The Gentlemen勒索组织内部数据泄露全景剖析：RaaS模式、渗透手法与内网横向移动

依托 Solar 安全运营响应团队的日常实战沉淀，我们会定期分享安全运营中处置的典型应急响应事件，涵盖银狐木马、APT 攻击、勒索病毒等各类主流威胁。

作为专业的应急响应中心，Solar 致力于为复杂多变的安全事件提供从深度溯源到闭环处置的全流程支持。针对银狐、APT 等具有高隐蔽性的威胁，我们不仅聚焦于对其攻击行为的深度剖析，更致力于还原其完整的活动链路，并同步输出切实可行的清除闭环操作方案。

突发危机干预通道： 若您的核心资产正面临加密锁定或数据勒索风险，请通过文末二维码联系我们。我们提供全天候紧急介入服务，协助您快速切断攻击链路，全力挽回业务损失。

内部聊天记录意外泄露的始末

在切入本次技术复盘之前，我们先理清一下数据来源的时间线。

2026年5月初，暗网常用的托管服务商 4VPS 遭到未知攻击。虽然其官方声称核心基础设施未受影响，但在几天后的 5月4日，知名网络犯罪论坛 Breached 上便出现了一个引发圈内广泛关注的帖子。一名代号为“n345”的用户，公开挂出了一份标价 10,000 美元的内部数据售卖帖。

而这份数据的主体，正是近期在亚太地区极其活跃的 “The Gentlemen” 勒索组织。随后，该发帖人直接通过网盘放出了这批数据的免费下载链接。

暗网论坛 Breached 上的发帖截图

通过论坛截图可以看到，发帖人直接附带了网盘链接。我们团队在获取到这份名为 8990.zip 的离线数据包后，对其进行了初步解包提取。

被泄露的“8990.zip”压缩包解压后的文件结构截图

正如上图所示，压缩包内并非普通的文本，而是包含了大量以数字命名的文件夹，提取出了多达 3733 行的团队内部原生俄语聊天记录，以及 312 张带有极高情报价值的后台渗透截图（其中甚至包含类似左下角的 Vcenter 网络配置界面，暗示其已深扎某些目标的核心虚拟化设施）。

这种直接获取勒索组织内部原始沟通记录的机会非常难得。在获取客户正式授权的情报研究范围内，Solar 应急响应团队的安全专家决定转换视角，从这批泄露的日志入手，直接从攻击者的“第一视角”去审视他们的日常运作、目标挑选逻辑以及渗透手法。

目标明确的勒索商业版图

在进入繁杂的渗透细节前，我们需要先给这个组织简单画个像。

The Gentlemen 勒索软件组织于 2025 年 7 月首次出现，从其暴露出的运作痕迹来看，他们采用的是非常成熟的勒索软件即服务（RaaS）模式。

The Gentlemen 核心成员在暗网的 RaaS 招募广告贴

在这份被泄露的内部招募贴中，核心成员 Zeta88 明确给出了极具诱惑力的分成模式（90% 的收益归属渗透者），并在下方详细罗列了他们自研加密器（Locker）的技术特性。比如采用 Go 语言编写、支持 XChaCha20 异步加密、跨平台（支持 Windows、Linux、NAS 等），并且自带自动绕过特定程序等免杀机制。

在攻击目标的挑选上，该组织具有极强的高级目标导向特征。

The Gentlemen 目标行业与地区分布统计图(数据来源 solar勒索家族情报平台)

结合外部的行业统计图表与我们此次复盘发现的名单，他们将制造业、医疗保健和金融保险业作为首要打击目标，并且在亚太地区（尤其是中国、泰国及南美地区）的攻击占比极高。这种专门挑软肋捏的打法，给国内的很多大型代工企业和出海企业带来了极大的安全压力。

从第一视角还原渗透链路

为了真实还原攻击链路，我们将这三千多行聊天记录与相关的截图进行了结构化的翻译与交叉比对。梳理完我们会发现，他们的渗透思路并不像影视剧里那样神秘，反而与很多贴近实战的红队打法如出一辙。

务实的目标筛选逻辑

在代号为 100256 的沟通频道中，核心成员 zeta88 和 qbit 详细展示了他们是如何筛选攻击对象的。

攻击者利用 ZoomInfo 评估企业营收并筛选目标的内部聊天

从上图的聊天记录中可以看出，他们高度依赖商业情报平台（如 ZoomInfo）来预估目标公司的年营收。如果一家企业的营收体量不够，他们通常会直接跳过。

更值得注意的是他们对技术入口的筛选标准。在批量资产测绘的基础上，他们并不盲目攻击，而是重点排查那些配置了 FortiGate 防火墙、且启用了 LDAP 并在网关上有大量活跃用户的企业。在他们的渗透逻辑里，“具备内网、拥有域环境且与 LDAP 集成”才是值得投入精力的高价值目标。

严重依赖边缘设备与身份凭据

在确立目标后，该组织的大部分突破口都聚焦在企业网络的最外围边界。

攻击者在群内分享防火墙内部策略与 VPN 明文凭据

在上图这段内部对话中，成员之间正在相互分享从攻陷设备中提取出的内部路由策略和 VPN 配置信息。甚至明确写出了某目标开发 VPN 的网关地址及明文账号密码。

在他们熟悉的攻击路径里，一旦利用边缘设备的弱口令或未修补的历史漏洞建立了 SSL VPN 连接，他们就会直接提取设备上的 LDAP 绑定凭据。这种利用网关信任域进行二次渗透的手法，使得他们在潜入企业核心活动目录（AD）时拥有了合法的身份掩护，极难被传统的内网监测设备发现。

团队协作与技术经验沉淀

在进入内网后的维权与最终的加密阶段，组织内部展现出了完整的技术分享机制。

成员之间探讨勒索加密器具体参数配置的聊天截图

例如在准备执行破坏前，成员 Wick 在群里直接指导其他人如何使用加密器命令行。他们会精确地探讨如何使用 --superfast 加快加密速度，以及利用 --system 替代普通路径以绕过特定限制。

此外，他们还在频道内沉淀了大量的攻击技巧。比如讨论如何使用 DumpBrowserSecrets 工具批量提取管理员的浏览器 Cookie 以劫持关键系统的会话，或是探讨如何利用符号链接技术阻断终端上的 EDR 进程启动。这些痕迹都表明，该团伙具备相当深厚的技术底蕴。

攻击者极其本土化的活动轨迹

在梳理这些枯燥的渗透术语时，我们意外捕捉到了一些极其特殊的情报线索。如果说技术是可以跨国界学习的，那么下面这些生活与工具轨迹，则暗示着这个看似遥远的俄语系黑客组织，对国内生态有着异乎寻常的了解。

核心成员用俄语讨论曾在中国海南停留及就医的聊天记录

在某天深夜的闲聊中，核心成员 zeta88 突然用俄语感慨：“我想念中国了，更确切地说是想念中国的食物和天气。”

随后，另一名代号为 quant 的成员直接跟帖爆出了更具体的地理坐标：“靠，哥们，我之前在海南待过，那是真舒服。”

如果说生活轨迹只是巧合，那么他们对国内安全工具的熟练运用则进一步印证了我们的猜想。

核心成员在内部群组分享国内大语言模型链接

在讨论技术难题时，zeta88 在群内整理了一份大语言模型辅助工具清单（见上图）。令人惊讶的是，除了国际通用工具，清单中赫然列出了国内头部的几款 AI 产品：Kimi、文心一言（ERNIE）、智谱，并特别点名了 DeepSeek 和 Qwen。

攻击者交流使用国内哈希解密平台 chamd5 的记录

不仅如此，在涉及到密码破解与哈希解密的工作环节（见上图），zeta88 还向团队强力推荐了国内知名的安全社区解密平台 chamd5.org，并表示自己甚至拥有该平台在 Telegram 上的定制查询机器人。

这些生动的细节为我们勾勒出了一个截然不同的攻击者画像。他们不仅具备极高的网络攻防技术，更是深谙中国社会环境与本土技术生态的“老玩家”。这种对国内环境的信息熟悉程度，无疑会让他们在针对国内企业发动定向攻击时更加得心应手。

从内网视角看企业安全建设

复盘至此，The Gentlemen 勒索组织第一阶段的运作全景已初步展现。从针对性的目标筛选、对边缘身份设施的精准打击，再到深谙本土生态的隐蔽作案手法，这给我们日常的企业安全建设提供了非常务实的参考。

结合此次暴露出的攻击路径，Solar 应急响应团队建议企业重点关注以下防御维度：

1. 收紧边界设备的身份基线：类似 FortiGate 等 VPN 边缘接入设备是本次事件中的突破重灾区。严禁在对外暴露的网关上使用弱口令，强制开启双因素认证（MFA），这是阻断自动化撞库与凭据复用最有效、成本最低的手段。
2. 切断 LDAP 与 AD 的过度信任：攻击者极度偏好从 VPN 侧获取 LDAP 凭证进而在域内提权。建议对 AD 域控的查询权限进行严格的基线梳理，推进网络微隔离，避免一台边缘设备的沦陷直接导致核心认证架构的底牌尽失。
3. 警惕凭据抓取与合法工具的滥用：在终端侧，除了部署常规的安全软件，应重点强化对系统内存（如 LSASS 进程）的读取保护。同时，对类似 NetExec、rclone 等容易被黑客当作内网横向和数据外传通道的合法工具，建立严格的运行监控策略。

由于本次泄露的数据体量庞大且技术细节繁多，关于该组织在内网横向移动中具体使用的提权手段和其它紧张刺激的聊天，我们将放在本系列的（二）中为您做更深度的硬核技术拆解。

网络安全是一项需要持续投入和动态调整的系统工程。面对愈发专业且狡猾的勒索团伙，基础架构的每一次权限收敛都至关重要。如果您在企业日常安全运维中遇到疑难问题，或需要专业的应急支撑，欢迎随时关注云栈社区获取更多深度技术内容。

在企业日常的安全运维中，突发勒索病毒往往让人措手不及。遇到这种情况，正确的应急响应流程能够最大程度控制影响范围、降低数据损失。

这里为大家准备了一张完整的《勒索病毒应急处置指南》长图，建议各位安全从业者和IT运维人员收藏备用。如遇突发情况，请保持冷静，参考本图进行快速、规范的处置。

附加资料下载：防御与响应同样重要。扫描图末的二维码，还可以直接获取完整的《2025年勒索病毒年报》以及《勒索处置一体化》等专业文件，帮助大家深入了解当前的威胁趋势，提前做好防御规划。

安全无小事，掌握科学的处置流程，是我们应对突发安全事件最有效的武器。

---

以下是Solar安全团队近期处理过的常见勒索病毒后缀：

收录时间	病毒家族	相关文章
2025/01/14	Medusalocker	【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析 【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析
2025/01/15	Medusa	【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析
2024/12/11	weaxor	【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！
2024/10/23	RansomHub	【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析
2024/11/23	Fx9	【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判
2024/11/04	Makop	【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？
2024/06/26	moneyistime	【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析
2024/04/11	babyk	【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024/09/29	lol	【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发
2024/06/10	MBRlock	【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法
2024/06/01	Rast gang	【病毒分析】Steloj勒索病毒分析
2024/06/01	TargetOwner	【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？
2024/11/02	Lockbit 3.0	【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析
2024/05/15	Wormhole	【病毒分析】Wormhole勒索病毒分析
2024/03/20	tellyouthepass	【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析
2024/03/01	lvt	【病毒分析】交了赎金也无法恢复--针对国内某知名NAS的LVT勒索病毒最新分析
2024/03/04	phobos	【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告
2024/03/28	DevicData	【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！
2024/02/27	live	【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密）
2024/08/16	CryptoBytes	【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚
2024/03/15	mallox	【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！
2024/07/25	BeijngCrypt	【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析
2025/03/11	银狐	【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析
2025/03/07	CTF赛题	【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解
2025/05/14	888	【病毒分析】888勒索家族再出手！幕后加密器深度剖析
2025/06/13	LockBit4.0	【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

收录时间	相关文章
2024/12/12	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破
2024/12/11	【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

收录时间	相关文章
2024/06/27	【教程分享】勒索病毒来袭！教你如何做好数据防护
2024/06/24	【教程分享】服务器数据文件备份教程

案例介绍篇 聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示。

收录时间	相关文章
2024/06/27	【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手
2024/01/26	【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2024/03/13	【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
2024/04/01	【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
2024/04/26	【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2024/05/17	【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
2024/11/28	【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告
2025/10/23	【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗

漏洞与预防篇 侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案。

收录时间	相关文章
2025/01/08	【漏洞与预防】RDP弱口令漏洞预防
2025/01/21	【漏洞与预防】MSSQL数据库弱口令漏洞预防
2025/02/18	【漏洞与预防】远程代码执行漏洞预防
2025/04/10	【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞
2025/04/17	【漏洞与预防】畅捷通文件上传漏洞预防
2025/05/27	【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防
2025/09/02	【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防

应急响应工具教程篇 重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

收录时间	相关文章
2025/01/10	【应急响应工具教程】Splunk安装与使用
2025/02/07	【应急响应工具教程】取证工具-Volatility安装与使用
2025/02/20	【应急响应工具教程】流量嗅探工具-Tcpdump
2025/02/26	【应急响应工具教程】一款精准搜索文件夹内容的工具--FileSeek
2025/03/03	【应急响应工具教程】一款自动化分析网络安全应急响应工具--FindAll
2025/03/13	【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView
2025/03/20	【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter
2025/04/03	【应急响应工具教程】Windows 系统综合排查工具Hawkeye
2025/04/08	【应急响应工具教程】Linux下应急响应工具whohk
2025/05/15	【应急响应工具教程】Windows日志快速分析工具——Chainsaw
2025/06/05	【应急响应工具教程】Logman 系统性能与日志采集工具
2025/07/02	【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全
2025/07/08	【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统
2025/07/23	【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器
2025/08/05	【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan
2025/08/19	【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析