GentleKiller, das bahnbrechende EDR-Framework, das das Herzstück der Operationen von „The Gentlemen“ bildet

Im Februar 2026 wurden Forscher von ESET zu einem Vorfall hinzugezogen, an dem ein Partner von „The Gentlemen“ beteiligt war. Auf dem kompromittierten Rechner fiel ein Staging-Verzeichnis namens „GentlemenCollection“ ins Auge. Darin befand sich ein bislang nicht dokumentierter EDR-Killer. Das Tool ähnelt keinem bisher bekannten. ESET tauft es „GentleKiller“ und stellt die Hypothese auf: Es handelt sich nicht um ein persönliches Tool eines Mitglieds, sondern um eine Komponente, die direkt von den Betreibern des RaaS-Programms bereitgestellt wird. In den folgenden Monaten taucht dasselbe Muster – dieselben Tools, dasselbe Staging-Verzeichnis – bei voneinander unabhängigen Angriffen wieder auf, die alle den Partnern der Gruppe zugeschrieben werden. Group-IB, Check Point und PRODAFT bestätigen unabhängig voneinander, dass die Betreiber ihren verifizierten Partnern tatsächlich Funktionen zur Umgehung von EDR-Lösungen zur Verfügung stellen. Im Mai 2026 liefert dann der Datenleck aus internen Unterlagen von „The Gentlemen“ den endgültigen Beweis: In den Chats erwähnt zeta88, der Anführer der Gruppe, ausdrücklich die Wartung und den Vertrieb von EDR-Killer-Paketen.

Die von ESET im Juni 2026 veröffentlichte Studie stützt sich auf diese langwierige Untersuchung, die durch die durchgesickerten Daten untermauert wird. Sie dokumentiert ausführlich ein Arsenal, das in früheren Berichten lediglich erwähnt worden war.

„The Gentlemen“, ein RaaS-Programm, das von einem Ransomware-Veteranen gegründet wurde

„The Gentlemen“ ist ein RaaS-Programm, das von einem russischsprachigen Akteur gegründet wurde, der unter den Pseudonymen „hastalamuerte“ und „zeta88“ bekannt ist. Die Gruppe war zunächst seit März 2025 unter dem Namen ArmCorp als Affiliate-Gruppe tätig, die die Ressourcen mehrerer RaaS-Programme nutzte, bevor sie sich im Juli 2025 als eigenständiges Programm unter dem Namen The Gentlemen etablierte. Zuvor war hastalamuerte laut PRODAFT – einem Cyber-Intelligence-Unternehmen, das die Gruppe unter dem Namen „Phantom Mantis“ verfolgt – mit nicht weniger als fünf konkurrierenden Programmen verbunden: Qilin, Embargo, LockBit, Medusa und BlackLock.

Der Bruch mit Qilin verlief öffentlich und lautstark: hastalamuerte warf den Betreibern im RAMP-Forum vor, eine Lösegeldverhandlung aus dem Tox-Chat verschwinden lassen zu haben – ein mutmaßlicher Exit-Scam in Höhe von 48.000 Dollar. Fünf Tage vor diesem Beitrag tauchte bereits die erste bekannte Probe des Lockers „The Gentlemen“ auf VirusTotal auf: Die Infrastruktur des neuen Programms war bereits vor dem offiziellen Bruch bereit.

Am 10. Juni 2026 veröffentlichte Brian Krebs die Ergebnisse einer Untersuchung, die hastalamuerte/zeta88 mit einer realen Identität in Verbindung brachte: Alexander Andreevich Yapaev, 36 Jahre alt, aus Ischewsk (Republik Udmurtien, Russland). Der Mann präsentiert sich öffentlich als B2B-Marketingleiter in einem Elektrotechnikunternehmen. Die von Check Point, Intel 471 und PRODAFT, stützt sich auf den Abgleich von IP-Adressen, einer russischen Telefonnummer, die mit gehackten Regierungsdatenbanken in Verbindung steht, sowie eines GitHub-Pseudonyms (SantaMuerte), das mit Exploit-Tools assoziiert ist.

Die Gruppe gibt bislang 517 Opfer an (laut Daten von Ransomware.live), verteilt auf Südostasien, Südamerika und Westeuropa, mit einer nennenswerten Präsenz in Thailand, Brasilien und Frankreich. Die USA bleiben das am stärksten betroffene Land, doch ihr relativer Anteil (~16 %) liegt deutlich unter dem Branchendurchschnitt, bei dem amerikanische Opfer bei führenden Gruppen wie Qilin, DragonForce oder Akira üblicherweise die Hälfte der Bekennschreiben ausmachen. Die Opferverteilung von „The Gentlemen“ ist geografisch stärker gestreut, mit einer bedeutenden Präsenz in Thailand, Frankreich und Brasilien. Aus internen durchgesickerten Informationen geht hervor, dass die Ziele zentral ausgewählt werden, hauptsächlich aufgrund einer fehlerhaften Konfiguration ihrer FortiGate-Firewall, und anschließend den Partnern zugewiesen werden. Das Programm bietet eine Umsatzbeteiligung von 90/10 zugunsten des Partners, was deutlich über dem Marktstandard liegt.

Das Auftauchen der Gruppe im Sommer 2025, ihr RaaS-Modell und ihre ersten Kampagnen wurden bereits bei ihren ersten Bekennschreiben thematisiert. Die interne Organisation, die Erpressungsmethoden und der Einsatz von KI durch die Gruppe wurden anschließend durch die im Mai 2026 analysierte Veröffentlichung von 16 GB interner Daten aufgedeckt. Die Studie von ESET liefert das fehlende Puzzleteil zu diesem Bild: die genaue Funktionsweise des EDR-Neutralisierungsarsenals.

Warum der Ansatz von „The Gentlemen“ bahnbrechend ist

Die Neutralisierung der EDR vor dem Einsatz der Verschlüsselung ist bei fast allen Ransomware-Angriffen zu einem entscheidenden Schritt geworden. Die Verantwortung, ein zuverlässiges Tool dafür zu finden, liegt jedoch fast immer bei den einzelnen Affiliates und nicht bei den Betreibern des RaaS. Die im März 2026 veröffentlichte ESET-Studie „EDR killers explained: Beyond the drivers“ hat diese Arbeitsteilung als Standard des Ökosystems dokumentiert. Der einzige nennenswerte Präzedenzfall war die inzwischen aufgelöste Gruppe RansomHub, deren Betreiber ein einzigartiges Tool namens EDRKillShifter vollständig intern entwickelt hatten, das über das Partner-Dashboard verteilt wurde.

„The Gentlemen“ treibt diese Logik noch weiter voran. Anstelle eines einzigen Tools unterhält die Gruppe ein diversifiziertes Portfolio, das ein intern entwickeltes Framework (GentleKiller) mit Tools von Drittanbietern kombiniert, die über nicht identifizierte Kanäle beschafft wurden (HexKiller, ThrottleBlood, HavocKiller), wobei das Ganze durch eine gemeinsame Umgehungsschicht vereinheitlicht wird, die auf die kompilierten Binärdateien angewendet wird. „Dieses Konzept legt den Schwerpunkt auf einfache Bereitstellung und operative Flexibilität für die Partner und minimiert gleichzeitig den Entwicklungsaufwand für die Betreiber “, fasst Jakub Souček zusammen, der ESET-Forscher, der die Untersuchung geleitet hat. Nach dem Verschwinden von RansomHub ist The Gentlemen nun der einzige aktive RaaS-Betreiber, bei dem Forscher dieses Modell der Zentralisierung von EDR-Killern dokumentiert haben.

GentleKiller, ein modulares Framework mit acht Varianten

GentleKiller ist der am häufigsten beobachtete EDR-Killer bei Angriffen im Zusammenhang mit „The Gentlemen“. ESET hat mindestens acht verschiedene Varianten identifiziert, von denen jede die Identität eines anderen legitimen Produkts vortäuscht und über die BYOVD-Technik (Bring Your Own Vulnerable Driver) ausnutzt. Unter der Tarnschicht und der Auswahl des Treibers offenbart der zugrunde liegende Code strukturelle Merkmale, die von Variante zu Variante konstant sind: identische Zeichenfolgen, eine regelmäßig ausgeführte Prozessbeendigungsschleife, eine breite Ausrichtung auf Sicherheitslösungen und eine ähnliche Code-Verschleierung. All dies deutet auf die Verwendung einer gemeinsamen Entwicklungsvorlage hin, die je nach Variante geringfügig angepasst wurde.

Die Liste der Varianten offenbart eine besonders zynische Tarnstrategie. Die Betreiber wählen systematisch Dateinamen, die bekannte Sicherheits- oder Gaming-Produkte imitieren: BitD.exe, um sich als Bitdefender auszugeben, MB.exe für Malwarebytes, Kasp.exe für Kaspersky – all dies, um sich in die Umgebung einzufügen, die sie deaktivieren wollen. Hier sind die Details zu den acht von ESET dokumentierten Varianten:

• Kaspersky – Datei Kasp<Suffix>.exe, missbraucht das Rootkit eb.sys;
• FACEIT Anti-Cheat – Datei „FaceIT<Suffix>.exe“, missbraucht den NSecsoft-Treiber „nseckrnl.sys“;
• Valorant – Datei „Valorant<Endung>.exe“, missbraucht den Anti-Cheat-Treiber „GameDriverX64.sys“;
• Javelin – Dateien EAAntiCheat<Suffix>.exe / EASolo<Suffix>.exe, missbraucht die ProcessMonitor-Treiber von Safetica (stpm_old.sys / stpm_new.sys);
• WatchDog – Datei „BitD<Suffix>.exe“ (imitiert Bitdefender), missbraucht den Zemana-Antimalware-Treiber „dmx.sys“;
• Network Blocker – Datei MB<Endung>.exe (imitiert Malwarebytes), missbraucht den Qihoo 360-Treiber 360netmon_wfp.sys;
• Cleaner – Datei „Deletor.exe“, missbraucht den IObit-Treiber „IMFForceDelete“ (ohne die Erweiterung „.sys“ abgelegt);
• G11 – Dateien G11<Erweiterung>.exe / Symantec<Erweiterung>.exe, missbraucht das Rootkit PoisonX.

Das <Suffix> in jedem Dateinamen ist nicht unbedeutend: Es kodiert die Schutzstufe, die auf die ausführbare Datei angewendet wird. ESET hat vier systematische Varianten dokumentiert:

• Suffix 1: Enigma-Schutz, gefälschte digitale Signatur und gefälschte Versionsangaben;
• Suffix 2: Themida-Schutz, gefälschte digitale Signatur und gefälschte Versionsangaben;
• Suffix „Light “: kein Packer, aber gefälschte digitale Signatur und gefälschte Versionsangaben;
• Suffix „Clear “: kein Schutz, keine gefälschte Signatur, das Tool wird ungeschützt eingesetzt.

Die Existenz von „Clear“-Varianten ist aufschlussreich: Die Angreifer setzen manchmal einen völlig ungeschleiften EDR-Killer ohne jegliche Tarnung ein, wenn sie der Einschätzung sind, dass die Zielumgebung so ungeschützt ist, dass der Aufwand für eine Umgehung überflüssig ist.

Das Ausmaß der Zielauswahl ist beträchtlich. Die allgemeine Liste der von GentleKiller ins Visier genommenen Prozesse umfasst mehr als 400 Prozessnamen, die mit 48 Sicherheitsprodukten in Verbindung stehen: große Anbieter wie CrowdStrike, SentinelOne, Microsoft Defender, Sophos, ESET, Kaspersky, Palo Alto Networks oder Trend Micro, aber auch spezialisiertere Anbieter wie Huntress, Binary Defense, Blumira, ThreatLocker, Darktrace oder Heimdal.

BYOVD-Proof-of-Concepts, die innerhalb weniger Tage einsatzbereit sind

Die modulare Architektur von GentleKiller – also eine gemeinsame Vorlage, in die ein neuer anfälliger Treiber eingefügt wird – hat direkte operative Auswirkungen: Sie ermöglicht es den Betreibern von „The Gentlemen“, neu veröffentlichte BYOVD-Exploits mit ungewöhnlicher Schnelligkeit zu integrieren. ESET nennt zwei konkrete Fälle: Die Exploits „UnknownKiller“ und „PoisonKiller“ wurden „innerhalb weniger Tage“ nach der Veröffentlichung ihrer jeweiligen Proof-of-Concepts übernommen. „Dieses Konzept legt den Schwerpunkt auf einfache Bereitstellung und operative Flexibilität für die Mitglieder und minimiert gleichzeitig den Entwicklungsaufwand für die Betreiber. Sie ermöglicht es den Betreibern von „The Gentlemen“, missbrauchte Treiber sehr kurz nach der Veröffentlichung eines EDR-Killer-Proof-of-Concept in ihre Tools zu integrieren “, erklärt Jakub Souček (ESET).

Diese Agilität verkürzt das Schutzfenster zwischen der öffentlichen Bekanntgabe einer Treiber-Sicherheitslücke und deren Ausnutzung unter realen Bedingungen.

Eine standardisierte Umgehungsschicht, auch für Tools von Drittanbietern

Über das GentleKiller-Framework hinaus wenden die Betreiber eine einheitliche Umgehungsstrategie auf alle EDR-Killer ihres Portfolios an. Der entscheidende technische Aspekt: Diese Ebene wird auf die kompilierten Binärdateien angewendet, nicht auf den Quellcode. Das bedeutet, dass die Betreiber sogar Tools schützen können, deren Quellcode ihnen nicht vorliegt – was bei den in die Suite integrierten EDR-Killern von Drittanbietern der Fall ist.

Konkret basiert die Umgehung auf einem schlüssigen Dreigespann: Dateinamen, die denen anerkannter Sicherheitsanbieter nachempfunden sind, gefälschte Versionsangaben mit ungültigen digitalen Signaturen, die aus legitimen ausführbaren Dateien kopiert wurden, sowie Symbole, die dem nachgeahmten Produkt entsprechen. Hinzu kommt bei einem erheblichen Teil der Proben ein Schutz durch einenkommerziellen Packer(Enigma oder Themida). Dies hat einen doppelten Effekt: Die Partner verfügen über einsatzbereite Tools, die unter vertrautem Deckmantel getarnt sind, und die Zuordnung wird erschwert, wenn eine einzelne Probe außerhalb des Kontextes eines Vorfalls untersucht wird.

Drei in das Portfolio integrierte EDR-Killer von Drittanbietern

Neben GentleKiller umfasst die an die Partner verteilte Suite drei Tools von Drittanbietern, von denen jedes über BYOVD einen anderen Treiber ausnutzt. ESET stuft diese mit hoher Sicherheit als nicht intern von The Gentlemen entwickelt ein, sondern als wiederverwertet und anschließend operativ angepasst.

HexKiller (Treiber Baidu BdApi googleApiUtil64.sys, unter dem Namen Avast<Suffix>.exe bereitgestellt) galt zuvor als exklusiv für die Warlock-Bande. Sein Vorkommen im Verzeichnis „GentlemenCollection“ wird von ESETals „unerwartet und bemerkenswert“ (unexpected and noteworthy). Die Forscher weisen jedoch darauf hin, dass dies nicht zwangsläufig auf eine direkte Zusammenarbeit zwischen den beiden Gruppen hindeutet: Das Tool könnte über private Austauschkanäle, sekundäre Vertriebskanäle oder durch durchgesickerte Samples beschafft worden sein. Diese Feststellung verdeutlicht vor allem die Durchlässigkeit des Ökosystems, in dem Tools über schwer nachvollziehbare Wege zwischen konkurrierenden Gruppen zirkulieren.

ThrottleBlood (der legitime Treiber ThrottleStop.sys von TechPowerUp, von den Angreifern in ThrottleBlood.sys umbenannt und unter dem Namen Sent<Suffix>.exe eingesetzt) wurde wiederholt bei MedusaLocker-Angriffen und, sporadischer, bei DragonForce-Partnern beobachtet. Trend Micro hatte es bereits im September 2025 mit „The Gentlemen“ in Verbindung gebracht. ESET stellt zwei Hypothesen zu seiner Herkunft auf: Entweder handelt es sich um ein auf Untergrundmärkten vermarktetes Tool oder um ein von den MedusaLocker-Betreibern selbst entwickeltes Tool, das sie mit ihren Partnern teilen – in diesem Fall hätte MedusaLocker in kleinerem Maßstab das von The Gentlemen angewandte Zentralisierungsmodell vorweggenommen. Keine der beiden Hypothesen erklärt jedoch vollständig, wie eine Probe in die Hände der Gruppe gelangte.

HavocKiller (Huawei-Audiotreiber „havoc.sys“, der unter den Namen „HwAudKiller.exe“ / Sophos<Suffix>.exe) wurde am 19. März 2026 von Huntress öffentlich dokumentiert, doch die Telemetriedaten von ESET bestätigen dessen Einsatz bei einem tatsächlichen Angriff bereits am 23. Januar 2026, also fast zwei Monate vor dem öffentlichen Bericht. Seine Architektur unterscheidet sich erheblich von der von GentleKiller, was seine externe Herkunft bestätigt, auch wenn die standardisierte Umgehungsschicht der Gruppe darauf angewendet wurde.

ESET stellt zudem fest, dass DemoKiller bei mehreren Angriffen zum Einsatz kam, schließt dieses Tool jedoch aus dem offiziellen Toolset der Gruppe aus: Es weist keine Verbindung zu den Betreibern auf und gilt als spezifisch für bestimmte Partner.

OxideHarvest, ein mit dem Partner „quant“ verbundener Credential-Stealer

Die Untersuchung brachte zudem OxideHarvest ans Licht, einen in Rust geschriebenen Anmeldedaten-Stealer, der bei mehreren mit der Gruppe in Verbindung stehenden Angriffen zum Einsatz kam. Da Rust nicht die bevorzugte Programmiersprache der Betreiber von „The Gentlemen“ ist, ordnet ESET das Tool nicht der Gruppe selbst zu , sondern einem ihrer Partner, der unter dem Pseudonym „quant“ bekannt ist. Check Point hatte zuvor in den durchgesickerten Daten ein von „quant“ unter dem Namen „buildx641“ gepflegtes Tool identifiziert. ESET fand auf VirusTotal eine OxideHarvest-Probe mit demselben Namen und bestätigte damit, dass „buildx641“ und „OxideHarvest“ dasselbe Tool sind.

OxideHarvest zielt auf Anmeldedaten ab, die in 28 Browsern gespeichert sind, die sich auf zwei Familien verteilen. Chromium-basierte Browser: Google Chrome (einschließlich Beta und SxS), Chromium, Microsoft Edge, Torch, Comodo Dragon, Nichrome, Maxthon5, Epic Privacy Browser, Vivaldi, QIP Surf, Cent Browser, Elements Browser, TorBro, CryptoTab, Brave, Opera, Opera GX und Opera Neon. Gecko-Seite: Mozilla Firefox, Slim Browser, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat und K-Meleon. Die Einbeziehung von Browsern mit extrem geringem Marktanteil wie IceCat, K-Meleon, CryptoTab oder Cyberfox zeigt, dass der Entwickler eine umfassende Bestandsaufnahme durchgeführt hat; kein Browser wird als zu unbekannt angesehen, um ignoriert zu werden.

Das Tool wird über die Befehlszeile bedient: Der Benutzer gibt eine Liste von Hosts, Zugangsdaten, eine Anzahl von Threads und eine Ausgabedatei an. OxideHarvest stellt dann im Multithreading-Modus eine Verbindung zu den angegebenen Hosts her und exportiert die gesammelten Anmeldedaten in die angegebene Datei.

Vom Framework bis zur Erkennung: Was GentleKiller den SOC-Analysten offenbart

Die Existenz eines zentralisierten Portfolios von EDR-Killern, das von den Betreibern eines RaaS-Programms gepflegt und verbreitet wird, stellt einen Paradigmenwechsel im Ökosystem dar. Während RansomHub in ein einziges Tool investiert hatte, kombinieren The Gentlemen eigene Entwicklungen mit der pragmatischen Wiederverwendung öffentlicher Forschungsergebnisse und Tools von Drittanbietern – alles harmonisiert durch eine gemeinsame Umgehungsschicht, die die Zuordnung verschleiert. Ohne den Kontext eines Vorfalls besteht die Gefahr, dass die EDR-Killer von „The Gentlemen“ falsch oder gar nicht zugeordnet werden, wodurch das tatsächliche Ausmaß der Beteiligung der Gruppe verschleiert wird.

„ Das Verständnis der Funktionsweise von GentleKiller ermöglicht es Sicherheitsteams, ihre Verteidigungsstrategien besser zu gestalten und sich sogar gegen zukünftige Ergänzungen des Arsenals der Gruppe zu wappnen “, fasst Jakub Souček zusammen.

Die Studie von ESET liefert eine Reihe direkt verwertbarer Kompromittierungsindikatoren. Die folgende Tabelle fasst die Dateinamen und die mit jeder Variante verbundenen Treiber zusammen:

Variante	Ausführbare Datei	Hinterlassener Treiber
Kaspersky	Kasp*.exe	eb.sys
FACEIT	FaceIT*.exe	nseckrnl.sys
Valorant	Valorant*.exe	GameDriverX64.sys
Javelin	EAAntiCheat*.exe / EASolo*.exe	stpm_old.sys / stpm_new.sys
Bitdefender	BitD*.exe	dmx.sys
Malwarebytes	MB*.exe	360netmon_wfp.sys
Cleaner	Deletor.exe	IMFForceDelete
G11	G11*.exe / Symantec*.exe	PoisonX
HexKiller	Avast*.exe	googleApiUtil64.sys
ThrottleBlood	Sent*.exe	ThrottleBlood.sys
HavocKiller	Sophos*.exe / HwAudKiller.exe	havoc.sys

Die Variante G11 verdient besondere Aufmerksamkeit: Sie nutzt das Rootkit „PoisonX“ aus, dessen Einsatz bei Angriffen, die speziell auf CrowdStrike Falcon abzielten, von Xcitium dokumentiert wurde. Schließlich stellt das Staging-Verzeichnis „GentlemenCollection“ einen wiederkehrenden verhaltensbasierten Indikator (IOC) bei den der Gruppe zugeschriebenen Einbrüchen dar.

Die Geschwindigkeit, mit der die Gruppe neue anfällige Treiber integriert, macht deutlich, dass diese Indikatoren nur eine begrenzte Lebensdauer haben: Erkennungsteams sollten sie als Ausgangspunkt betrachten und nicht als feststehende Liste

Quellen:

• WeLiveSecurity (ESET): Killing me gently: Inside Gentlemen’s EDR-Killer-Framework
• WeLiveSecurity (ESET): EDR-Killer erklärt: Jenseits der Treiber
• The Hacker News: Die RaaS-Gruppe „The Gentlemen“ nutzt das GentleKiller-EDR-Framework und zielt auf über 400 Prozesse von Sicherheitstools ab
• Help Net Security: „GentleKiller zielt auf mehr als 400 Sicherheitsprozesse in 48 Produkten ab“
• Krebs on Security: Wer steht hinter der Ransomware-Gruppe „The Gentlemen“?
• PRODAFT: Ein Blick hinter die Kulissen der „Phantom Mantis“-Operation
• Group-IB: Hasta la vista, Hastalamuerte: Ein Überblick über die TTPs von „The Gentlemen“
• Check Point Research: So sprach… „The Gentlemen“
• Check Point Research: DFIR-Bericht – The Gentlemen & SystemBC: Ein Blick hinter die Kulissen des Proxys
• Ransomware.live: The Gentlemen