Los hallazgos recientes de Check Point Research ponen sobre la mesa una realidad inquietante: un botnet basado en el proxy SystemBC con más de 1.570 máquinas activas ha sido identificado en el marco de la investigación de un ataque de la operación de ransomware conocida como Gentlemen. Lo notable no es solo el tamaño de la botnet, sino el perfil de las víctimas: organizaciones y empresas, no consumidores aislados, lo que sugiere una campaña dirigida y con recursos detrás.
Gentlemen apareció a mediados de 2025 como un servicio de ransomware (RaaS) que ofrece herramientas potentes para distintos entornos. Su “locker” escrito en Go puede cifrar Windows, Linux, NAS y BSD; además dispone de una variante en C pensada para hipervisores ESXi. No es una amenaza teórica: el grupo ha sido implicado en incidentes de alto impacto, como la intrusión en uno de los mayores suministradores energéticos de Rumanía el pasado diciembre, y recientemente su nombre apareció en la lista de víctimas publicada tras una violación divulgada por The Adaptavist Group.
La investigación de Check Point revela que, en al menos un caso, un afiliado de Gentlemen intentó usar SystemBC para entregar cargas maliciosas de manera encubierta. SystemBC, una herramienta de proxy SOCKS5 que existe desde al menos 2019, se ha convertido en un componente recurrente en flujos de intrusión operados por humanos porque permite encaminar tráfico y entregar payloads sin trazar la conexión directa hasta el atacante. A pesar de acciones de fuerzas del orden en 2024, la infraestructura sigue activa y, según informes previos de inteligencia, ha sido responsable de grandes volúmenes de servidores comprometidos usados como relés.
Check Point pudo observar telemetría desde el servidor de comando y control de SystemBC que apuntaba a más de 1.570 víctimas distribuidas globalmente; la mayoría, según el análisis, se ubican en Estados Unidos, Reino Unido, Alemania, Australia y Rumanía. Los investigadores no pudieron determinar con certeza cómo encaja SystemBC dentro del ecosistema de Gentlemen —si fue utilizado por un único afiliado o por varios—, pero los indicadores apuntan a una integración más profunda en cadenas de explotación que combinan herramientas maduras de post-explotación y redes proxy.
El patrón de ataque descrito en el informe es típico de campañas sofisticadas: acceso a un Domain Controller con privilegios de administrador de dominio, reconocimiento interno, y despliegue de cargas como Cobalt Strike a través de RPC. La movilidad lateral se sostiene con el robo de credenciales mediante herramientas como Mimikatz y ejecución remota. Para el despliegue final del cifrador, los atacantes suelen preparar el malware en un servidor interno y aprovechar mecanismos nativos como las Políticas de Grupo para ejecutar el ransomware de manera casi simultánea en equipos unidos al dominio. Para detalles técnicos sobre las herramientas mencionadas, vale la pena revisar las fichas de MITRE ATT&CK sobre Cobalt Strike y Mimikatz.
En lo criptográfico, Gentlemen adopta un enfoque híbrido: combina X25519 (una variante de Diffie–Hellman) con XChaCha20 para el cifrado de archivos, generando un par de claves efímero por cada fichero. Los archivos menores a 1 MB suelen ser cifrados por completo; los más grandes reciben un cifrado parcial por bloques (porcentajes pequeños como 9%, 3% o 1%), una técnica que reduce tiempo y coste operativo pero dificulta la recuperación. Antes de cifrar, el malware finaliza procesos de bases de datos, soluciones de backup y máquinas virtuales, y elimina copias sombra y registros, mientras que la variante para ESXi apaga máquinas virtuales para asegurar el acceso exclusivo al almacenamiento.
Que Gentlemen reclute afiliados y promocione su servicio en foros clandestinos no es una novedad en el panorama del cibercrimen, pero la combinación de un RaaS relativamente joven con infraestructuras maduras como SystemBC y marcos de post‑explotación denota un salto de nivel en su capacidad operativa. Los operadores han pasado de pruebas puntuales a ensamblar cadenas de herramientas que reflejan modelos de adversarios experimentados, lo que aumenta el riesgo de ataques exitosos y con impacto empresarial severo.
Para defensores y equipos de respuesta, el informe incluye indicadores de compromiso y una regla YARA proporcionada por Check Point para detección signature‑based, pero la protección exige algo más que firmas. Es imprescindible reforzar controles básicos: segmentación de redes, protección y monitoreo de Domain Controllers, limitación del uso de cuentas con elevados privilegios, controles sólidos de autenticación multifactor y copias de seguridad verificadas y aisladas. Para orientación práctica y medidas de mitigación frente al ransomware, las directrices publicadas por CISA son un buen punto de partida.
Este caso subraya una lección constante: las amenazas evolucionan hacia infraestructuras híbridas y operadas por humanos, lo que exige a las organizaciones no solo detectar y bloquear firmas conocidas, sino instrumentar visibilidad continua, detección de comportamientos anómalos y planes de respuesta probados. Las defensas que confían únicamente en perímetros estáticos y firmas terminarán siendo insuficientes frente a cadenas de ataque compuestas y bien orquestadas.
Para quien quiera profundizar en los detalles técnicos y en las IoC recopiladas, se puede consultar el informe completo de Check Point Research en su página oficial: DFIR report – The Gentlemen. Mantenerse informado y aplicar controles básicos de ciberhigiene sigue siendo, hoy más que nunca, la mejor forma de reducir el riesgo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...