De Conti a The Gentlemen: las herramientas han evolucionado, pero las deficiencias siguen ahí.
Leer el blog
Vectra AI, nombrada una de las empresas líderes en el Cuadrante Mágico de Gartner sobre NDR de 2026
Leer el informe
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Blogs
    >
  2. ransomware

De Conti a The Gentlemen: las herramientas han evolucionado, pero las deficiencias siguen ahí.

June 2, 2026
6/2/2026
Lucie Cardiet
Responsable de investigación de ciberamenazas
De Conti a The Gentlemen: las herramientas han evolucionado, pero las deficiencias siguen ahí.

En resumen.

Cuatro filtraciones relacionadas con los operadores a lo largo de cuatro años (Conti 2022, Black Basta de febrero de 2025, panel de LockBit de mayo de 2025 y The Gentlemen de mayo de 2026) ponen de manifiesto que los grupos de ransomware están modificando su forma de contratar personal, promocionarse y dotarse de herramientas. Sin embargo, apenas se observan cambios en la forma en que realmente acceden a los sistemas, se mueven por ellos y roban datos. La detección no falla. Simplemente es incompleta.

--

En mayo de 2026, el Equipo de investigación de Ransom-ISAC se recuperaron 3.366 mensajes de un sitio «onion» de Rocket.Chat utilizado por una banda de habla rusa llamada «The Gentlemen», considerada el segundo grupo de ransomware más activo de 2026, solo por detrás de Qilin. Entre los datos extraídos se encontraba un registro de Matrix de bestflowers247.online, el servidor doméstico Black Basta utilizaba desde 2023. El mango que aparecía en ambos: Tinker, el negociador. Intel 471 publicó un Perfil independiente de Tinker como «phishing y negociador» Black Basta a principios de 2025. Ransom-ISAC evalúa con un grado de confianza de moderado a alto que ese mismo operador ya había desempeñado la misma función en Conti anteriormente.

Un puesto. Tres marcas. Cuatro años. El mismo trabajo.

Es un detalle insignificante, pero lo dice todo. Los operadores cambian de marca, no se retiran. Y las prácticas que han utilizado para introducirse en las redes apenas han cambiado.

He pasado las últimas semanas leyendo todas las filtraciones primarias a las que he podido acceder: el volcado de Conti Jabber, la filtración SQL del panel de afiliados de LockBit, los chats Black Basta y las dos partes del análisis de Ransom-ISAC sobre The Gentlemen. A continuación expongo lo que ha cambiado, lo que no, y las cinco lagunas que se repetían en todos los volcados.

Las cuatro filtraciones de un vistazo

Cuatro filtraciones de ransomware, de 2022 a 2026 Cronología en la que se muestran Conti (febrero de 2022), Black Basta febrero de 2025), LockBit (mayo de 2025) y The Gentlemen (mayo de 2026), junto con la magnitud de cada filtración. Cuatro filtraciones de ransomware, cuatro años 2022 2023 2024 2025 2026 Febrero de 2022 Conti Febrero de 2025 Black Basta Mayo de 2025 LockBit Mayo de 2026 Los caballeros 200,000+ Mensajes de Jabber 196,000+ Mensajes de Matrix Volcado completo de SQL 75 afiliados, 103 víctimas 3.366 mensajes + Copia de seguridad de MEGA y NAS Tres años entre cada descarga

Conti (febrero de 2022)

El 25 de febrero de 2022, los dirigentes de Conti publicaron un comunicado en la dark web en el que prometían «apoyo total» al Gobierno ruso en la guerra contra Ucrania. Dos días después, un usuario no identificado abrió la cuenta de Twitter @ContiLeaks y comenzó a publicar años de conversaciones internas de Jabber. La mayoría de los analistas consideran que la fuente es un investigador ucraniano que ya tenía acceso a la infraestructura de Conti. El malware vx-underground se hizo cargo de alojar el volcado, que abarcaba unos 60 000 mensajes directos correspondientes al periodo comprendido entre junio de 2020 y febrero de 2022.

Black Basta febrero de 2025)

El 11 de febrero de 2025, una cuenta llamada @ExploitWhispers publicó en Telegram un archivo JSON de 47 MB que contenía 196 045 mensajes de Matrix, en su mayoría en ruso, correspondientes al periodo comprendido entre el 18 de septiembre de 2023 y el 28 de septiembre de 2024. La motivación declarada por el filtrador: Black Basta «cruzado la línea» al atacar a bancos rusos.

LockBit (mayo de 2025)

El 7 de mayo de 2025, un usuario anónimo que se identificaba como «xoxo from Prague» sustituyó el sitio «onion» de LockBit por el siguiente mensaje: «No cometas delitos. DELITAR ESTÁ MAL» y un enlace a paneldb_dump.zip, una exportación completa en formato SQL del panel de administración de afiliados. El volcado abarca desde el 18 de diciembre de 2024 hasta el 29 de abril de 2025, es decir, todo el periodo posterior al relanzamiento tras la «Operación Cronos», tras la intervención de la Agencia Nacional contra el Crimen del Reino Unido el año anterior.

The Gentlemen (mayo de 2026)

El 2 de mayo, el proveedor de alojamiento 4VPS.SU reveló una brecha de seguridad en su infraestructura: alguien había sustituido un servidor proxy y dañado el gestor de arranque GRUB. Dos días después, The Gentlemen publicaron su propio comunicado en el foro T1erOne, restándole importancia a la filtración con un proverbio ruso: «Los perros ladran, pero la caravana sigue adelante». El 5 de mayo, un usuario que se hacía llamar n345 ofreció el conjunto de datos en PwnForums por 10 000 dólares estadounidenses en bitcoins. Tres días después, el mismo usuario lo publicó de forma gratuita en CryptBB. El volcado en sí: 3366 mensajes procedentes de un sitio «onion» de Rocket.Chat autohospedado, repartidos en 22 salas, con fechas que van desde noviembre de 2025 hasta finales de abril de 2026. Un paquete complementario conocido como JA456 apareció poco después con un nombre de usuario diferente en Cracked, esta vez revelando datos del lado del operador: el historial de sesiones de una cuenta de MEGA conforme al RGPD, un NAS de Synology /etc/shadow, y capturas de pantalla del restablecimiento de fábrica mientras la exfiltración seguía a una velocidad de 395 KB/s en la subida.

Cómo ha evolucionado

1. La estructura corporativa se redujo y se descentralizó

Conti funcionaba como una empresa de tamaño medio: contaba con una plantilla de unas 100 personas, un departamento de recursos humanos, un proceso de selección de personal y el pago de los salarios los días 15 y 30 de cada mes, con un horario de oficina de 10:00 a 18:00, hora de Moscú. Algunas estimaciones apuntan a una cifra superior, de hasta 350 miembros en todos los subgrupos.

Tres años después, Black Basta seguía operando desde dos oficinas en Moscú, con un presupuesto semanal para la cocina de unos 2000 dólares estadounidenses y un conductor que trasladaba al director de una sede a otra. Más pequeña, más compacta, pero aún con las oficinas en el mismo edificio.

Los Gentlemen tienen un aspecto diferente. En el volcado de Rocket.Chat aparecen nueve nombres de usuario distintos, con marcas de tiempo de actividad en el chat agrupadas en las zonas horarias MSK (zeta88, Kunder, Protagor), UTC+5 a +9 (quant), UTC+7 a +8 (mAst3r) y UTC+8 a +10 (qbit). No tienen oficina. No hay periodicidad salarial. Un equipo central distribuido por diferentes zonas horarias, que se coordina a través de una instancia de Rocket.Chat autohospedada y tiene previsto migrar «próximamente a un chat basado en Rust».

La organización profesional dedicada al ransomware se ha dividido en grupos que operan como franquicias.

2. La misma gente, tres marcas, sin reinicios

La línea Tinker es la prueba más clara de la continuidad del operador a lo largo de los cambios de marca. Intel 471 rastreó al mismo operador desde Black Basta una función que desempeñó en la era de Conti, centrada en phishing , la coordinación de centros de llamadas y las negociaciones. Ransom-ISAC incorpora a Tinker a The Gentlemen con la misma función operativa: análisis de datos, contacto con las víctimas y gestión de credenciales. El recurso compartido bestflowers247.online Matrix Homeserver, presente tanto en los archivos Black Basta en los de Gentlemen, constituye la base de la infraestructura de ese linaje.

El cambio de imagen es el plan de continuidad, no el plan de contingencia.

3. La IA ha pasado de ser una aspiración a convertirse en una realidad operativa

En los chats de Conti, la IA no aparece. El flujo de trabajo de los operadores en 2022 está dirigido por personas: se han contratado suscripciones a ZoomInfo para calcular el valor de los rescates en función de los ingresos de las empresas, y se ha contratado a revisores de código externos para evitar que las huellas de la propiedad intelectual se solapen entre los distintos subgrupos.

En las Black Basta de 2024, ChatGPT ya se utiliza a diario. Se han documentado cuatro usos distintos en todo el corpus:

  1. El operador NN accedió accidentalmente a una sesión de usuario activa en la red de la víctima y utilizó ChatGPT para generar un mensaje falso de «comprobación de la red profesional» con el fin de engañar al usuario.
  2. mecor (desarrollador de Pikabot) utilizó ChatGPT para depurar un error de compilación en un servidor proxy ARM/Linux escrito en Go.
  3. Se encargó a YY (programador principal) que reescribiera malware C# malware Python utilizando ChatGPT para eludir los programas antivirus y EDR, con la solución alternativa de que, si ChatGPT se negaba, YY enviaría el código por partes.
  4. Tinker (negociador) utilizó los servicios de la API de GPT para automatizar la recopilación de datos de contacto de las víctimas, la verificación en LinkedIn, el envío de spam y las llamadas en frío.

En las conversaciones de «Gentlemen» de 2026, la IA forma parte del proceso de negociación. Zeta88 a un compañero: «Гпт. клауде, мы играем в переговорщика. он тебе строчит» («GPT, Claude, jugamos a ser negociadores. Él escribe por ti»). El grupo también debate sobre los modelos Qwen «abliterados» sin censura alojados en Hugging Face y el alquiler de GPU en vast.ai para la clasificación asistida por IA de datos robados.

Lo que no aparece en ninguna de las cuatro filtraciones: malware generado por IA. Los operadores utilizan la IA para el análisis lingüístico, la inteligencia de fuentes abiertas (OSINT) y la traducción de código. No le piden que invente técnicas novedosas. Y no todos se dejan convencer. Wick, uno de los operadores de Gentlemen: «No funciona nada, la IA me da consejos de mierda».

4. El EDR está siendo derrotado, no evitado

En 2021, Conti constituyó una sociedad pantalla francesa para adquirir de forma legítima Carbon Black EDR por unos 14 800 euros, más los gastos de conversión, con el fin de que el equipo de Ryuk pudiera probar malware un dispositivo con licencia real. Eso fue lo que se denominó «adquisición».

Para 2026, The Gentlemen gestionarán en tiempo real los «EDR» de un proveedor conocido, mediante técnicas documentadas anunciadas en sus chats internos: eliminación de puntos de interrupción de hardware de los registros DR, desconexión de NTDLL con stubs de llamadas al sistema limpios y aplicación de parches a ETW. Según el operador mAst3r, un «killer» de CrowdStrike «cuesta unos 5.000 dólares».

Los marcos personalizados de C2 sustituyeron a Cobalt Strike. YY, el programador principal Black Basta, dedicó dos años a desarrollar Interruptor, un C2 personalizado con comunicaciones TCP/DNS/PING y cifrado RC4. Los Gentlemen gestionan su propio Panel de control del G-BOT, un marco de trabajo hasta ahora desconocido que permite el túnel SOCKS5 por baliza y la subida de compilaciones a temp.sh y 0x0.st.

5. El hipervisor se convirtió en el nuevo punto ciego

Los lockers de Conti tenían como objetivo los terminales de Windows, y ESXi era solo un objetivo secundario. Según la filtración de 2026, se ha documentado que The Gentlemen atacan directamente al Hyper-V Volume Manager, cifrando a nivel del hipervisor para que «los agentes de EDR y de copia de seguridad a nivel de máquina invitada» no puedan ver lo que está sucediendo en las máquinas virtuales que protegen.

Al invitado no le parece que haya nada raro, porque no está ocurriendo nada que él pueda percibir.

Lo que no evolucionó

Los cinco elementos que se indican a continuación aparecen en todas y cada una de las cuatro filtraciones, tanto en 2022 como en 2026, desempeñando el mismo papel en la cadena de ataque.

1. La autenticación se realiza correctamente en el borde

VulnCheck contabilizó 62 CVE únicas mencionadas por Black Basta en los chats filtrados, 53 de las cuales ya se sabía que habían sido explotadas en el mundo real, y 44 de las cuales figuraban en el catálogo de vulnerabilidades explotadas de la CISA. La CVE más mencionada en todo el corpus fue la CVE-2024-3400, una zero-day de PAN-OS de Palo Alto Networks. El resto de la lista más comentada era un recorrido por el perímetro empresarial: Citrix NetScaler, Atlassian Confluence, Microsoft, F5, Cisco y Fortinet. Los operadores comenzaron a debatir sobre los CVE a los pocos días de la publicación del aviso original.

Los delincuentes siguieron actuando de la misma manera. Su principal vía de acceso inicial al sistema fue Fortinet, con 81 menciones a FortiGate en los registros de Rocket.Chat y la referencia explícita a CVE-2024-55591 (la vulnerabilidad de elusión de autenticación de FortiOS). Se utilizaron contraseñas de VPN de marca en varias víctimas: caballeros25, Caballeros25, gentle26. HalcyonSu análisis independiente revela que el grupo llevó a cabo ataques de fuerza bruta contra unas 1 000 VPN de Fortinet.

Se trata del segundo grupo de ransomware más importante de 2026, que utiliza una contraseña reutilizada de una marca conocida contra la misma categoría de proveedores que ha ocupado las portadas de todos los informes anuales de incidentes desde 2021. El registro de auditoría les dio vía libre.

Las conversaciones de Conti siguen el mismo patrón. Stern publicó una solicitud para obtener un escáner de CVE-2020-5135 (desbordamiento de búfer de la pila de SonicWall, CVSS 9.4), y el operador conocido como Ghost lo Ghost . Adquirieron equipos de SonicWall, tanto nuevos como reacondicionados, para investigar esa misma familia de productos.

El proveedor cambia. La categoría, no. La identidad en el borde es la puerta de entrada, y la autenticación sigue funcionando correctamente.

Fuente: Vulncheck

2. Las credenciales almacenadas en el navegador siguen siendo el almacén de contraseñas

El kit de herramientas de The Gentlemen: DumpBrowserSecrets, cifrado y descifrado integrado en la aplicación de Chrome, XenAllPasswordPro, Phemedrone Stealer V2.3.2, LummaC2. Black Basta de Black Basta muestran que LummaC2 está descargando cargas útiles en %temp% y filtrar las credenciales recopiladas en qwertyuio.txt a través del gestor de archivos de AnyDesk.

Las credenciales no son objeto de un ataque de phishing. Se extraen del navegador una hora después de que el usuario haya iniciado sesión. El registro de auditoría las ha autorizado.

3. El archivo NTDS.dit en una copia de seguridad VSS sigue constituyendo una toma de control del dominio

JA456 (Gentlemen, parte 2) contiene un blob de metadatos de copia de seguridad VSS de un controlador de dominio de Windows Server con el El escritor de NTDS (b2014c9e) está presente y backupSucceeded=yes, es decir ntds.dit y los registros de transacciones se conservaron intactos. Ransom-ISAC señala: «Todos los hash de dominio estaban en poder de Zeta en el momento de la exfiltración».

Ese es un problema de 2018 que un atacante sigue intentando resolver en 2026.

4. Linux, ESXi e Hyper-V siguen sin recibir la atención necesaria

La invocación de Gentlemen Linux/NAS en el corpus aparece tal cual: /opt/updateamd --password W8wNZteb --ultrafast --keep, omitiendo la extensión .i8p14s y la nota README-GENTLEMEN.txt. El volcado del NAS de Synology de la parte 2 muestra al operador configurando rclone, MEGAcmd y un sc-rclone crear una cuenta de servicio directamente en el NAS y, a continuación, dar de alta las cuentas de la tripulación entre el 3 de enero y el 21 de marzo de 2026.

El NAS servía de servidor intermedio para 127 TB de datos robados, y se gestionaba con la misma naturalidad que un recurso compartido de archivos en una oficina doméstica. Los movimientos entre hosts que el SOC no registra son movimientos que no existen.

5. La transferencia de rclone a MEGA sigue siendo la vía de salida

Los servidores de Conti se integraron a través de Bazar e IcedID en una infraestructura personalizada en 2020. Para 2026, la ruta de exfiltración de The Gentlemen se reduce a una sola línea, tal y como se muestra en JA456: rclone → NAS (193.228.128.2:2222, usuario Descargar1) → MEGA. Seis años, siempre lo mismo. Tráfico que parece legítimo dirigido a un cloud legítimo. No hay nada que parezca sospechoso.

La detección no falla. Es incompleta.

Al leer los 600 000 mensajes filtrados de los operadores, la tentación es sentirse o bien deprimido o bien reivindicado. Ambas reacciones pasan por alto lo esencial.

Las filtraciones proporcionaron a los defensores algo más útil: una confirmación de primera mano sobre qué vulnerabilidades debían subsanarse. Los operadores no son magos. Se trata de entre ocho y veinte personas que cuentan con una instancia de Rocket.Chat, un exploit de Fortinet alquilado y una cuenta de MEGA. Triunfan porque las mismas cinco vulnerabilidades que funcionaron en 2022 siguen funcionando en 2026.

Cinco medidas que las filtraciones ya han justificado:

  1. Comprueba si tus dispositivos periféricos están afectados por las listas de CVE filtradas. El CVE-2024-3400 (PAN-OS) fue el tema principal de las conversaciones Black Basta. El CVE-2024-55591 (elusión de la autenticación en FortiGate) aparece mencionado en las conversaciones de The Gentlemen como su vía de acceso principal. CVE-2025-32433 (RCE SSH en Erlang/OTP) y CVE-2025-33073 (relé NTLM) aparecen en el mismo kit de herramientas. El estado de los parches en los dispositivos perimetrales de Palo Alto, Fortinet, Citrix, F5 y Cisco es una métrica de nivel ejecutivo.
  2. Considera los almacenes de credenciales del navegador como parte de la infraestructura de autenticación. Las herramientas Phemedrone, LummaC2 y las de cifrado y descifrado vinculadas a aplicaciones de Chrome parten de la base de que el usuario ya ha iniciado sesión. El punto de detección es el comportamiento posterior a la autenticación en el terminal, no el inicio de sesión.
  3. Busca rclone, MEGAcmd, WinSCP y Velociraptor en los hosts donde no deberían estar presentes. Las cuatro herramientas aparecen en el corpus de Gentlemen como herramientas de exfiltración y movimiento lateral. Velociraptor, en particular, es una herramienta legítima de investigación y respuesta a incidentes de seguridad (DFIR), que ha sido reutilizada como canal de control y comando (C2) contra múltiples víctimas.
  4. Consigue una visibilidad a nivel de hipervisor. El gestor de volúmenes de Hyper-V está diseñado para eludir los sistemas EDR de los sistemas invitados. ESXi se encuentra en la misma situación. Si tu detección se limita a los límites de la máquina virtual, tu detección se queda ahí.
  5. Considera el acceso a NTDS.dit como un indicador de nivel 1, no como un hallazgo forense. Tanto el Black Basta de Conti como Black Basta y el archivo JA456 de Gentlemen confirman que el robo de copias de seguridad de controladores de dominio es un objetivo habitual. La detección debe activarse en el momento en que se accede al archivo, no cuando se restablece la contraseña tres semanas después.
Cinco fallos. Cinco soluciones. Lista de verificación de las cinco vulnerabilidades de ataque recurrentes confirmadas en las filtraciones de Conti, Black Basta, LockBit y The Gentlemen, con una breve explicación de por qué cada una de ellas elude los sistemas de detección estándar y una medida recomendada para subsanarla. Cinco fallos. Cinco soluciones. La brecha Por qué es una brecha Cómo cerrarlo Identidad de Edge VPN, OWA, dispositivos Edge Ruta de acceso inicial n.º 1 Retrasos en la aplicación de parches y reutilización de contraseñas en Fortinet, Palo Alto, Los dispositivos periféricos de Citrix, F5 y Cisco permiten el acceso a los atacantes con credenciales válidas. El registro de auditoría registra un inicio de sesión normal. Comprobar el estado de los parches con la lista de CVE filtrada: CVE-2024-3400, CVE-2024-55591, CVE-2023-4966, CVE-2025-32433, CVE-2025-33073. Considera el estado de los parches de borde como una métrica ejecutiva. Datos de acceso guardados en el navegador Femedrona, LummaC2, ABE Robo de credenciales tras la autenticación Los ladrones de datos leen las contraseñas de Chrome en una hora una vez que el usuario ha iniciado sesión. No se produce ningún error en el en lo que respecta a la autenticación. El registro de auditoría registra un sesión. Detectar el acceso a credenciales tras la autenticación en el el dispositivo, no solo el inicio de sesión. Hunt Phemedrone, LummaC2 y Chrome App-Bound Herramientas de cifrado y descifrado. Copias de seguridad de DC NTDS.dit, instantáneas VSS Todos los hash de dominio, desaparecidos El archivo NTDS.dit extraído de una copia de seguridad VSS transfiere todos los hash del dominio. La detección suele activarse solo unas semanas después, cuando se ejecuta el restablecimiento de la contraseña. Trata el acceso a las copias de seguridad de NTDS.dit y VSS como un activación de sev-1 el mismo día en que se produzca, no se trata de un hallazgo forense tres semanas después. Punto ciego del hipervisor Hyper-V, ESXi, NAS con Linux EDR no puede verlo Los ataques a Hyper-V Volume Manager y ESXi cifran por debajo del sistema operativo invitado. Agentes de EDR y de copia de seguridad del sistema invitado no pueden ver lo que está pasando con las máquinas virtuales que proteger. Añadir visibilidad a nivel de hipervisor en Hyper-V y ESXi. Si la detección se limita al perímetro de la máquina virtual, la detección fin. Canal Cloud rclone, MEGAcmd, WinSCP Parece una cloud rclone, MEGAcmd, WinSCP y el tráfico de Velociraptor Parece cloud legítima. El mismo patrón en 2020, 2024 y 2026. Caza rclone, MEGAcmd, WinSCP, Velociraptor en los servidores que no deberían tenerlas. El velociraptor, en particular es una herramienta legítima de investigación y respuesta a incidentes de seguridad (DFIR), que se ha adaptado para su uso como C2.

La tarea de cualquier CISO que lea esto en 2026 es subsanar las deficiencias que los propios operadores ya han documentado en dos ocasiones. El libro electrónico Mind Your Attack Gaps recorre el marco de principio a fin, utilizando Scattered Spider, Volt Typhoon y el patróncloud como ejemplos prácticos.

Preguntas frecuentes