PRODAFT zufolge wurde die Operation von einem russischsprachigen Akteur geführt, den das Unternehmen LARVA-368 nennt. Ihm werden die Online-Aliasse hastalamuerte, ArmCorp, zeta88, nobody0 und santamuerte zugeschrieben. The Gentlemen sei seit März 2025 aktiv. Zuvor soll LARVA-368 nach Einschätzung von PRODAFT Mitglied der Ransomware-Gruppe Embargo gewesen sein, bevor er unter dem Namen ArmCorp eine eigene Operation startete, die vier Monate später in The Gentlemen umbenannt wurde.
Die Identität dieses Akteurs wurde inzwischen vom Cybersicherheitsjournalisten Brian Krebs veröffentlicht. Demnach handelt es sich um den 36-jährigen Alexander Andreevich Yapaev aus der russischen Stadt Ischewsk. PRODAFT erklärte gegenüber The Hacker News, die eigenen Erkenntnisse passten mit hoher Sicherheit zu derselben Person.
Laut PRODAFT vollzog Phantom Mantis im Juli 2025 den Übergang zu The Gentlemen als unabhängigem Partnerprogramm. Zuvor hatte die Gruppe als Affiliate gearbeitet und für Doppel-Erpressung auf Ressourcen anderer RaaS-Angebote zurückgegriffen, darunter LockBit, Qilin und Medusa. PRODAFT zufolge setzt LARVA-368 künstliche Intelligenz stark für Entwicklung und Wartung der Ransomware, für Werkzeuge sowie zur Unterstützung von Post-Exploitation-Abläufen ein.
Wie Dark Atlas im August 2025 berichtete, fiel der Strategiewechsel mit einem Zahlungsstreit zwischen LARVA-368 und Qilin zusammen. Dem Bericht zufolge warf der Akteur der RaaS-Operation einen Exit-Betrug vor und beschuldigte sie, ihn um 48.000 US-Dollar gebracht zu haben. PRODAFT ergänzte, Phantom Mantis habe in weniger als 30 Tagen mehr als 20 Ziele in seinem Affiliate-Panel registriert. Zugleich hätten LARVA-368 und LARVA-367 alias DevMan, ein früheres Mitglied von Phantom Mantis, behauptet, Qilin betrüge Affiliates und in den Opfer-Chats des Affiliate-Panels existiere eine angebliche Hintertür. PRODAFT betonte jedoch, diese Vorwürfe nicht bestätigt zu haben; möglich sei auch eine gezielte Desinformationskampagne gewesen, um Qilin-Affiliates für Phantom Mantis zu gewinnen.
Weitere Einblicke in die Arbeitsweise der Gruppe lieferte im vergangenen Monat ein Leak einer internen Rocket.Chat-Datenbank mit 3.366 Nachrichten aus dem Zeitraum zwischen November 2025 und Ende April 2026. Nach Angaben im Quelltext zeigt das Material den Einsatz bekannter Sicherheitslücken in VMware Aria Operations sowie in Software von Fortinet, Cisco und Microsoft. Zugleich zeichne es das Bild eines kriminellen Unternehmens mit klar verteilter Rollen- und Aufgabenstruktur.
Check Point erklärte, die Gruppe verfolge und bewerte aktiv moderne Schwachstellen, darunter CVE-2024-55591, CVE-2025-32433 und CVE-2025-33073. Kombiniert würden diese mit technikgetriebenen Vorgehensweisen wie dem Missbrauch von Backup- und Management-Controllern sowie NTLM-Relay-Abläufen. Dadurch verfüge die Gruppe über eine flexible Angriffskette.
Hunt.io meldete zudem, im März 2026 ein offenes Verzeichnis unter „176.120.22[.]127:80“ entdeckt zu haben, das beim russischen Bulletproof-Hosting-Anbieter Proton66 gehostet war. Dort lagen 126 Dateien, die einem The-Gentlemen-RaaS-Affiliate zugeschrieben werden und einen vollständigen Werkzeugkasten für Ransomware-Betreiber offenlegten. Enthalten waren Werkzeuge für Aufklärung, Privilegienausweitung, Umgehung von Schutzmechanismen, Diebstahl von Zugangsdaten, laterale Bewegung, Persistenz und Vorbereitungen vor der Verschlüsselung.
PRODAFT beschreibt LARVA-368 als Akteur, der sich auf erpressungsbezogene Aktivitäten spezialisiert hat und mindestens seit 2020 aktiv ist. Die bei früheren Kooperationen mit verschiedenen RaaS-Gruppen erworbene Erfahrung habe die technische Grundlage für den Aufbau von The Gentlemen RaaS geschaffen.