GentleKiller, le framework EDR killer au cœur des opérations de The Gentlemen

En février 2026, les chercheurs d’ESET interviennent sur un incident impliquant un affilié de The Gentlemen. Sur la machine compromise, un répertoire de staging attire l’attention : GentlemenCollection. À l’intérieur, un EDR killer jusqu’alors non documenté. L’outil ne ressemble à rien de connu. ESET le baptise GentleKiller et formule une hypothèse : ce n’est pas un outil personnel d’affilié, mais un composant fourni directement par les opérateurs du programme RaaS. Dans les mois qui suivent, le même schéma, mêmes outils, même répertoire de staging, réapparaît dans des intrusions sans lien entre elles, toutes attribuées à des affiliés du groupe. Group-IB et Check Point et PRODAFT, indépendamment, confirment que les opérateurs offrent bien des capacités de neutralisation d’EDR à leurs affiliés vérifiés. Puis, en mai 2026, la fuite de données internes de The Gentlemen livre la preuve définitive : dans les chats, zeta88, le leader du groupe, évoque explicitement la maintenance et la distribution de packages d’EDR killers.

L’étude publiée par ESET en juin 2026 repose sur cette investigation au long cours, corroborée par les données fuitées. Elle documente en profondeur un arsenal que les rapports précédents n’avaient fait que mentionner.

The Gentlemen, un programme RaaS fondé par un vétéran du ransomware

The Gentlemen est un programme RaaS fondé par un acteur russophone connu sous les pseudonymes hastalamuerte et zeta88. Le groupe opérait d’abord sous le nom ArmCorp depuis mars 2025, en tant que groupe d’affiliés exploitant les ressources de plusieurs RaaS, avant de se lancer comme programme indépendant sous l’enseigne The Gentlemen en juillet 2025. Avant cela, hastalamuerte avait été affilié à pas moins de cinq programmes concurrents, Qilin, Embargo, LockBit, Medusa et BlackLock, selon PRODAFT, société de cyber-renseignement qui suit le groupe sous le nom Phantom Mantis.

La rupture avec Qilin a été publique et bruyante : hastalamuerte a accusé les opérateurs, sur le forum RAMP, d’avoir fait disparaître une négociation de rançon du chat Tox ; un exit scam présumé portant sur 48 000 dollars. Cinq jours avant ce post, le premier échantillon connu du locker The Gentlemen apparaissait déjà sur VirusTotal : l’infrastructure du nouveau programme était prête avant même la rupture officielle.

Le 10 juin 2026, Brian Krebs a publié les résultats d’une investigation reliant hastalamuerte/zeta88 à une identité réelle : Alexander Andreevich Yapaev, 36 ans, originaire d’Izhevsk (République d’Oudmourtie, Russie). L’homme se présente publiquement comme directeur marketing B2B dans une entreprise d’électrotechnique. L’enquête de Krebs, corroborée par Check Point, Intel 471 et PRODAFT, s’appuie sur le recoupement d’adresses IP, d’un numéro de téléphone russe lié à des bases gouvernementales piratées, et d’un pseudonyme GitHub (SantaMuerte) associé à des outils d’exploitation.

Le programme revendique à ce jour 517 victimes (selon les données Ransomware.live), réparties en Asie du Sud-Est, en Amérique du Sud et en Europe occidentale, avec une présence notable en Thaïlande, au Brésil et en France. Les États-Unis restent le premier pays touché, mais leur part relative (~16 %) est nettement inférieure à la norme du secteur, où les victimes américaines représentent couramment la moitié des revendications chez les groupes de premier rang comme Qilin, DragonForce ou Akira. La victimologie de The Gentlemen est plus dispersée géographiquement, avec une présence significative en Thaïlande, en France et au Brésil. La fuite interne a révélé que les cibles sont sélectionnées de façon centralisée, principalement en fonction de la mauvaise configuration de leur pare-feu FortiGate, puis attribuées aux affiliés. Le programme offre un partage de revenus de 90/10 en faveur de l’affilié, bien au-dessus du standard du marché.

L’émergence du groupe à l’été 2025, son modèle RaaS et ses premières campagnes ont été couverts dès ses premières revendications. L’organisation interne, les méthodes d’extorsion et l’usage de l’IA par le groupe ont ensuite été exposés par la fuite de 16 Go de données internes analysée en mai 2026. L’étude d’ESET apporte la pièce manquante à ce tableau : le fonctionnement précis de l’arsenal de neutralisation des EDR.

Pourquoi l’approche de The Gentlemen change la donne

Neutraliser l’EDR avant de déployer le chiffrement est devenu une étape critique dans la quasi-totalité des intrusions ransomware. Mais la responsabilité de trouver un outil fiable pour le faire repose presque toujours sur les affiliés individuels, pas sur les opérateurs du RaaS. L’étude ESET « EDR killers explained: Beyond the drivers », publiée en mars 2026, a documenté cette division du travail comme la norme de l’écosystème. Le seul précédent notable était RansomHub, aujourd’hui défunt, dont les opérateurs avaient développé intégralement en interne un outil unique, EDRKillShifter, distribué via le panneau affilié.

The Gentlemen pousse la logique plus loin. Plutôt qu’un outil unique, le groupe maintient un portefeuille diversifié combinant un framework développé en interne (GentleKiller) et des outils tiers récupérés par des canaux non identifiés (HexKiller, ThrottleBlood, HavocKiller), le tout uniformisé par une couche d’évasion commune appliquée aux binaires compilés. « Cette conception privilégie la facilité de déploiement et la flexibilité opérationnelle pour les affiliés, tout en minimisant l’effort de développement pour les opérateurs », résume Jakub Souček, le chercheur ESET qui a conduit l’investigation. Avec la disparition de RansomHub, The Gentlemen est désormais le seul opérateur RaaS actif dont les chercheurs ont documenté ce modèle de centralisation des EDR killers.

GentleKiller, un framework modulaire à huit variantes

GentleKiller est l’EDR killer le plus fréquemment observé dans les intrusions liées à The Gentlemen. ESET a identifié au moins huit variantes distinctes, chacune usurpant l’identité d’un produit légitime différent et exploitant un pilote vulnérable ou malveillant différent via la technique BYOVD (Bring Your Own Vulnerable Driver). Sous la couche d’impersonation et le choix du driver, le code sous-jacent révèle des caractéristiques structurelles constantes d’une variante à l’autre : chaînes de caractères identiques, boucle de terminaison de processus exécutée périodiquement, ciblage large de solutions de sécurité, et obfuscation de code similaire. Le tout trahit l’utilisation d’un template de développement partagé, modifié à la marge selon la variante.

La liste des variantes révèle une stratégie de camouflage particulièrement cynique. Les opérateurs choisissent systématiquement des noms de fichiers qui imitent des produits de sécurité ou de gaming reconnus : BitD.exe pour se faire passer pour Bitdefender, MB.exe pour Malwarebytes, Kasp.exe pour Kaspersky, cela afin de se fondre dans l’environnement qu’ils s’apprêtent à désactiver. Voici le détail des huit variantes documentées par ESET :

• Kaspersky — fichier Kasp<suffixe>.exe, abuse du rootkit eb.sys ;
• FACEIT Anti-Cheat — fichier FaceIT<suffixe>.exe, abuse du pilote NSecsoft nseckrnl.sys ;
• Valorant — fichier Valorant<suffixe>.exe, abuse du pilote anti-triche GameDriverX64.sys ;
• Javelin — fichiers EAAntiCheat<suffixe>.exe / EASolo<suffixe>.exe, abuse des pilotes ProcessMonitor de Safetica (stpm_old.sys / stpm_new.sys) ;
• WatchDog — fichier BitD<suffixe>.exe (imite Bitdefender), abuse du pilote antimalware Zemana dmx.sys ;
• Network Blocker — fichier MB<suffixe>.exe (imite Malwarebytes), abuse du pilote Qihoo 360 360netmon_wfp.sys ;
• Cleaner — fichier Deletor.exe, abuse du pilote IObit IMFForceDelete (déposé sans extension .sys) ;
• G11 — fichiers G11<suffixe>.exe / Symantec<suffixe>.exe, abuse du rootkit PoisonX.

Le <suffixe> dans chaque nom de fichier n’est pas anodin : il encode le niveau de protection appliqué à l’exécutable. ESET a documenté quatre déclinaisons systématiques :

• suffixe 1 : protection Enigma, fausse signature numérique et fausses informations de version ;
• suffixe 2 : protection Themida, fausse signature numérique et fausses informations de version ;
• suffixe Light : aucun packer, mais fausse signature et fausses informations de version ;
• suffixe Clear : aucune protection, aucune fausse signature, l’outil est déployé à nu.

L’existence de variantes Clear est révélatrice : les opérateurs déploient parfois un EDR killer entièrement brut, sans aucun camouflage, lorsqu’ils estiment que l’environnement cible est suffisamment dépourvu de protections pour que l’effort d’évasion soit superflu.

La portée du ciblage est considérable. La liste générale des processus visés par GentleKiller dépasse 400 noms de processus, associés à 48 produits de sécurité : des grands éditeurs comme CrowdStrike, SentinelOne, Microsoft Defender, Sophos, ESET, Kaspersky, Palo Alto Networks ou Trend Micro, mais aussi des acteurs plus spécialisés comme Huntress, Binary Defense, Blumira, ThreatLocker, Darktrace ou Heimdal.

Des preuves de concept BYOVD opérationnalisées en quelques jours

L’architecture modulaire de GentleKiller, soit un template partagé dans lequel on insère un nouveau driver vulnérable, a un effet opérationnel direct : elle permet aux opérateurs de The Gentlemen d’intégrer de nouveaux exploits BYOVD rendus publics avec une rapidité inhabituelle. ESET cite deux cas concrets : les exploits UnknownKiller et PoisonKiller ont été adoptés « en quelques jours » après la publication de leurs preuves de concept respectives. « Cette conception privilégie la facilité de déploiement et la flexibilité opérationnelle pour les affiliés, tout en minimisant l’effort de développement pour les opérateurs. Elle permet aux opérateurs de The Gentlemen d’intégrer des drivers abusés dans leur outillage très peu de temps après la divulgation d’une preuve de concept d’EDR killer », précise Jakub Souček (ESET).

Cette agilité réduit la fenêtre de protection entre la divulgation publique d’une vulnérabilité de driver et son exploitation en conditions réelles.

Une couche d’évasion standardisée, y compris sur les outils tiers

Au-delà du framework GentleKiller lui-même, les opérateurs appliquent une stratégie d’évasion unifiée à l’ensemble des EDR killers du portefeuille. Le point technique clé : cette couche est appliquée aux binaires compilés, et non au code source. Cela signifie que les opérateurs peuvent protéger même les outils dont ils ne possèdent pas le code source, ce qui est le cas des EDR killers tiers intégrés à la suite.

Concrètement, l’évasion repose sur un triptyque cohérent : des noms de fichiers imitant ceux d’éditeurs de sécurité reconnus, des informations de version fabriquées accompagnées de signatures numériques invalides copiées depuis des exécutables légitimes, et des icônes correspondant au produit usurpé. À cela s’ajoute, pour une part significative des échantillons, une protection par packer commercial (Enigma ou Themida). L’effet opérationnel est double : les affiliés disposent d’outils prêts à l’emploi camouflés sous des apparences familières, et l’attribution est compliquée lorsqu’un échantillon isolé est examiné hors contexte d’incident.

Trois EDR killers tiers intégrés au portefeuille

En plus de GentleKiller, la suite distribuée aux affiliés comprend trois outils d’origine externe, chacun exploitant un pilote différent via BYOVD. ESET les évalue avec une haute confiance comme n’étant pas développés en interne par The Gentlemen, mais récupérés puis adaptés opérationnellement.

HexKiller (pilote Baidu BdApi googleApiUtil64.sys, déployé sous le nom Avast<suffixe>.exe) était auparavant considéré comme exclusif au gang Warlock. Sa présence dans le répertoire GentlemenCollection est qualifiée par ESET d’« inattendue et notable » (unexpected and noteworthy). Les chercheurs précisent toutefois que cela n’implique pas nécessairement une collaboration directe entre les deux groupes : l’outil a pu être obtenu via des échanges privés, des canaux de distribution secondaires ou des fuites d’échantillons. Ce constat est surtout révélateur de la porosité de l’écosystème, où les outils circulent entre groupes concurrents par des voies difficiles à retracer.

ThrottleBlood (pilote légitime ThrottleStop.sys de TechPowerUp, renommé ThrottleBlood.sys par les attaquants, déployé sous le nom Sent<suffixe>.exe) a été observé de façon répétée dans des intrusions MedusaLocker et, plus sporadiquement, chez des affiliés DragonForce. Trend Micro l’avait lié à The Gentlemen dès septembre 2025. ESET formule deux hypothèses sur son origine : soit un outil commercialisé sur des marchés underground, soit un outil développé par les opérateurs de MedusaLocker eux-mêmes et partagé avec leurs affiliés — auquel cas MedusaLocker aurait anticipé, à plus petite échelle, le modèle de centralisation adopté par The Gentlemen. Aucune des deux hypothèses n’explique toutefois pleinement comment un échantillon s’est retrouvé entre les mains du groupe.

HavocKiller (pilote audio Huawei havoc.sys, déployé sous les noms HwAudKiller.exe / Sophos<suffixe>.exe) a été documenté publiquement par Huntress le 19 mars 2026, mais la télémétrie d’ESET confirme son utilisation en intrusion réelle dès le 23 janvier 2026, soit près de deux mois avant le rapport public. Son architecture diffère substantiellement de celle de GentleKiller, ce qui confirme son origine externe, même si la couche d’évasion standardisée du groupe lui a été appliquée.

ESET note par ailleurs la présence de DemoKiller dans plusieurs intrusions, mais exclut cet outil de la suite officielle du groupe : il ne présente pas de lien avec les opérateurs et est considéré comme spécifique à certains affiliés.

OxideHarvest, un stealer de credentials lié à l’affilié quant

L’investigation a également mis en lumière OxideHarvest, un voleur d’identifiants écrit en Rust, déployé dans plusieurs intrusions liées au groupe. Le Rust n’étant pas le langage de prédilection des opérateurs de The Gentlemen, ESET n’attribue pas l’outil au groupe lui-même mais à l’un de ses affiliés, connu sous le pseudonyme “quant”. Check Point avait précédemment identifié dans les données fuitées un outil maintenu par quant sous le nom buildx641. ESET a retrouvé un échantillon OxideHarvest portant ce même nom sur VirusTotal, confirmant que buildx641 et OxideHarvest sont le même outil.

OxideHarvest cible les identifiants stockés dans 28 navigateurs répartis en deux familles. Côté Chromium : Google Chrome (y compris Beta et SxS), Chromium, Microsoft Edge, Torch, Comodo Dragon, Nichrome, Maxthon5, Epic Privacy Browser, Vivaldi, QIP Surf, Cent Browser, Elements Browser, TorBro, CryptoTab, Brave, Opera, Opera GX et Opera Neon. Côté Gecko : Mozilla Firefox, Slim Browser, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat et K-Meleon. La présence de navigateurs ultra-minoritaires comme IceCat, K-Meleon, CryptoTab ou Cyberfox montre que le développeur a réalisé un travail de recensement exhaustif, aucun navigateur n’est considéré comme trop confidentiel pour être ignoré.

L’outil fonctionne en ligne de commande : l’opérateur fournit une liste d’hôtes, des identifiants d’accès, un nombre de threads et un fichier de sortie. OxideHarvest se connecte alors aux hôtes spécifiés en multithreading et exfiltre les credentials récoltés dans le fichier indiqué.

Du framework à la détection, ce que GentleKiller révèle aux analystes SOC

L’existence d’un portefeuille d’EDR killers centralisé, maintenu et distribué par les opérateurs d’un programme RaaS, représente un changement de modèle dans l’écosystème. Là où RansomHub avait investi dans un outil unique, The Gentlemen combine développement maison et réutilisation pragmatique de recherches publiques et d’outils tiers, le tout harmonisé par une couche d’évasion commune qui brouille l’attribution. Sans contexte d’incident, les EDR killers de The Gentlemen risquent d’être mal attribués, voire pas attribués du tout, masquant l’étendue réelle de l’implication du groupe.

« Comprendre le fonctionnement de GentleKiller permet aux équipes de sécurité de mieux concevoir leurs stratégies défensives et de se prémunir même contre les futures additions à l’arsenal du groupe », conclut Jakub Souček.

L’étude d’ESET fournit un ensemble d’indicateurs de compromission directement exploitables. Le tableau ci-dessous récapitule les noms de fichiers et les drivers associés à chaque variante :

La variante G11 mérite une attention particulière : elle abuse du rootkit PoisonX, dont Xcitium a documenté l’usage dans des attaques ciblant spécifiquement CrowdStrike Falcon. Enfin, le répertoire de staging GentlemenCollection constitue un IOC comportemental récurrent dans les intrusions attribuées au groupe.

La rapidité avec laquelle le groupe intègre de nouveaux drivers vulnérables rappelle que ces indicateurs ont une durée de vie limitée : les équipes de détection doivent les traiter comme un point de départ, pas comme une liste figée

Sources :

• WeLiveSecurity (ESET) : Killing me gently: Inside Gentlemen’s EDR killer framework
• WeLiveSecurity (ESET) : EDR killers explained: Beyond the drivers
• The Hacker News : The Gentlemen RaaS Uses GentleKiller EDR Framework Targeting Over 400 Security Tool Processes
• Help Net Security : GentleKiller targets more than 400 security processes across 48 products
• Krebs on Security : Who Runs the Ransomware Group ‘The Gentlemen?
• PRODAFT : Inside the Phantom Mantis Operation
• Group-IB : Hasta la vista, Hastalamuerte: An Overview of The Gentlemen’s TTPs
• Check Point Research : Thus Spoke…The Gentlemen
• Check Point Research : DFIR Report – The Gentlemen & SystemBC: A Sneak Peek Behind the Proxy
• Ransomware.live : TheGentlemen