本文针对泰国领先的汽车制造企业——泰国荣联汽车股份有限公司(Thai Rung Union Car Public Company Limited,简称TRU)近期遭受The Gentlemen(绅士)勒索软件攻击事件,六方云结合第三方威胁情报及专业机构的安全分析,从事件破坏影响、发展时间轴线、攻击者TTPs、攻击者画像四个维度展开深度剖析,为关键制造业供应链安全提供实战参考。
泰国整车研发与代工核心企业TRU遭受The Gentlemen勒索软件团伙的网络攻击事件不仅直接导致企业内部IT与生产调度系统中断,更因攻击者采用了极具破坏性的“供应链通知”策略,对TRU的商业信誉、法律合规及东南亚汽车供应链造成了深远影响。
1.1 核心生产与机密数据大规模泄露
The Gentlemen称成功窃取了TRU内部超过1TB的敏感数据。根据暗网泄露站(DLS)公布的证据,泄露数据涵盖了高度机密的车辆设计图纸(涉及多个国际品牌的代工规格)、供应链采购合同、财务审计底稿,以及数千名员工的护照扫描件和个人身份信息(PII),这意味着TRU企业面临极其严重的数据资产流失风险。
1.2 生产调度系统受冲击,影响生产交付
汽车制造业高度依赖准时化生产(JIT)。此次攻击中,TRU的底层虚拟化环境(ESXi服务器)遭到定向加密,导致企业资源计划(ERP)系统与物流管理系统大面积离线。IT系统的瘫痪将直接向OT(运营技术)层传导,迫使部分生产线降级为手动调度,这种情形将严重威胁其为如五十铃、丰田等国际客户代工的交付周期。
1.3 触发泰国相关法律,面临合规危机
泰国《个人数据保护法》(PDPA)在2026年进入严格执法期。The Gentlemen团伙若泄露所获取的的大量员工和客户隐私数据,基于这一法律将可能导致TRU面临高达500万泰铢的顶格行政罚款,还有可能面临潜在的集体诉讼。这种“合规武器化”使得企业的损失远超单纯的系统恢复成本。
1.4 “供应链通知”,引发信任危机
与传统勒索不同,The Gentlemen利用TRU的邮件系统,自动向其一级供应商和原始设备制造商发送“数据已受控”的威胁邮件。这种越过受害者直接向其供应链施压的行为,严重破坏了TRU与跨国车企之间的保密协议(NDA)和商业信任,将造成难以估量的品牌声誉折损。
事件发展时间轴线
本时间轴线基于威胁情报平台(如Breachsense、Group-IB)的取证指纹结合对该组织的战术研究整合,按照时间发展顺序梳理核心时间节点。
2.1 初始渗透与潜伏(推测2026年3月下旬至4月初)
综合Group-IB 关于 The Gentlemen 利用 Fortinet 漏洞的季度趋势报告推测,The Gentlemen利用暴露在公网的SSL VPN漏洞(如CVE-2024-55591),获取TRU网络边界的初始访问权限。随后,植入基于Golang的隐蔽信标,在内网潜伏并缓慢外传(Exfiltration)核心数据,以规避流量监控设备的异常告警。
2.2 数据窃取与横向移动(推测2026年4月上旬)
The Gentlemen利用抓取到的域管理员凭证在内网迅速横向移动,并利用自动化脚本扫描ERP系统和邮件服务器,精准锁定并提取供应链合同及合作伙伴联系方式。
2.3 勒索爆发与系统瘫痪(2026年4月8日前)
在完成TB级数据窃取后,攻击者利用活动目录(AD)的组策略(GPO)全网下发勒索载荷。The Gentlemen在内核层强制关闭安全防护软件后,对Windows终端及ESXi虚拟化集群执行全面加密,导致业务系统陷入瘫痪。
2.4 暗网曝光与供应链施压(2026年4月8日-9日)
The Gentlemen团伙将其暗网泄露站(DLS)更新,正式将“Thai Rung Union Car”列为受害者,并释出包含图纸、护照的截图作为“黑客证据”。同时,其自动化邮件系统“Notify-Next”开始向TRU的供应链合作伙伴发送勒索通告。
2.5 业界预警与持续发酵(2026年4月10日及之后)
全球多家威胁情报机构将此事件录入违约数据库。截至目前,TRU官方未公开发布详细技术声明,系统恢复与定损工作仍在进行中。
The Gentlemen勒索软件团伙在针对TRU的攻击中,展现了高度的产业化特征与防御对抗意图,其TTPs不仅继承了Qilin团伙的强对抗属性,更突出极高的工业针对性,结合The Gentlemen的相关事件拆解战术技术如下。
3.1 战术层面
3.1.1 供应链深度渗透与“三重勒索”战术在传统的“加密系统+窃取数据”双重勒索基础上,引入供应链协同施压机制。The Gentlemen在获取TRU内网权限后,利用其合法的邮件通信链路,自动化向其供应商发送勒索通告。该战术旨在通过人为制造“商业违约”风险和供应链信任危机,从外部向TRU施加舆论与公关压力,迫使其为保护合作伙伴数据而支付赎金。
3.1.2 法律合规“武器化”战术以本次事件为例,The Gentlemen团伙结合泰国《个人数据保护法》(PDPA)的执法背景对TRU实施精准打击。在数据筛选阶段,The Gentlemen识别并提取员工PII(个人身份信息)、财务审计底稿及跨国代工合同,并在勒索信中明确列出若数据泄露企业将面临的行政罚款金额上限。通过将勒索赎金伪装成“合规风险抵消成本”,精准切中企业高层的合规痛点。
3.2 技术层面
3.2.1 基于BYOVD的内核级防御规避技术采用“自带漏洞驱动”(Bring Your Own Vulnerable Driver)手段终结安全防护。攻击者加载带有合法数字签名但存在已知漏洞的驱动程序(如关联 CVE-2025-7771 的驱动文件),在Windows内核态(Ring 0)强制关闭TRU终端上部署的EDR和反病毒进程。该技术使勒索载荷能够在杀伤链后期处于“安全监控真空”状态下运行。
3.2.2 跨平台Go语言加密技术(针对虚拟化层)利用Go语言的高移植性,部署针对性极强的跨平台加密器。除了攻击常规Windows工作站外,重点针对TRU的底层虚拟化架构,挂载专门的 Linux/ESXi 加密模块。通过直接锁定承载ERP和生产数据库的虚拟机磁盘文件(.vmdk),实现对企业核心生产调度系统的“一键瘫痪”。
3.2.3 参数化执行的抗沙箱分析技术载荷执行逻辑具备强对抗性。勒索载荷在运行时要求必须输入特定的8字节硬编码密钥参数(如 --key <8_char_string>),否则程序将自动终止或表现为无害化逻辑。这一机制能有效绕过大多数基于自动化模拟环境的沙箱动态行为分析,确保恶意行为仅在受害者真实环境中触发。
3.3 程序层面
3.3.1 自动化供应链通知程序The Gentlemen会部署定制化的Python脚本。该程序在内网阶段自动解析Exchange或Outlook数据库,根据关键词(如“Contract”、“OEM”)提取外部协作邮箱。在加密完成后,利用受害企业的合法邮件服务器(SMTP接口)群发勒索声明,确保邮件能够通过反垃圾邮件检查,实现精准的“二次施压”。
3.3.2 基于GPO的无文件下发程序在获取域控制器(DC)控制权后,采用“就地取材”(LotL)策略。The Gentlemen往往不依赖外部下载载荷,而是利用PowerShell和WMI脚本,通过修改组策略对象(GPO)将勒索指令分发至全网终端。这种利用系统原生管理工具的操作,使大规模加密行为在极短时间内完成,且极难被传统的特征码检测拦截。
3.3.3 彻底的痕迹清理与反取证程序在加密任务结束的最后阶段,The Gentlemen将执行破坏性清理动作。脚本自动化调用 vssadmin.exe 删除所有卷影副本,并利用 wevtutil.exe 批量清空Windows系统日志、安全日志和应用程序日志。该程序旨在清除攻击者的内网活动足迹,极大提升了事后事件响应(IR)团队的溯源难度和数据恢复成本。
本次攻击的幕后黑手为 The Gentlemen勒索团伙,该组织并非初创的黑客群体,而是具备成熟产业化背景、极强对抗意识及行业针对性的网络犯罪组织。基于团伙成立背景、攻击行为、技术特征等多方面信息综合梳理其画像。
4.1 组织属性:产业化的勒索软件即服务(RaaS)新势力
The Gentlemen诞生于2025年8月,其核心成员源自原麒麟(Qilin)团伙内讧后的分裂派系。该团伙沿用了高度成熟的 RaaS 运营模式,通过向全球招募顶级附属成员(如 hastalamuerte)实现规模化扩张;截至 2026 年第一季度,该团伙已宣称对全球 182 家企业发动攻击,表现出极强的业务增长能力。
4.2 成员特征:具备高对抗意识与跨平台开发能力的专业群体
The Gentlemen核心成员精通 Go 语言及 Rust 编程,能够快速迭代针对 Windows、Linux 及 ESXi 环境的跨平台加密载荷。其成员具备利用 BYOVD(自带漏洞驱动) 技术绕过主流 EDR/AV 防护、操作核心级漏洞(如 FortiOS 1day/0day)以及执行大规模数据外传的能力,具有从底层开发到内网渗透的全链条专业性。
4.3 攻击范围:聚焦“零停机容忍”与“高合规压力”的高价值行业
不同于无差别的自动化扫描攻击,The Gentlemen 表现出明显的行业偏好,重点瞄准制造业(约占受害者总数的 20%)及医疗保健领域。其目标选择逻辑高度一致:优先打击如TRU这类处于汽车供应链关键节点、执行准时制生产且对生产停机极其敏感的企业。此外,该团伙倾向于在具有严格隐私保护法规(如泰国 PDPA、欧盟 GDPR)的地区开展活动,以便将法律合规风险转化为赎金谈判的筹码。
4.4 行为特征:精于施压的“三重勒索”与“商业武器化”策略
The Gentlemen勒索团伙在行为上表现出极强的反差与策略性。在交互层面,其自诩为“绅士”,在勒索信中使用商务化语言、提供模拟解密测试以降低受害者谈判抵触感;但在执行层面,其战术极具杀伤力。该团伙在 2026 年的攻击中大规模应用“三重勒索”策略,即不仅加密数据和窃取文件,还通过自动化脚本(Notify-Next)直接联络受害者的供应商与合作伙伴施压,将企业的网络安全事件转化为全方位的商业信誉危机。
4.5 资金特征:高度匿名化与去中心化的财务洗钱体系
在资金链路方面,The Gentlemen勒索团伙的所有盈利行为均以获取非法数字货币为核心。为了规避全球监管机构的追踪,该团伙强制要求受害者使用门罗币(XMR)进行支付,或通过多层混币技术(Mixing Services)处理的比特币(BTC),反追踪能力极强。
