สรุปสั้น
The Gentlemen กลายเป็นหนึ่งในแรนซัมแวร์ที่ทะยานขึ้นเร็วที่สุดในปี 2026 โดยถือกำเนิดกลางปี 2025 จากความขัดแย้งเรื่องการแบ่งเงินภายในโครงการ Qilin RaaS แล้วแยกตัวมาดำเนินการเองในรูปแบบ Ransomware-as-a-Service ที่มีมนุษย์ควบคุมเต็มรูปแบบ ซึ่งบริษัท Microsoft ติดตามในชื่อรหัส Storm-2697 เพียงปีแรกของการดำเนินการอิสระ กลุ่มนี้อ้างเหยื่อไปแล้วกว่า 500 รายใน 70+ ประเทศ คิดเป็นราว 10% ของกิจกรรมแรนซัมแวร์ทั่วโลกในเดือนเมษายน 2026 สิ่งที่ทำให้กลุ่มนี้ต่างจากรายอื่นไม่ใช่แค่ขนาด แต่คือโครงสร้างพื้นฐานสำหรับปิดการทำงานของ EDR/AV ที่ผู้ดำเนินการดูแลเองในชื่อเฟรมเวิร์ก GentleKiller ซึ่งประกอบด้วยเทคนิค BYOVD (Bring Your Own Vulnerable Driver) อย่างน้อย 8 สายพันธุ์ สามารถสั่งปิดโปรเซสความปลอดภัยได้กว่า 400 ตัวจากผู้ผลิต 48 ราย
กลุ่มยังผนวกเครื่องมือปิด EDR ของบุคคลที่สามอย่าง HexKiller, ThrottleBlood และ HavocKiller เข้ามาเป็นชุดหลบเลี่ยงแบบโมดูลาร์ ควบคู่กับตัวเข้ารหัสที่เขียนด้วยภาษา Go ซึ่งแพร่กระจายตัวเองได้แบบเวิร์มและใช้การเข้ารหัสไฮบริด Curve25519 ผสม XChaCha20 ทำให้ The Gentlemen กลายเป็นภัยระดับ Tier-1 ต่อภาคการผลิต สาธารณสุข บริการทางการเงิน และระบบเทคโนโลยีเชิงปฏิบัติการ (OT) ทั่วโลก ข่าวกรองชิ้นสำคัญมาถึงในเดือนพฤษภาคม 2026 เมื่อฐานข้อมูลหลังบ้านภายในของกลุ่มที่ชื่อ “Rocket” ถูกทำให้รั่ว เผยแชตภายในกว่า 3,366 ข้อความ ตัวตนของผู้ดำเนินการ รายชื่อเหยื่อกว่า 1,570 ราย บันทึกการเจรจาค่าไถ่ และชุดเครื่องมือทั้งหมดของกลุ่ม
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 7 กรกฎาคม 2569 ว่า The Gentlemen ก่อตั้งโดยผู้ดำเนินการที่ใช้นามแฝง hastalamuerte (หรือ zeta88 และถูก PRODAFT ติดตามในชื่อ LARVA-368) ซึ่งเดิมเป็นหัวหน้าทีมพันธมิตรในโครงการ Qilin RaaS ก่อนแยกออกมาตั้งกลุ่มของตัวเองหลังเกิดข้อพิพาทเรื่องการจ่ายเงินในเดือนกรกฎาคม 2025 ผู้ดำเนินการรายนี้ถูกระบุว่าเป็นผู้พูดภาษารัสเซียและลงมือโจมตีด้วยตัวเองควบคู่ไปกับการบริหารแพลตฟอร์ม RaaS โดยกลุ่มยึดนโยบายยกเว้นเป้าหมายในกลุ่มประเทศ CIS อย่างเคร่งครัด ซึ่งสอดคล้องกับพฤติกรรมของกลุ่มภัยคุกคามสาย Russian-nexus ทั่วไป
การวิเคราะห์ฐานข้อมูล Rocket.Chat ที่รั่วออกมาเผยว่ากลุ่มมีแกนกลางราว 9 คนที่ระบุชื่อได้ และมีพันธมิตร (affiliate) อย่างน้อย 8 รายที่ระบุผ่าน TOX ID โดยแบ่งบทบาทชัดเจน เช่น zeta88/hastalamuerte เป็นแอดมินสร้างตัวล็อกเกอร์และบริหารแผงควบคุม RaaS, qbit เป็นผู้ลงมือสแกน Fortinet ทำ NTLM relay และวางตัวปิด EDR ส่วน quant ดูแลการเก็บเกี่ยวข้อมูลรับรองผ่านล็อก จุดที่น่ากังวลคือแอดมินใช้ AI ช่วยพัฒนาเครื่องมืออย่างจริงจัง โดยอ้างถึงการใช้ DeepSeek, Qwen และ Kimi ช่วยเขียนโค้ด และมีรายงานว่าแผงควบคุม GLOCKER ของกลุ่มถูกสร้างเสร็จภายในเพียงสามวันด้วยการเขียนโค้ดโดยมี AI ช่วย กลุ่มเสนอส่วนแบ่งรายได้ให้พันธมิตรสูงถึง 90% ต่อผู้ดำเนินการ 10% ซึ่งถือว่าใจกว้างที่สุดกลุ่มหนึ่งในวงการ พร้อมประกาศรับสมัครนักเจาะระบบและนายหน้าขายการเข้าถึงบนฟอรัม RAMP และ BreachForums โดยเรียกค่าไถ่เริ่มต้นราว 250,000 ดอลลาร์ และพบการยอมจ่ายจริงราว 190,000 ดอลลาร์ในบันทึกการเจรจาที่รั่วออกมา


รายละเอียดช่องโหว่และวิธีการโจมตี
The Gentlemen ไม่พึ่งพาฟิชชิงในการเข้าถึงครั้งแรก แต่พันธมิตรจะมุ่งเจาะโครงสร้างพื้นฐานขอบเครือข่ายที่เปิดสู่อินเทอร์เน็ต โดยเฉพาะอุปกรณ์ FortiGate VPN, Cisco ASA และ SonicWall กลุ่มเก็บบัญชีอุปกรณ์ FortiGate ที่ถูกเจาะไว้ราว 14,700 เครื่อง และข้อมูลรับรอง VPN ที่ผ่านการ brute-force แล้วกว่า 900 ชุดพร้อมให้พันธมิตรใช้งาน ช่องโหว่หลักที่ถูกใช้ประกอบด้วย CVE-2024-55591 (authentication bypass บนหน้าจัดการ FortiOS/FortiProxy ที่เปิดทางเข้าถึงสิทธิ์ super-admin แบบไม่ต้องยืนยันตัวตน), CVE-2025-32433 (pre-authentication RCE บน Erlang/OTP SSH ในบริบท Cisco), CVE-2025-33073 (NTLM relay ยกระดับสิทธิ์) และ CVE-2025-7771 (ช่องโหว่ไดรเวอร์ ThrottleStop.sys สำหรับรันโค้ดระดับเคอร์เนลผ่าน BYOVD)
หัวใจที่ทำให้กลุ่มนี้โดดเด่นคือขั้นตอนหลบเลี่ยงการตรวจจับด้วยชุด GentleKiller ที่ถูกวางไว้ในไดเรกทอรีชื่อ GentlemenCollection ก่อนเริ่มเข้ารหัส เทคนิค BYOVD ทำงานโดยวางไดรเวอร์เคอร์เนลที่มีลายเซ็นถูกต้องแต่มีช่องโหว่ลงดิสก์ โหลดเป็นเซอร์วิสของ Windows ผ่าน sc create/sc start แล้วส่งคำสั่ง IOCTL จาก user space เข้าถึงสิทธิ์ Ring-0 เพื่อไล่ปิดโปรเซสความปลอดภัยทั้งหมด เอาชนะการป้องกันการงัดแงะในระดับ user-mode ได้ GentleKiller มีอย่างน้อย 8 สายพันธุ์ที่แต่ละตัวปลอมเป็นผลิตภัณฑ์คนละยี่ห้อ เช่น ปลอมเป็น Kaspersky, FACEIT Anti-Cheat, Valorant และ WatchDog โดยอาศัยไดรเวอร์ที่มีช่องโหว่จากซอฟต์แวร์ต่าง ๆ เช่น NSecKrnl, Zemana WatchDog และ Qihoo 360 นอกจากนี้ยังผนวกตัวปิด EDR ของบุคคลที่สามคือ HexKiller (อาศัย BdApi ของ Baidu), ThrottleBlood (อาศัย ThrottleStop.sys) และ HavocKiller (อาศัยไดรเวอร์เสียงของ Huawei ที่ Huntress เปิดเผยเมื่อมีนาคม 2026)
หลังยึดจุดยืนได้ ผู้ดำเนินการจะสำรวจเครือข่ายภายในด้วยชุดเครื่องมือเชิงรุกอย่าง NetExec, RelayKing-Depth (สแกน NTLM relay), CertiHound (ไล่หาการตั้งค่า ADCS ที่ผิดพลาด ESC1–ESC17) และ KslDump/KslKatz (ดัมป์ข้อมูลรับรองจาก LSASS/Kerberos) โดยมุ่งเป้าข้อมูลรับรองระดับ domain admin และใช้ Group Policy Object กระจายการโจมตีทั่วโดเมน จากนั้นตัวเข้ารหัสที่เขียนด้วย Go และทำให้อ่านยากด้วย Garble จะโจมตีได้ทั้ง Windows, Linux, NAS, BSD และ ESXi ด้วยการเข้ารหัสไฮบริด Curve25519 + XChaCha20 ต่อไฟล์ ตัวเข้ารหัสมีโหมดปรับความเร็ว (–fast/–superfast/–ultrafast) โมดูล –spread ที่พยายามรันจากระยะไกล 21 เทคนิคต่อโฮสต์ทำให้มันแพร่ตัวเองแบบเวิร์ม และเมื่อเข้ารหัสเสร็จจะลบ shadow copy ล้าง event log ทับพื้นที่ว่างบนดิสก์ด้วยข้อมูลสุ่ม (–wipe) และวางโน้ตเรียกค่าไถ่ README-GENTLEMEN.txt พร้อมเปลี่ยนภาพพื้นหลังเดสก์ท็อป
ผลกระทบต่อไทย
องค์กรไทยในภาคการผลิต สาธารณสุข การเงิน และโครงสร้างพื้นฐานเชิงปฏิบัติการอยู่ในกลุ่มเป้าหมายโดยตรง เพราะ The Gentlemen เจาะผ่านอุปกรณ์ขอบเครือข่ายที่พบได้ทั่วไปในไทยอย่าง FortiGate VPN, Cisco ASA และ SonicWall ซึ่งหลายองค์กรยังไม่ได้อัปเดตแพตช์ CVE-2024-55591 ที่เปิดทางเข้าถึงสิทธิ์ super-admin แบบไม่ต้องยืนยันตัวตน หากถูกเจาะสำเร็จ ชุด GentleKiller สามารถปิดโซลูชัน EDR/AV ที่องค์กรไทยใช้อยู่ได้เกือบทั้งหมดก่อนลงมือเข้ารหัส ทำให้การป้องกันปลายทางที่วางใจอาจไร้ผล ยิ่งไปกว่านั้นตัวเข้ารหัสที่รองรับ ESXi และ NAS สร้างความเสี่ยงสูงต่อศูนย์ข้อมูลและระบบเวอร์ชวลไลเซชันของไทย และรูปแบบ double extortion ที่ขู่เผยข้อมูลบนเว็บ leak ยังเพิ่มความเสี่ยงด้านชื่อเสียงและการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) เข้าไปอีกชั้น
คำแนะนำ
เร่งอัปเดตแพตช์อุปกรณ์ขอบเครือข่ายทุกตัวโดยด่วน โดยเฉพาะ FortiGate/FortiProxy (CVE-2024-55591), Erlang/OTP SSH (CVE-2025-32433) และแก้ไขความเสี่ยง NTLM relay (CVE-2025-33073) พร้อมปิดหน้าจัดการอุปกรณ์ไม่ให้เปิดสู่อินเทอร์เน็ตและบังคับใช้ MFA ที่ทน phishing กับการเข้าถึง VPN ทั้งหมด เปิดใช้งานการป้องกันการงัดแงะ (tamper protection) และกลไกบล็อกไดรเวอร์ที่มีช่องโหว่ (vulnerable driver blocklist) ของ Windows เพื่อสกัดเทคนิค BYOVD ที่ GentleKiller อาศัย เฝ้าระวังการสร้างเซอร์วิสหรือ scheduled task ชื่อผิดปกติ (เช่น UpdateSystem, UpdateUser, gentlemen_system) และ registry Run key ชื่อ GupdateS/GupdateU รวมถึงไดเรกทอรี GentlemenCollection บนเครื่อง หมั่นสำรองข้อมูลแบบออฟไลน์และแก้ไขไม่ได้ (immutable) แยกจากเครือข่ายหลัก ตรวจสอบการใช้เครื่องมืออย่าง AnyDesk, Velociraptor, SystemBC และ Cloudflare tunnel ที่อาจถูกใช้เป็นช่องทาง C2 และจำกัดสิทธิ์บัญชี domain admin ตามหลัก least privilege
Indicators of Compromise (IoCs)
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| นามสกุลไฟล์เข้ารหัส | .umc16h, .7mtzhh | นามสกุลที่ต่อท้ายไฟล์หลังถูกเข้ารหัส |
| โน้ตเรียกค่าไถ่ | README-GENTLEMEN.txt | วางในทุกไดเรกทอรีที่ถูกโจมตี |
| ไฟล์ภาพพื้นหลัง | %TEMP%\gentlemen.bmp | ตั้งเป็น wallpaper หลังเข้ารหัส |
| ไดเรกทอรีจัดเตรียม | GentlemenCollection | ที่วางชุดเครื่องมือ GentleKiller |
| Scheduled task | UpdateSystem, UpdateUser, gentlemen_system, DefU, UpdateGU | สร้างเพื่อคงอยู่และรันเป็น SYSTEM |
| Registry Run key | GupdateS (HKLM), GupdateU (HKCU) | กลไก persistence |
| เครื่องมือ C2/พร็อกซี | Velociraptor, ZeroPulse, SystemBC, Cloudflare tunnel, AnyDesk | ช่องทางควบคุมและคงการเข้าถึง |
| แบรนด์ credential | gentlemen25, Gentlemen25, gentle26 | ปรากฏในข้อมูลที่รั่ว |
