En bref

  • Check Point publie une analyse DFIR exposant 1 570 hôtes corporates pilotés depuis un serveur C2 SystemBC lié au groupe Gentlemen.
  • Gentlemen est passé de 35 victimes au Q4 2025 à 182 au Q1 2026, devenant le deuxième groupe ransomware le plus actif du panorama.
  • Le malware utilise des tunnels SOCKS5 chiffrés RC4 et s'intègre à Cobalt Strike pour le mouvement latéral.

Ce qui s'est passé

Dans un rapport DFIR publié le 21 avril 2026, les chercheurs de Check Point décrivent l'analyse d'un incident Gentlemen ayant permis d'identifier et de saisir un serveur de commande et contrôle SystemBC. Le contenu du C2 a révélé un botnet actif de plus de 1 570 hôtes, dont la majorité appartiendrait à des environnements corporates d'après les indicateurs collectés.

SystemBC n'est pas nouveau : documenté depuis 2019, il est historiquement loué comme proxy sur les forums criminels. Son usage systématique par Gentlemen marque une étape. Le malware établit des tunnels SOCKS5 à l'intérieur du réseau victime, puis remonte ses communications vers le C2 via un protocole propriétaire chiffré en RC4. Ces tunnels servent de rebond aux opérateurs, qui pilotent ensuite Cobalt Strike et d'autres outils de post-exploitation.

Apparu en juillet 2025, Gentlemen revendique aujourd'hui plus de 320 victimes sur son site de fuite. Le groupe dispose d'un locker écrit en Go compatible Windows, Linux, NAS et BSD, s'appuie sur des pilotes légitimes pour désactiver l'EDR et pratique la double extorsion classique avec chantage à la publication des données.

Pourquoi c'est important

La trajectoire de Gentlemen illustre la migration du ransomware vers des chaînes d'exploitation entièrement modulaires. Le groupe ne développe plus son propre implant de persistance : il loue SystemBC, combine Cobalt Strike, exploite des drivers signés. Cette approche rend la détection plus difficile, car chaque composant pris isolément peut paraître bénin, et les opérateurs changent de maillon sans casser leur tradecraft.

Pour les équipes SOC, l'enseignement opérationnel est clair : SystemBC utilise des ports non standards et des protocoles binaires chiffrés, ce qui échappe aux inspections TLS classiques. La détection repose désormais sur l'analyse comportementale des processus (spawn anormal, connexions sortantes inhabituelles) et sur la corrélation inter-hôtes au niveau du SIEM.

Ce qu'il faut retenir

  • 1 570 hôtes d'entreprises compromis, exposés par la saisie d'un seul serveur C2 SystemBC.
  • Gentlemen est passé de 35 à 182 revendications en un trimestre, la plus forte croissance du panorama ransomware 2026.
  • Prioriser la détection des tunnels SOCKS5 et des drivers BYOVD, au-delà de la seule signature des loaders connus.

Comment détecter SystemBC dans un réseau d'entreprise ?

Les indicateurs typiques incluent des connexions sortantes sur ports non standards vers des IP sans réputation, des processus Windows légitimes ouvrant des sockets SOCKS5 inattendus, et du trafic binaire chiffré détectable via empreintes JA3/JA4. Les règles Sigma publiées par Check Point et le DFIR Report couvrent les principaux patterns.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact