一個名為「The Gentlemen」（紳士）的勒索軟體團夥，雖然名稱聽來斯文，實際卻以驚人速度與高 sophistication 在勒索軟體生態系中迅速竄起。自2025年中登場以來，短短數月已宣稱數百名受害者，成為今年最值得關注的新興RaaS（Ransomware-as-a-Service）勢力之一。

 

Check Point Research本週發布最新分析指出，The Gentlemen採用典型的雙重勒索手法（同時加密檔案與外洩資料），但其戰術、技術與程序（TTPs）相當成熟，包括使用防毒軟體殺手（antivirus killers）與複雜感染鏈。研究人員發現，該團夥大量運用名為SystemBC的代理惡意軟體，該工具常被人工操作的勒索軟體行動用來建立隱密通道與傳遞 payload。

 

Check Point透過受害者遙測資料，觀察到連線至SystemBC C2伺服器的殭屍網路規模超過1,570個受害主機，且感染輪廓明顯以企業與組織環境為主，而非隨機鎖定一般消費者的機會型攻擊。

 

根據Comparitech研究，The Gentlemen在上季宣稱202起攻擊，僅次於Qilin的353起；NCC Group則統計其1月發動34起、2月達67起，攻擊頻率已能與Cl0p、Akira等老牌團夥並駕齊驅。NCC Group資安威脅情報分析師Dillon Ashmore表示，The Gentlemen展現出「鞏固自身在勒索軟體生態系中主流地位的所有特徵」，與2023年崛起的DragonForce有相似之處，但規模與成熟度遠超過後者在同階段的表現。

 

「DragonForce花了近兩年才超過150名受害者，而The Gentlemen僅用九個月就突破此門檻。」Ashmore指出，這不僅是速度與數量的差異，更顯示該團夥能維持高強度活動，卻未出現常見的附屬成員叛離、基礎設施遭查扣或內部糾紛等典型阻礙。

 

攻擊流程方面，The Gentlemen附屬成員取得初始存取權後，會先在受感染主機部署SystemBC，建立SOCK5網路通道並連線至C2伺服器，接著下載並執行後續惡意payload。研究顯示，攻擊者最早在具管理員權限的網域控制器（Domain Controller）現蹤，利用該立足點進行網路偵察、橫向移動，並透過Active Directory的Group Policy基礎架構，同步在整個網域的所有電腦引爆勒索軟體，這被研究人員稱為「最強大且影響範圍最廣的部署方式」。

 

The Gentlemen的勒索軟體以Go語言撰寫，並持續開發中。除了加密與資料外洩功能外，還具備禁用Windows Defender、防火牆、C槽掃描等持久化機制，並支援RDP與AnyDesk遠端工具。此外，該團夥特別開發了針對VMware ESXi主機的變種版本，能在關閉所有虛擬機器並禁用自動恢復後執行加密，且多數防毒軟體目前仍無法偵測。

 

Check Point產品研發群組經理Eli Smadja指出，The Gentlemen將勒索所得的90%分給附屬成員，這種高分成比例使其對附屬成員極具吸引力，有望持續成為熱門RaaS選擇之一。

 

然而，GuidePoint Security威脅情報資深顧問Jason Baker提醒，雖然The Gentlemen展現出長期經營的潛力，但在某些細節上仍顯稚嫩，例如使用qTox或Session等應用程式與受害者談判，而非專用聊天系統；同時仍在Twitter/X上活動，這對成熟勒索團夥而言屬不必要的OPSEC風險。此外，部分附屬成員仍使用已逐漸被偵測機制淘汰的Cobalt Strike工具。

 

儘管存在這些弱點，The Gentlemen的快速崛起仍令資安界警鈴大作。Comparitech資料研究主管Rebecca Moody直言，「The Gentlemen是今年最需要密切關注的勒索軟體團夥之一」，其受害者輪廓主要鎖定政府機關、教育機構、醫療院所與製造業，對全球企業構成重大威脅。

 

Check Point建議防禦者應密切監控所有對外開放的網路資產，並強化網路分段；同時維持作業系統與應用程式更新、推動資安意識訓練，並實施持續性網路監控。該團夥的攻擊也再次凸顯網域控制器與Group Policy的安全重要性，企業應嚴格控管管理員權限並實施零信任原則。

 

對台灣企業而言，此事件值得高度重視。台灣擁有眾多科技製造、半導體、醫療與政府數位服務單位，正是The Gentlemen等新興RaaS團夥偏好的高價值目標。企業應立即檢視Active Directory架構安全性、強化端點偵測與回應（EDR）能力，並嚴格管控網域控制器存取權限，避免單一立足點即導致全網域同時遭加密的災難性後果。

 

Check Point研究報告已公布相關入侵指標（IoCs），建議台灣資安團隊盡速導入並加強監控。

 

The Gentlemen的快速竄起，再度證明勒索軟體生態系的門檻雖高，但只要具備完善附屬計畫、強大技術能力與高效運作模式，新興團夥就能在短時間內對全球企業造成嚴重衝擊。企業唯有持續提升防禦層級，才能在這場持續進化的網路戰中守住關鍵資產。

 

 

出處：本文根據Dark Reading資深記者Alexander Culafi於2026年4月23日刊登的報導《'The Gentlemen' Rapidly Rises to Ransomware Prominence》改寫整理。