EtherRAT et TukTuk mènent au déploiement du ransomware The Gentleman via blockchain C2

🔍 Contexte Rapport d’incident publié le 11 mai 2026 par The DFIR Report, documentant une intrusion observée en avril 2026 et liée à une campagne précédemment rapportée par Atos en mars 2026. La famille de malware EtherRAT avait été initialement découverte par Sysdig en décembre 2025 ciblant des serveurs Linux via CVE-2025-55182 (React2Shell). 🎯 Vecteur d’accès initial Un utilisateur a exécuté un installeur MSI malveillant (RAMMap.msi) se faisant passer pour l’utilitaire Sysinternals RAMMap. Ce MSI a déployé une variante d’EtherRAT qui :