ่ม |
| File Name | README-GENTLEMEN.txt | ransom note ของ Linux locker |
| Tool | G-BOT | C2 framework ของกลุ่ม รองรับ SOCKS5 tunneling |
| Tool | Phemedrone Stealer V2.3.2 / LummaC2 | credential stealer ที่กลุ่มใช้ |
| Tool | rclone → MEGA | เครื่องมือ exfiltration ข้อมูลที่ขโมย |
| Path | /opt/updateamd | path เรียกใช้ Linux locker |
หมายเหตุ: IP และโดเมนถูก defang โดยเจตนา (เช่น
[.]) ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM
