Die Check Point Research-Analysten, die Teile des geleakten Materials untersuchten, gewannen faszinierende Einblicke in die Hierarchie und Arbeitsweise der Bande. An der Spitze steht der unter dem Pseudonym „zeta88” bekannte Anführer, der nicht nur die Locker-Malware entwickelt und wartet, sondern auch die gesamte Infrastruktur verwaltet. Zeta88 wählt Ziele aus, weist zwei bis drei weitere Bandenmitglieder für deren Kompromittierung zu und leitet Verhandlungen sowie Auszahlungen. Ein besonders interessantes Detail: Das Geschäftsmodell funktioniert nach einer 10-zu-90-Regel. Während zeta88 zehn Prozent jeder Erpressung erhält, teilen die anderen beteiligten Hacker die verbleibenden neunzig Prozent unter sich auf.
Die operative Struktur umfasst zehn Kernmitglieder mit definierten Rollen. Neben zeta88 agieren „qbit” und „quant” als Operationsleiter – qbit konzentriert sich auf das Scannen anfälliger Edge-Geräte und die Herstellung von Persistenz, während quant sich auf Zugang über Log-Dateien und Anmeldeinformationen spezialisiert. Eine Gruppe von sieben weiteren Mitarbeitern umfasst Penetrationstester, einen Access-Broker und sogar einen Werbefachmann.
Besonders bemerkenswert ist, dass The Gentlemen Fast-30 verschiedene Werkzeuge zur Unterstützung ihrer Locker-Malware einsetzt. Die Bande nutzt bekannte, kritische Schwachstellen aus und setzt auf etablierte Exploitationstechniken. Zur Umgehung von Endpoint Detection and Response (EDR) und Antivirus-Programmen kommen auch „Bring-Your-Own-Vulnerable-Driver”-Taktiken zum Einsatz – eine Methode, die mittlerweile weit verbreitet ist.
Ein faszinierendes Detail aus den geleakten Chats: The Gentlemen experimentiert mit Large Language Models (LLMs) für Malware-Entwicklung. Zeta88 berichtete stolz, ein Admin-Panel in drei Tagen „vibe-coded” zu haben, räumte aber auch die Grenzen der KI ein: „Man muss alles verstehen und verrückt denken, selbst mit neuronalen Netzen, denn sie sind alle dumm (auch wenn sie klug wirken).”
Die Sicherheitsexperten von Check Point bewerten das Risiko einer massiven Betriebsunterbrechung als gering. Die geleakten Informationen offenbaren keine revolutionäre technische Geheimformel. Allerdings könnte das Leck andere kriminelle Gruppen dazu inspirieren, eigene Ransomware-as-a-Service-Operationen zu gründen – obwohl bereits etablierte Banden ähnliche Gewinnbeteiligungen anbieten.