Het ransomware‑as‑a‑service (RaaS) programma The Gentlemen wint snel aan populariteit en claimt publiekelijk meer dan 320 slachtoffers, waarvan het merendeel (240) in de eerste maanden van 2026 is getroffen. Het platform biedt een breed scala aan ransomware-lockers, geschreven in Go voor Windows, Linux, NAS en BSD, en een extra locker in C voor ESXi. Hiermee kan het meerdere platformen bedienen die vaak in zakelijke omgevingen voorkomen.

Tijdens een incident response-onderzoek probeerde een affiliate van The Gentlemen de proxy-malware SystemBC te installeren. Deze malware wordt vaak ingezet bij door mensen bediende ransomware-operaties voor het opzetten van covert tunnels en het afleveren van payloads. Check Point Research observeerde via de command-and-control server van SystemBC een botnet met meer dan 1.570 geïnfecteerde systemen. De infectiepatronen wijzen vooral op een focus op bedrijven en organisaties, in plaats van op consumenten.

The Gentlemen RaaS is een relatief nieuwe groep die medio 2025 is ontstaan. De exploitanten promoten hun diensten op diverse underground forums en nodigen technisch vaardige personen uit om als affiliate aan te sluiten. Affiliates krijgen toegang tot multi-OS lockers en tools om endpoint detection and response (EDR) te omzeilen, evenals een multi-chain infrastructuur voor pivoting. Gegevens van slachtoffers die niet betalen worden gepubliceerd op een onion site, terwijl onderhandelingen via individuele Tox ID’s verlopen. Daarnaast onderhoudt de groep een Twitter/X-account waarop zij slachtoffers publiekelijk noemen om druk uit te oefenen.

SystemBC creëert SOCKS5-netwerktunnels binnen het geïnfecteerde netwerk en communiceert met de C&C-server via een eigen RC4-versleuteld protocol. Het kan extra malware downloaden en uitvoeren, zowel op schijf als in het geheugen. De gebruikte C&C-server had wereldwijd meer dan 1.570 slachtoffers, voornamelijk bedrijven en organisaties, wat aansluit bij het gebruik van SystemBC in menselijk bediende ransomware-aanvallen.