젠틀맨 랜섬웨어, 478명 피해자 발생·웜처럼 전파 가능

Source: The Hacker News

새로운 The Gentlemen 작전 분석에 따르면, 금전적 동기를 가진 위협 그룹은 처음에 이중 갈취 공격을 수행하는 제휴사로 활동했으며, 다양한 랜섬웨어‑as‑a‑Service(RaaS) 스킴인 LockBit(일명 Tenacious Mantis), Qilin(일명 Pestilent Mantis), Medusa(일명 Venomous Mantis) 등에서 자원을 활용했습니다.

PRODAFT가 발표한 상세 보고서에 따르면, 이 그룹은 Phantom Mantis라는 이름으로 추적되며, 러시아어를 구사하는 사이버 범죄자 LARVA‑368이 이끌고 있습니다. 그는 온라인 별명으로 hastalamuerte, ArmCorp, zeta88, nobody0, santamuerte를 사용합니다. The Gentlemen은 2025년 3월부터 활동해 왔으며, 현재까지 총 478건의 피해자를 기록했다고 Ransomware.Live 데이터가 보여줍니다.

스위스 사이버 보안 기업은 “2025년 7월, Phantom Mantis는 The Gentlemen이라는 독립 파트너십 프로그램으로 전환했으며, 이제는 다른 RaaS 그룹에 의존하지 않는다”고 밝혔습니다. “또한 LARVA‑368은 랜섬웨어와 도구 개발·유지를 위해 인공지능을 대폭 활용하고, 사후 침투 절차에도 AI를 이용한다”고 덧붙였습니다.

LARVA‑368에 관해선, 이 위협 행위자는 Embargo(일명 Primeval Mantis) 랜섬웨어 그룹의 일원이었다가 ArmCorp라는 이름으로 자체 작전을 시작했으며, 4개월 뒤 The Gentlemen으로 브랜드를 바꾼 것으로 평가됩니다.

이 개인의 신원은 사이버 보안 저널리스트 브라이언 크레브스가 보도한 바에 따르면, 러시아 이즈헤프스크 출신 36세 알렉산더 안드레예비치 야파예프(Япаев Алексанр Андреевич)로 밝혀졌습니다. PRODAFT는 The Hacker News에 “우리의 조사 결과와 동일 인물이라는 높은 신뢰도로 판단한다”고 전했습니다.

Dark Atlas가 2025년 8월에 상세히 보도한 바에 따르면, 이번 전환은 LARVA‑368과 Qilin 사이의 결제 분쟁과 동시에 일어났으며, 위협 행위자는 해당 RaaS 운영이 탈퇴 사기(exit scam)를 저질렀고 48,000달러를 사취했다고 비난했습니다.

“Phantom Mantis는 30일 이내에 제휴 패널에 20개 이상의 목표를 등록한 매우 활발한 제휴 그룹이었지만, 그룹 관리자(LARVA‑368)와 전 Phantom Mantis 멤버인 LARVA‑367(일명 DevMan)은 Pestilent Mantis가 제휴자를 사기치고, 해당 제휴 패널 피해자 채팅에 ‘백도어’가 존재한다는 주장을 했습니다”라고 PRODAFT는 언급했습니다.

“우리는 이 주장을 확인하지 못했지만, LARVA‑368과 LARVA‑367이 의도적으로 허위 정보를 퍼뜨려 Pestilent Mantis 제휴자를 Phantom Mantis로 끌어들이려는 목적이 있었을 가능성이 있습니다.”

Phantom Mantis는 또한 언더그라운드 포럼에서 프리미엄 계정을 구매해 가시성을 높이고 경쟁자를 차단하는 모습을 보였으며, 그룹의 커뮤니케이션 및 기술 지원은 ‘The Gentlemen Data’라는 별도의 러시아어 구사 인물이 담당했습니다.

다양한 보고서에서 정리된 갈취 스킴의 주요 특징은 다음과 같습니다.

• 지난해 말 LevelBlue의 Cybereason 팀은 [The Gentlemen을](https://www.cybereason.com/blog