An der Spitze steht ein Akteur mit dem Pseudonym „zeta88". Er entwickelt und pflegt die Verschlüsselungs-Malware der Gruppe, kuratiert die zugehörigen Werkzeuge und betreibt die gesamte Infrastruktur. Zudem wählt er Ziele aus, weist jeweils zwei oder drei Komplizen für einen Angriff zu und führt Verhandlungen und Auszahlungen.
Die operativen Kräfte sind „qbit" und „quant". Qbit ist auf das Scannen verwundbarer Edge-Geräte, Aufklärung und das Einnisten in angegriffenen Umgebungen spezialisiert, quant auf den Zugang über Protokolldaten und Zugangsdaten. Eine dritte Ebene umfasst sieben weitere Mitglieder, darunter Red-Teamer, einen Access Broker und sogar einen Werbespezialisten. Um diesen Kern von zehn Personen kreist vermutlich eine unbekannte Zahl von Partnern (Affiliates), auch wenn die Stichprobe das nicht belegt.
Zusammengehalten wird die pyramidenartige Struktur durch ein großzügiges Vergütungsmodell: Bei jeder erpressten Zahlung erhält zeta88 zehn Prozent, die übrigen 90 Prozent teilen sich die anderen Beteiligten. Eli Smadja, Group Manager für Produktentwicklung bei Check Point, führt den Erfolg auf die straffe Organisation zurück. „Klare Zuständigkeiten und Arbeitsabläufe schlagen sich unmittelbar in höherer Produktivität nieder – und in ihrem Fall in einer höheren Zahl erfolgreicher Einbrüche", sagt er. Eine zentrale Stärke sei, dass der Hauptadministrator selbst aus dem Affiliate-Umfeld stamme und die Operation von Grund auf verstehe.
The Gentlemen nutzt kritische, bekannte Schwachstellen und kombiniert sie mit fast 30 verschiedenen Werkzeugen rund um die Verschlüsselungssoftware. Dazu zählen Scanner, VPNs, Werkzeuge für den Fernzugriff sowie Techniken zur Umgehung von EDR- und Antivirenprogrammen, etwa die Methode „Bring Your Own Vulnerable Driver". Check Point bezeichnet das Arsenal als „recht ausgereift", wenn auch nicht besonders einzigartig.
Die Mitglieder experimentieren auch mit moderneren Ideen, etwa einem hauseigenen, auf großen Sprachmodellen (LLM) basierenden Programm für vage bösartige Zwecke. Sprachmodelle setzen sie bereits zur Code-Entwicklung ein, doch die praktischen Grenzen heutiger KI bremsen ihre Ambitionen. Nachdem die Gruppe ein Admin-Panel in drei Tagen zusammengebaut hatte, warnte zeta88: „Man muss alles verstehen und wie verrückt mitdenken, selbst mit neuronalen Netzen, denn die sind alle dumm (auch wenn sie klug sind)."
Die Bande verfolgt auch die Konkurrenz, lästert über sie (Dragon Force: cool; Chaos: mittelmäßig) und lernt von ihr. In einem geleakten Chat diskutierte die Gruppe, wie sie aus dem letztjährigen Black-Basta-Leak Nutzen ziehen könne – besonderes Interesse galt dem dortigen Umgang mit Code-Signierung.
Dass das eigene Datenleck anderen Kriminellen viel nütze, hält Smadja für unwahrscheinlich: Nichts darin verrate eine Geheimformel oder einen technischen Vorteil. Denkbar sei höchstens, dass es andere Affiliates zu eigenen RaaS-Operationen anrege – attraktiv sei das aber kaum, da etablierte Gruppen bereits eine 90/10-Aufteilung böten.