Pakai AI dan Worm, The Gentlemen Jadi Ancaman Siber Global

Lanskap ancaman siber global kembali dihadapkan pada kemunculan kelompok ransomware baru yang berkembang sangat cepat. Kelompok yang dikenal dengan nama The Gentlemen kini menjadi sorotan para peneliti keamanan siber setelah diklaim telah menyerang sedikitnya 478 korban di berbagai negara sejak mulai beroperasi pada Maret 2025.

Laporan terbaru dari perusahaan keamanan siber PRODAFT mengungkap bahwa The Gentlemen bukan sekadar kelompok ransomware biasa. Organisasi kriminal digital ini memiliki struktur yang terorganisasi, memanfaatkan Artificial Intelligence (AI) dalam operasinya, serta mengembangkan malware yang mampu menyebar secara otomatis layaknya worm di dalam jaringan komputer korban.

Temuan tersebut menunjukkan bagaimana kelompok kejahatan siber modern kini semakin profesional dan beroperasi layaknya perusahaan teknologi dengan pembagian tugas yang jelas, dukungan teknis khusus, hingga strategi perekrutan afiliasi yang agresif.

Berawal dari Afiliasi Ransomware Besar

Menurut PRODAFT, kelompok yang mereka identifikasi sebagai Phantom Mantis awalnya beroperasi sebagai afiliasi berbagai layanan Ransomware-as-a-Service (RaaS) terkenal seperti LockBit, Qilin, dan Medusa.

Dalam model RaaS, pengembang ransomware menyediakan perangkat lunak dan infrastruktur serangan, sementara afiliasi bertugas mencari dan menyerang target. Keuntungan hasil pemerasan kemudian dibagi antara pengembang dan afiliasi.

Namun pada Juli 2025, Phantom Mantis memutuskan untuk berdiri sendiri dan meluncurkan operasi independen dengan nama baru, yaitu The Gentlemen. Sejak saat itu, kelompok ini tidak lagi bergantung pada layanan ransomware lain dan mulai membangun ekosistem kejahatan sibernya sendiri.

PRODAFT menyebut transformasi tersebut menjadi titik penting yang membuat The Gentlemen berkembang menjadi salah satu kelompok ransomware paling aktif di dunia.

Sosok Misterius di Balik The Gentlemen

Kelompok ini dipimpin oleh seorang pelaku ancaman berbahasa Rusia yang dikenal dengan kode LARVA-368. Sosok tersebut menggunakan berbagai nama samaran di dunia maya, di antaranya hastalamuerte, ArmCorp, zeta88, nobody0, dan santamuerte.

Sebelum mendirikan The Gentlemen, LARVA-368 diduga pernah menjadi anggota kelompok ransomware Embargo. Ia kemudian membentuk operasi sendiri bernama ArmCorp sebelum akhirnya berganti nama menjadi The Gentlemen beberapa bulan kemudian.

Identitas asli LARVA-368 diduga telah berhasil diungkap oleh jurnalis keamanan siber terkenal Brian Krebs. Berdasarkan hasil investigasi, sosok tersebut diyakini adalah Alexander Andreevich Yapaev, pria berusia 36 tahun yang berasal dari Izhevsk, Rusia.

PRODAFT menyatakan bahwa hasil penelitiannya sangat mendukung kesimpulan tersebut, meskipun belum ada konfirmasi resmi dari pihak berwenang.

Perselisihan dengan Qilin Jadi Titik Awal

Lahirnya The Gentlemen ternyata tidak lepas dari konflik internal di dunia ransomware.

LARVA-368 diketahui pernah berselisih dengan kelompok ransomware Qilin terkait pembagian hasil pemerasan. Ia menuduh Qilin melakukan praktik exit scam atau kabur membawa uang milik afiliasi dengan nilai mencapai 48.000 dolar AS.

Tidak hanya itu, LARVA-368 bersama mantan rekannya yang dikenal sebagai LARVA-367 atau DevMan juga menuding adanya pintu belakang pada panel afiliasi milik Qilin.

Meski demikian, PRODAFT mengaku tidak dapat memverifikasi tuduhan tersebut. Para peneliti bahkan menilai kemungkinan besar informasi tersebut sengaja disebarkan untuk menarik afiliasi Qilin agar berpindah ke kelompok baru yang mereka bangun.

Memanfaatkan AI untuk Mengembangkan Serangan

Salah satu aspek yang membuat The Gentlemen berbeda dibanding kelompok ransomware lain adalah penggunaan teknologi kecerdasan buatan.

Menurut PRODAFT, LARVA-368 memanfaatkan AI dalam berbagai tahapan operasional, mulai dari pengembangan ransomware, pemeliharaan alat-alat serangan, hingga membantu proses eksploitasi setelah berhasil menyusup ke sistem korban.

Pemanfaatan AI memungkinkan kelompok ini bergerak lebih cepat, meningkatkan efisiensi serangan, serta mempercepat proses pengembangan fitur-fitur baru pada malware mereka.

Fenomena ini menunjukkan bahwa teknologi AI tidak hanya dimanfaatkan oleh sektor bisnis dan industri, tetapi juga mulai digunakan secara intensif oleh pelaku kejahatan siber.

Menjadi Salah Satu Kelompok Ransomware Paling Aktif

Lembaga keamanan siber internasional menilai The Gentlemen sebagai operasi ransomware yang sangat adaptif dan agresif. Kelompok ini mendukung berbagai sistem operasi, menerapkan model pemerasan ganda, serta menawarkan dukungan teknis bagi para afiliasinya.

Data menunjukkan bahwa pada April 2026, aktivitas The Gentlemen diperkirakan menyumbang sekitar 10 persen dari seluruh serangan ransomware yang terdeteksi secara global.

Hal tersebut menjadikan mereka salah satu kelompok paling aktif dalam ekosistem kejahatan siber saat ini.

Model Bisnis yang Menggiurkan

Untuk menarik lebih banyak afiliasi, The Gentlemen menawarkan skema pembagian keuntungan yang sangat kompetitif. Dalam model yang diterapkan, afiliasi memperoleh 90 persen dari hasil pemerasan, sementara operator utama hanya mengambil 10 persen.

Selain itu, kelompok ini juga aktif mempromosikan diri melalui forum-forum bawah tanah. Mereka bahkan membeli akun premium pada sejumlah forum kriminal siber guna meningkatkan reputasi dan visibilitas mereka di kalangan calon afiliasi.

Dukungan teknis dan komunikasi dengan para anggota ditangani oleh sosok lain yang menggunakan nama The Gentlemen Data.

Menargetkan Berbagai Negara

Berbeda dengan banyak kelompok ransomware lain yang berfokus pada perusahaan Amerika Serikat, The Gentlemen memiliki distribusi korban yang lebih luas.

Hanya sekitar 13 persen korban yang berasal dari Amerika Serikat. Sebagian besar korban justru berada di Thailand, Inggris, Brasil, Jerman, dan India.

Kondisi ini menunjukkan bahwa kelompok tersebut tidak membatasi target berdasarkan wilayah tertentu dan lebih memilih organisasi yang memiliki peluang pembayaran tebusan tinggi.

Cara Mereka Menyusup ke Sistem Korban

The Gentlemen biasanya memperoleh akses awal melalui perangkat jaringan yang terhubung ke internet, seperti VPN, firewall, dan berbagai sistem jaringan perusahaan lainnya.

Produk dari Cisco dan Fortinet menjadi salah satu target utama mereka karena banyak digunakan oleh perusahaan besar di seluruh dunia.

Setelah berhasil masuk ke jaringan, para pelaku akan melakukan pemetaan infrastruktur teknologi informasi korban. Mereka menggunakan berbagai alat khusus untuk menemukan server penting, meningkatkan hak akses, serta mengidentifikasi aset yang memiliki nilai tinggi.

Selain itu, mereka juga berupaya menonaktifkan sistem keamanan, menghapus log aktivitas Windows, mematikan Microsoft Defender, dan membuat pengecualian pada perangkat antivirus agar aktivitas mereka tidak terdeteksi.

Menggunakan Enkripsi Tingkat Tinggi

Ransomware The Gentlemen menggunakan kombinasi teknologi kriptografi modern berupa pertukaran kunci X25519 dan enkripsi simetris XChaCha20.

Kombinasi tersebut dikenal sangat kuat dan membuat data yang telah terenkripsi hampir tidak mungkin dipulihkan tanpa kunci dekripsi yang dimiliki pelaku.

Bagi korban, kondisi ini sering kali memunculkan dilema antara membayar tebusan atau kehilangan data penting secara permanen.

Ancaman Baru: Dapat Menyebar Seperti Worm

Fitur paling mengkhawatirkan dari The Gentlemen adalah kemampuannya menyebar secara otomatis di dalam jaringan.

Microsoft yang melacak kelompok ini dengan nama Storm-2697 mengungkap bahwa malware tersebut dikembangkan menggunakan bahasa pemrograman Go dan disamarkan menggunakan teknik obfuscation melalui alat bernama Garble.

Ketika dijalankan dengan parameter khusus bernama --spread, ransomware berubah dari sekadar alat enkripsi menjadi worm yang dapat bergerak otomatis dari satu sistem ke sistem lain.

Artinya, jika satu komputer berhasil terinfeksi, seluruh jaringan perusahaan berpotensi terdampak dalam waktu singkat.

Tidak hanya itu, malware ini juga memiliki parameter --wipe yang memungkinkan penghapusan berbagai artefak pemulihan setelah proses enkripsi selesai. Fitur tersebut membuat proses pemulihan data menjadi jauh lebih sulit.

Operasi Pemerasan Multisaluran

Menurut perusahaan intelijen ancaman ZeroFox, The Gentlemen tidak hanya mengandalkan ransomware untuk memeras korbannya.

Kelompok ini juga menggunakan email ancaman dan panggilan telepon langsung kepada korban untuk meningkatkan tekanan psikologis.

Strategi tersebut dirancang agar korban merasa terdesak dan lebih cepat mengambil keputusan untuk membayar uang tebusan.

Kebocoran Data Internal Membongkar Operasi Mereka

Aktivitas The Gentlemen semakin terungkap setelah basis data internal Rocket.Chat yang digunakan kelompok tersebut bocor ke publik.

Database tersebut berisi lebih dari 3.300 pesan internal yang dikirim antara November 2025 hingga April 2026.

Dari kebocoran itu terungkap bahwa kelompok tersebut aktif mengeksploitasi berbagai kerentanan pada produk VMware, Fortinet, Cisco, dan Microsoft.

Dokumen yang bocor juga menunjukkan bahwa mereka memiliki pembagian tugas yang jelas, mulai dari pengembang malware, operator serangan, negosiator tebusan, hingga tim dukungan afiliasi.

Toolkit Lengkap Ikut Bocor

Dalam temuan terpisah, Hunt.io menemukan direktori terbuka yang berisi 126 file toolkit milik afiliasi The Gentlemen. Toolkit tersebut mencakup hampir seluruh tahapan serangan siber, mulai dari pengintaian, peningkatan hak akses, pencurian kredensial, pergerakan lateral di jaringan, hingga persiapan sebelum proses enkripsi dilakukan.

Temuan ini memberikan gambaran betapa matang dan profesionalnya operasi yang dijalankan kelompok tersebut.

Ancaman yang Terus Berkembang

Berdasarkan seluruh temuan tersebut, para peneliti menilai The Gentlemen sebagai salah satu ancaman ransomware paling berbahaya saat ini. Kombinasi pengalaman para anggotanya, penggunaan AI, model bisnis yang menarik bagi afiliasi, serta kemampuan malware yang dapat menyebar seperti worm menjadikan kelompok ini ancaman serius bagi organisasi di seluruh dunia.

Dengan jumlah korban yang terus bertambah dan kemampuan teknis yang semakin berkembang, The Gentlemen diperkirakan masih akan menjadi salah satu pemain utama dalam ekosistem kejahatan siber global dalam beberapa waktu ke depan.