สรุปสั้น

กลุ่มแรนซัมแวร์ที่พูดภาษารัสเซียชื่อ The Gentlemen พุ่งขึ้นอย่างรวดเร็วจนกลายเป็นหนึ่งในภัยคุกคามที่เคลื่อนไหวมากที่สุดในปี 2569 โดยรั้งอันดับ 2 รองจาก Qilin ในกิจกรรมแรนซัมแวร์ ชุดเครื่องมือของกลุ่มผสมผสานการใช้ช่องโหว่ Fortinet, ปฏิบัติการที่ AI ช่วย และเฟรมเวิร์ก command-and-control ที่สร้างเองทั้งหมดซึ่งเครื่องมือความปลอดภัยส่วนใหญ่มองไม่เห็น

กลุ่มนี้ทำงานแบบไร้สำนักงานกลางและไม่มีโครงสร้างเงินเดือนแบบเดิม มีการระบุ operator 9 รายที่สื่อสารข้ามโซนเวลาผ่าน Rocket.Chat ที่โฮสต์เองบนเว็บ onion โดยในเดือนพฤษภาคม 2569 ทีมวิจัย Ransom-ISAC ได้ดึงข้อความ 3,366 รายการจากเซิร์ฟเวอร์ Rocket.Chat ของกลุ่ม เปิดโปงแผนภายใน การพูดคุยเรื่องเครื่องมือ และรายละเอียดการเลือกเหยื่อ

นักวิเคราะห์จากบริษัท Vectra AI ตั้งข้อสังเกตว่าแม้เครื่องมือของกลุ่มจะเปลี่ยนไปมาก แต่จุดอ่อนหลักที่กลุ่มใช้เจาะเครือข่ายเหยื่อแทบไม่เปลี่ยนตั้งแต่ปี 2565 นอกจากนี้ข้อความที่รั่วยังเผยความเชื่อมโยงระหว่าง The Gentlemen กับแบรนด์แรนซัมแวร์เดิม โดย negotiator ที่ใช้ชื่อ “Tinker” ปรากฏทั้งในแชตของ Black Basta และ The Gentlemen พร้อม Matrix homeserver ที่ใช้ร่วมกันคือ bestflowers247.online

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าบริษัท Vectra AI วิเคราะห์ข้อความที่รั่วจากเซิร์ฟเวอร์ Rocket.Chat ของกลุ่ม The Gentlemen ซึ่งกลายเป็นกลุ่มแรนซัมแวร์ที่เคลื่อนไหวมากอันดับ 2 ในปี 2569 โดยใช้ช่องโหว่ Fortinet, AI และ C2 ที่สร้างเอง

รูปแบบนี้ชี้ถึงความจริงที่ใหญ่กว่า คือผู้ปฏิบัติการแรนซัมแวร์ไม่เกษียณ แต่เปลี่ยนแบรนด์ คนกลุ่มเดิมนำความรู้และการเข้าถึงจากองค์กรอาชญากรรมหนึ่งไปยังอีกแห่ง ทำให้การทลายกลุ่มได้ผลน้อยกว่าที่ผู้ป้องกันหลายคนคาดหวัง โดย Fortinet ยังคงเป็น “ประตูหน้า” ที่กลุ่มเลือกใช้ บันทึก Rocket.Chat กล่าวถึง FortiGate ถึง 81 ครั้ง พร้อมระบุ CVE-2024-55591 ซึ่งเป็นช่องโหว่ authentication bypass ใน FortiOS อย่างชัดเจนว่าเป็นทางเข้าหลักสู่เครือข่ายเหยื่อ

การวิเคราะห์แยกของบริษัท Halcyon พบว่ากลุ่ม brute-force VPN Fortinet ราว 1,000 ตัว โดยบางกรณีใช้รหัสผ่านซ้ำอย่าง gentlemen25 และ gentle26 กับเหยื่อหลายราย เมื่อเข้าถึงได้แล้ว กลุ่มจะ deploy เฟรมเวิร์ก C2 ที่สร้างเองชื่อ G-BOT ซึ่งเป็นแผงควบคุมที่ไม่เคยมีเอกสารมาก่อน รองรับ SOCKS5 tunneling ต่อ beacon และอัปโหลด builder ไปยังเว็บแชร์ไฟล์ชั่วคราว แทนเครื่องมือเชิงพาณิชย์อย่าง Cobalt Strike ทำให้การตรวจจับด้วย signature ที่รู้จักทำได้ยากขึ้น

กลุ่มยังโจมตี hypervisor โดยตรง โดย Linux locker โจมตี Hyper-V Volume Manager เข้ารหัสที่ระดับ hypervisor เพื่อให้ endpoint agent ภายใน VM มองไม่เห็นการโจมตี locker จะเพิ่มนามสกุล .i8p14s และทิ้ง ransom note ชื่อ README-GENTLEMEN.txt นอกจากนี้กลุ่มยังนำ AI มาใช้จริงในปฏิบัติการ โดย operator อ้างถึงการใช้โมเดล GPT และ Claude ช่วยเขียนข้อความเจรจาค่าไถ่อัตโนมัติ และเช่า GPU บน vast.ai รัน AI แบบไม่เซ็นเซอร์จาก Hugging Face เพื่อคัดกรองข้อมูลที่ขโมยมาจำนวนมาก

วิธีการโจมตี

ทางเข้าหลักของ The Gentlemen คือการใช้ช่องโหว่ FortiOS CVE-2024-55591 (authentication bypass) ควบคู่กับการ brute-force VPN Fortinet ราว 1,000 ตัวด้วยรหัสผ่านซ้ำ เมื่อเข้าถึงเครือข่ายแล้ว กลุ่ม deploy C2 ของตัวเองชื่อ G-BOT ที่รองรับ SOCKS5 tunneling ต่อ beacon แทน Cobalt Strike เพื่อหลบการตรวจจับด้วย signature

สำหรับการขโมย credential กลุ่มใช้เครื่องมือหลายตัว ทั้ง Phemedrone Stealer V2.3.2, LummaC2, XenAllPasswordPro, Chrome App-Bound Encryption Decryption และ DumpBrowserSecrets ซึ่งดึงรหัสผ่านที่บันทึกไว้ออกจากเบราว์เซอร์โดยตรงโดยไม่กระตุ้น login failure ทำให้ log การยืนยันตัวตนมาตรฐานไม่แสดงสิ่งผิดปกติ จากนั้นข้อมูลที่ขโมยถูกส่งออกผ่าน rclone ไปยัง MEGA ตามรูปแบบ exfiltration ที่กลุ่มแรนซัมแวร์ใช้มานานหลายปี

ในขั้นเข้ารหัส กลุ่มโจมตี hypervisor โดยตรงผ่าน Linux locker ที่โจมตี Hyper-V Volume Manager เข้ารหัสที่ระดับ hypervisor เพื่อให้ endpoint agent ภายใน VM มองไม่เห็น ทิ้งไฟล์นามสกุล .i8p14s และ ransom note README-GENTLEMEN.txt นอกจากนี้ยังนำ AI (GPT/Claude) มาช่วยเจรจาค่าไถ่และคัดกรองข้อมูลที่ขโมย

ผลกระทบต่อไทย

อุปกรณ์ Fortinet โดยเฉพาะ FortiGate และ Fortinet VPN เป็นโซลูชันความปลอดภัยที่องค์กรไทยใช้แพร่หลายมาก ทั้งหน่วยงานราชการ สถาบันการเงิน โรงพยาบาล และบริษัทเอกชน ทำให้ช่องโหว่ CVE-2024-55591 ที่ The Gentlemen ใช้เป็นทางเข้าหลักเป็นภัยโดยตรงต่อองค์กรไทยจำนวนมาก

การที่กลุ่ม brute-force VPN ด้วยรหัสผ่านซ้ำและขโมย credential จากเบราว์เซอร์โดยไม่กระตุ้น login failure ทำให้องค์กรไทยที่พึ่งพา log การยืนยันตัวตนเพียงอย่างเดียวตรวจจับได้ยาก ขณะที่การโจมตี hypervisor โดยตรงยังกระทบองค์กรไทยที่ใช้ virtualization (Hyper-V) อย่างหนัก เพราะ endpoint agent ภายใน VM จะมองไม่เห็นการเข้ารหัส

นอกจากนี้ การใช้ C2 ที่สร้างเอง (G-BOT) แทน Cobalt Strike ทำให้องค์กรไทยที่พึ่งการตรวจจับด้วย signature ของเครื่องมือยอดนิยมตรวจไม่เจอ ต้องหันมาใช้การตรวจจับเชิงพฤติกรรมและล่าหาเครื่องมือ exfiltration อย่าง rclone แทน

คำแนะนำ

  1. แพตช์ Fortinet ทันที — ปิดช่องโหว่ CVE-2024-55591 และตรวจสอบ edge device (Palo Alto, Fortinet, Citrix, F5, Cisco) ตามรายการ CVE ที่พบในแชต operator
  2. เปลี่ยนรหัสผ่าน VPN ที่อ่อนแอ/ซ้ำ — โดยเฉพาะที่อาจตรงกับ gentlemen25, gentle26 และเปิด MFA สำหรับ VPN
  3. ถือการเข้าถึง NTDS.dit และ VSS backup เป็น alert ระดับ 1 — แทนการค้นพบทาง forensic ภายหลังหลายสัปดาห์
  4. ล่าหาเครื่องมือต้องสงสัย — เช่น rclone, MEGAcmd, WinSCP, Velociraptor บนเครื่องที่ไม่มีเหตุผลต้องใช้
  5. ปกป้อง hypervisor — เฝ้าระวังการเข้ารหัสที่ระดับ Hyper-V และตรวจไฟล์นามสกุล .i8p14s กับ README-GENTLEMEN.txt
  6. บล็อก IoC ที่เผยแพร่ — นำโดเมน, IP, เครื่องมือด้านล่างเข้าระบบป้องกัน

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
CVECVE-2024-55591FortiOS authentication bypass; ทางเข้าหลักของ The Gentlemen
CVECVE-2025-32433Erlang/OTP SSH RCE; อยู่ในชุดเครื่องมือกลุ่ม
CVECVE-2025-33073NTLM relay; อยู่ในชุดเครื่องมือกลุ่ม
Domainbestflowers247[.]onlineMatrix homeserver เชื่อม Black Basta กับ The Gentlemen
IP / SSH193[.]228[.]128[.]2:2222NAS staging server ใน pipeline exfiltration ผ่าน rclone
Passwordgentlemen25 / Gentlemen25 / gentle26รหัสผ่าน VPN ซ้ำที่พบในเหยื่อ Fortinet หลายราย
File Extension.i8p14sนามสกุลไฟล์ที่ Linux/NAS locker เพิ่ม
File NameREADME-GENTLEMEN.txtransom note ของ Linux locker
ToolG-BOTC2 framework ของกลุ่ม รองรับ SOCKS5 tunneling
ToolPhemedrone Stealer V2.3.2 / LummaC2credential stealer ที่กลุ่มใช้
Toolrclone → MEGAเครื่องมือ exfiltration ข้อมูลที่ขโมย
Path/opt/updateamdpath เรียกใช้ Linux locker

หมายเหตุ: IP และโดเมนถูก defang โดยเจตนา (เช่น [.]) ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM

แหล่งอ้างอิง