The Gentlemen: Dari Konflik Gaji RaaS Menjadi Salah Satu Ransomware Paling Berbahaya di 2026

Ada ironi tersendiri dalam kisah The Gentlemen. Kelompok ransomware yang kini mencuri perhatian seluruh komunitas keamanan siber dunia ini lahir bukan dari ambisius perencana yang membangun operasi dari nol — melainkan dari perselisihan gaji.

Pada pertengahan 2025, sebuah kelompok affiliate yang dikenal sebagai Phantom Mantis memutuskan hubungan dengan Qilin RaaS setelah konflik internal soal pembagian hasil. Keputusan itu ternyata menghasilkan sesuatu yang jauh lebih berbahaya: operasi ransomware mandiri bernama The Gentlemen, yang dalam waktu kurang dari satu tahun berhasil mengklaim 478 korban di 66 negara dan lebih dari 20 sektor industri.

Yang lebih mengkhawatirkan bagi kawasan ini: Asia Pasifik menjadi wilayah yang paling banyak diserang, menyumbang hampir 46% dari seluruh kasus global.

Asal Usul: Dari Ekosistem RaaS ke Operasi Mandiri

Sebelum menjadi The Gentlemen, kelompok ini beroperasi di bawah identitas Phantom Mantis — sebuah affiliate aktif yang memanfaatkan infrastruktur dari tiga nama besar RaaS:

• LockBit (dikenal sebagai Tenacious Mantis di ekosistem internal)
• Qilin (Pestilent Mantis)
• Medusa (Venomous Mantis)

Konflik pembayaran dengan Qilin pada Juli 2025 mendorong kelompok ini keluar dan mendirikan program afiliasi independen mereka sendiri. Langkah ini ternyata justru mempercepat pertumbuhan: dengan menawarkan bagi hasil 90% kepada afiliasi — angka tertinggi yang pernah tercatat di industri ransomware — The Gentlemen berhasil menarik rekrutan berkualitas dalam waktu singkat.

Halcyon, perusahaan keamanan yang pertama kali mendokumentasikan kelompok ini secara mendalam, mencatat bahwa The Gentlemen adalah kelompok ransomware yang tumbuh paling cepat yang pernah mereka amati. Tim inti diperkirakan berjumlah sekitar 20 orang, banyak di antaranya memiliki pengalaman sebelumnya di ekosistem ransomware yang sudah mapan.

Skala Serangan: Angka yang Sulit Diabaikan

Sepuluh persen pangsa aktivitas ransomware global dalam satu bulan adalah angka yang luar biasa untuk kelompok yang baru berdiri kurang dari setahun. Sebagai perbandingan, LockBit butuh bertahun-tahun untuk mencapai dominasi serupa.

Teknik Serangan: Tiga Lapisan yang Saling Menguatkan

Lapisan 1 — Initial Access: FortiGate sebagai Pintu Masuk Favorit

The Gentlemen memiliki preferensi yang sangat jelas untuk jalur masuk: perangkat edge Fortinet dan Cisco yang menghadap internet, terutama firewall dan VPN appliance.

Vektor utama:

CVE-2024-55591 — Authentication bypass di FortiOS dan FortiProxy dengan CVSS 9.6. Kerentanan ini memungkinkan penyerang mengeksekusi perintah sebagai super-admin tanpa autentikasi. The Gentlemen secara aktif mengeksploitasi celah ini sebagai titik masuk pertama.

Brute Force Kredensial VPN — Di luar eksploitasi CVE, kelompok ini juga melakukan brute force terhadap ribuan endpoint VPN Fortinet menggunakan daftar password yang dikurasi secara operasional. Yang mengejutkan: password seperti gentlemen25 dan gentle26 ditemukan berhasil digunakan di banyak korban berbeda — mengindikasikan penggunaan ulang password yang sangat umum di kalangan pengguna FortiGate.

Dashboard Intelijen Real-Time — The Gentlemen mempertahankan inventaris aktif sekitar 14.700 perangkat FortiGate yang sudah mereka kompromis, disajikan dalam dashboard HTML live yang menampilkan status keterjangkauan, nama perangkat, dan tautan login langsung. Dashboard ini tersedia untuk semua afiliasi, menjadikan akses ke target baru semudah memilih dari menu.

Lapisan 2 — Command & Control: G-BOT, Pengganti Cobalt Strike

Setelah akses awal diperoleh, The Gentlemen tidak menggunakan tool komersial seperti Cobalt Strike yang sudah dikenal luas oleh sistem pertahanan. Mereka mengembangkan sendiri framework C2 bernama G-BOT.

Kapabilitas G-BOT:

• Per-beacon SOCKS5 tunneling — setiap endpoint yang terinfeksi bisa dijadikan proxy SOCKS5 secara independen
• Builder upload otomatis ke situs file-sharing sementara untuk distribusi payload
• Anti-forensic — dirancang untuk meminimalkan jejak di sistem yang terinfeksi
• Defense evasion — menghindari deteksi solusi EDR mainstream

Pengembangan G-BOT sendiri menunjukkan tingkat komitmen teknis yang tidak biasa untuk kelompok seumur mereka. Ini bukan operasi opportunistik yang mengandalkan tool yang sudah ada — ini adalah kelompok yang berinvestasi dalam infrastruktur jangka panjang.

Lapisan 3 — Eksekusi: Worm yang Bisa Berjalan Sendiri

Inilah yang membedakan The Gentlemen dari kebanyakan ransomware lain: kemampuan propagasi mandiri seperti worm.

Ransomware konvensional membutuhkan operator untuk secara manual berpindah dari satu mesin ke mesin lain (lateral movement) sebelum mengeksekusi enkripsi. The Gentlemen memiliki argumen --wipe yang, sekali diaktifkan, memungkinkan payload menyebar secara otomatis ke seluruh jaringan menggunakan:

1. Kredensial yang sudah dipanen dari sistem yang terinfeksi sebelumnya
2. Token sesi aktif dari akun yang sedang login

Hasilnya: dalam hitungan menit setelah eksekusi pertama, seluruh segmen jaringan yang terhubung bisa terenkripsi sebelum tim IT bahkan sempat mendeteksi anomali.

Double Extortion: Tekanan Berlapis

The Gentlemen mengoperasikan model double extortion yang sudah menjadi standar industri ransomware modern:

Fase 1 — Exfiltration: Sebelum enkripsi dimulai, seluruh data sensitif yang dapat dijangkau — dokumen keuangan, data pelanggan, kode sumber, komunikasi internal — dieksfiltrasi ke infrastruktur The Gentlemen.

Fase 2 — Encryption: Payload ransomware dijalankan, mengunci akses ke seluruh sistem yang terjangkau.

Fase 3 — Pressure: Korban menghadapi dua ancaman sekaligus: gangguan operasional dari enkripsi, dan ancaman publikasi data di situs kebocoran mereka jika tebusan tidak dibayar.

Model ini sangat efektif karena bahkan korban yang memiliki backup yang baik masih terancam oleh publikasi data — mendorong banyak organisasi untuk tetap membayar meskipun secara teknis bisa memulihkan sistem mereka sendiri.

Profil Korban: Siapa yang Paling Berisiko?

Berdasarkan Sektor

CSO Online mencatat bahwa The Gentlemen secara khusus menaikkan taruhan bagi sektor dengan infrastruktur OT (Operational Technology). Serangan pada sistem OT tidak hanya mengganggu operasi bisnis — tetapi berpotensi berdampak pada proses fisik seperti produksi, distribusi energi, atau fasilitas kesehatan.

Berdasarkan Geografi

Asia Pasifik menjadi target paling terpukul dengan hampir setengah dari seluruh korban global. Thailand memimpin dengan 27 korban terkonfirmasi, diikuti oleh negara-negara Asia Tenggara lainnya.

Satu catatan penting yang konsisten dengan kelompok berbahasa Rusia lainnya: The Gentlemen secara eksplisit melarang serangan terhadap target di Rusia dan negara-negara CIS (Commonwealth of Independent States). Pembatasan ini bukan etika — ini adalah perlindungan diri dari penuntutan hukum domestik.

Implikasi untuk Indonesia

Indonesia belum muncul dalam laporan korban yang dipublikasikan secara terbuka, namun ada beberapa faktor yang menempatkan organisasi Indonesia dalam posisi berisiko tinggi:

Penetrasi FortiGate yang luas — Fortinet adalah salah satu vendor firewall dan VPN enterprise paling banyak digunakan di Indonesia, khususnya di sektor perbankan, telekomunikasi, dan pemerintahan.

Posisi geografis — Indonesia adalah bagian dari kawasan Asia Pasifik yang sudah menjadi fokus utama The Gentlemen. Dengan 46% korban dari kawasan ini, jarak antara “target tetangga” dan “target Indonesia” semakin tipis.

Praktik keamanan dasar yang belum merata — Penggunaan password generik dan lambatnya adopsi patch adalah masalah yang umum ditemukan di organisasi Indonesia dari berbagai skala.

Sektor yang cocok dengan pola serangan — IT services, manufaktur, dan keuangan adalah tiga dari lima sektor yang paling banyak diserang, dan ketiganya merupakan sektor besar di Indonesia.

Mitigasi: Langkah Prioritas

Prioritas Kritis (Lakukan Sekarang)

1. Patch FortiOS ke versi terbaru

CVE-2024-55591 adalah kerentanan dengan CVSS 9.6 yang sudah dieksploitasi secara massal. Tidak ada alasan untuk menunda patch ini.

# Di FortiGate CLI — verifikasi versi yang berjalan
get system status | grep Version

# Target: FortiOS 7.0.16+, 7.2.9+, 7.4.4+, atau 6.4.x (sudah di-patch)

2. Audit dan rotasi semua kredensial VPN

Pastikan tidak ada password generik atau sederhana di akun VPN. Daftar yang diketahui digunakan The Gentlemen:

gentlemen25
gentle26
[username][tahun]
[namaorganisasi][angka]

3. Batasi akses management interface

# Di FortiGate — batasi akses admin hanya dari IP tepercaya
config system interface
  edit "mgmt"
    set allowaccess ping https ssh
    set trust-ip-1 [IP-TEPERCAYA]/32
  next
end

4. Aktifkan MFA untuk semua akun VPN

Prioritas Tinggi (Dalam 48 Jam)

5. Audit log akses FortiGate untuk anomali

Cari tanda-tanda awal kompromi:

# Log FortiGate — autentikasi mencurigakan
execute log filter category event
execute log filter field action login
execute log display

Perhatikan:

• Login dari IP asing atau negara yang tidak diharapkan
• Login di luar jam kerja normal
• Percobaan autentikasi yang gagal dalam jumlah besar diikuti login berhasil

6. Segmentasi jaringan ketat

Kemampuan worm The Gentlemen bergantung pada jaringan yang flat atau kurang tersegmentasi. VLAN yang terpisah antara sistem kritikal, workstation, dan server dapat membatasi radius ledakan secara signifikan.

7. Backup yang terisolasi (air-gapped)

Backup yang terhubung ke jaringan sama rentan dengan worm propagation. Pastikan ada salinan backup yang tidak dapat dijangkau dari jaringan utama.

Indikator Kompromi (IOCs)

Pola yang Perlu Dimonitor

# Nama password yang diketahui digunakan
gentlemen25
gentle26

# Argumen payload yang mencurigakan
--wipe [dengan atau tanpa parameter tambahan]

# Ekstensi file yang dienkripsi
*.gentl
*.gtlmn

# Direktori yang umum dijadikan target eksfiltrasi
C:\Users\*\Documents\
C:\Users\*\Desktop\
\\[server]\Finance\
\\[server]\HR\

Jaringan

Hindari koneksi keluar yang tidak biasa ke:

• Layanan file-sharing publik (temporary upload sites)
• IP dalam range hosting VPS yang umum digunakan kelompok ini (dokumentasi IOC terus diperbarui oleh Halcyon dan Intel 471)

Kesimpulan

The Gentlemen adalah bukti bahwa ekosistem ransomware terus berevolusi dengan kecepatan yang mengkhawatirkan. Dari konflik gaji yang tampak remeh, lahir operasi yang dalam kurang dari setahun berhasil menempatkan diri sebagai ancaman top-10 global.

Yang paling perlu digarisbawahi untuk organisasi di Indonesia:

Pertama, FortiGate yang belum di-patch dan menggunakan password generik bukan sekadar risiko teknis — ini adalah undangan terbuka bagi kelompok yang sudah mempertahankan inventaris 14.700 perangkat siap dieksploitasi.

Kedua, kemampuan worm propagation mengubah kalkulasi risiko secara fundamental. Satu endpoint yang terkompromis bukan lagi insiden terisolasi — ini adalah benih yang bisa tumbuh menjadi enkripsi seluruh jaringan dalam hitungan menit.

Ketiga, Asia Pasifik sudah menjadi fokus utama. Menunggu sampai ada korban Indonesia yang terkonfirmasi sebelum bertindak adalah strategi yang sangat berisiko.

Sumber: The Hacker News, Halcyon Threat Assessment — The Gentlemen, Intel 471 — Gentlemen Ransomware, Rescana Analysis, CSO Online — OT Sector Risk, BankInfoSecurity — Asia Pacific Targeting