En febrero de 2026, los investigadores de ESET intervienen en un incidente en el que está implicado un afiliado de The Gentlemen. En el equipo comprometido, llama la atención un directorio de preparación: GentlemenCollection. En su interior, se encuentra un «EDR killer» hasta entonces desconocido. La herramienta no se parece a nada conocido. ESET la bautiza como GentleKiller y formula una hipótesis: no se trata de una herramienta personal del afiliado, sino de un componente proporcionado directamente por los operadores del programa RaaS. En los meses siguientes, el mismo patrón, las mismas herramientas y el mismo directorio de preparación reaparecen en intrusiones sin relación entre sí, todas ellas atribuidas a afiliados del grupo. Group-IB, Check Point y PRODAFT, de forma independiente, confirman que los operadores ofrecen efectivamente capacidades de neutralización de EDR a sus afiliados verificados. Posteriormente, en mayo de 2026, la filtración de datos internos de The Gentlemen aporta la prueba definitiva: en los chats, zeta88, el líder del grupo, menciona explícitamente el mantenimiento y la distribución de paquetes de «EDR killers».
El estudio publicado por ESET en junio de 2026 se basa en esta investigación a largo plazo, corroborada por los datos filtrados. Documenta en profundidad un arsenal que los informes anteriores solo habían mencionado.
The Gentlemen, un programa RaaS fundado por un veterano del ransomware
The Gentlemen es un programa RaaS fundado por un actor de habla rusa conocido bajo los seudónimos de hastalamuerte y zeta88. El grupo operaba inicialmente bajo el nombre de ArmCorp desde marzo de 2025, como un grupo de afiliados que aprovechaba los recursos de varios RaaS, antes de lanzarse como programa independiente bajo el nombre de The Gentlemen en julio de 2025. Antes de eso, hastalamuerte había estado afiliado a nada menos que cinco programas competidores: Qilin, Embargo, LockBit, Medusa y BlackLock, según PRODAFT, una empresa de ciberinteligencia que sigue al grupo bajo el nombre de Phantom Mantis.
La ruptura con Qilin fue pública y sonada: hastalamuerte acusó a los operadores, en el foro RAMP, de haber hecho desaparecer una negociación de rescate del chat de Tox; una supuesta estafa de salida por valor de 48 000 dólares. Cinco días antes de esa publicación, la primera muestra conocida del locker The Gentlemen ya había aparecido en VirusTotal: la infraestructura del nuevo programa estaba lista incluso antes de la ruptura oficial.
El 10 de junio de 2026, Brian Krebs publicó los resultados de una investigación que vinculaba a hastalamuerte/zeta88 con una identidad real: Alexander Andreevich Yapaev, de 36 años, natural de Izhevsk (República de Udmurtia, Rusia). Este hombre se presenta públicamente como director de marketing B2B en una empresa de ingeniería eléctrica. La investigación de Krebs, corroborada por Check Point, Intel 471 y PRODAFT, se basa en el cruce de datos de direcciones IP, un número de teléfono ruso vinculado a bases de datos gubernamentales pirateadas y un seudónimo de GitHub (SantaMuerte) asociado a herramientas de explotación.
El programa cuenta hasta la fecha con 517 víctimas (según datos de Ransomware.live), repartidas por el sudeste asiático, Sudamérica y Europa occidental, con una presencia notable en Tailandia, Brasil y Francia. Estados Unidos sigue siendo el país más afectado, pero su porcentaje relativo (~16 %) es claramente inferior a la media del sector, donde las víctimas estadounidenses suelen representar la mitad de las reivindicaciones de grupos de primer orden como Qilin, DragonForce o Akira. La distribución geográfica de las víctimas de The Gentlemen está más dispersa, con una presencia significativa en Tailandia, Francia y Brasil. La filtración interna reveló que los objetivos se seleccionan de forma centralizada, principalmente en función de la mala configuración de su cortafuegos FortiGate, y luego se asignan a los afiliados. El programa ofrece un reparto de ingresos del 90/10 a favor del afiliado, muy por encima de la media del mercado.
La aparición del grupo en el verano de 2025, su modelo RaaS y sus primeras campañas fueron objeto de cobertura informativa desde sus primeras reivindicaciones. Posteriormente, la organización interna, los métodos de extorsión y el uso de la IA por parte del grupo quedaron al descubierto tras la filtración de 16 GB de datos internos, analizados en mayo de 2026. El estudio de ESET aporta la pieza que faltaba en este panorama: el funcionamiento preciso del arsenal de neutralización de los EDR.
Por qué el enfoque de The Gentlemen supone un punto de inflexión
Neutralizar el EDR antes de implementar el cifrado se ha convertido en un paso crítico en casi todas las intrusiones de ransomware. Pero la responsabilidad de encontrar una herramienta fiable para hacerlo recae casi siempre en los afiliados individuales, no en los operadores del RaaS. El estudio de ESET «EDR killers explained: Beyond the drivers», publicado en marzo de 2026, documentó esta división del trabajo como la norma en el ecosistema. El único precedente destacable fue RansomHub, hoy desaparecido, cuyos operadores habían desarrollado íntegramente de forma interna una herramienta única, EDRKillShifter, que se distribuía a través del panel de afiliados.
The Gentlemen lleva esta lógica un paso más allá. En lugar de una única herramienta, el grupo mantiene una cartera diversificada que combina un marco de trabajo desarrollado internamente (GentleKiller) y herramientas de terceros obtenidas a través de canales no identificados (HexKiller, ThrottleBlood, HavocKiller), todo ello unificado mediante una capa de evasión común aplicada a los binarios compilados. «Este diseño prioriza la facilidad de implementación y la flexibilidad operativa para los afiliados, al tiempo que minimiza el esfuerzo de desarrollo para los operadores », resume Jakub Souček, el investigador de ESET que ha dirigido la investigación. Con la desaparición de RansomHub, The Gentlemen es ahora el único operador de RaaS activo cuyos investigadores han documentado este modelo de centralización de los «EDR killers».
GentleKiller, un marco modular con ocho variantes
GentleKiller es el «EDR killer» observado con mayor frecuencia en las intrusiones relacionadas con The Gentlemen. ESET ha identificado al menos ocho variantes distintas, cada una de las cuales suplantaba la identidad de un producto legítimo diferente y explotaba un controlador vulnerable o malicioso distinto mediante la técnica BYOVD (Bring Your Own Vulnerable Driver). Más allá de la capa de suplantación y la elección del controlador, el código subyacente revela características estructurales constantes de una variante a otra: cadenas de caracteres idénticas, un bucle de terminación de procesos que se ejecuta periódicamente, un amplio abanico de soluciones de seguridad como objetivo y una ofuscación del código similar. Todo ello delata el uso de una plantilla de desarrollo compartida, modificada ligeramente según la variante.
La lista de variantes revela una estrategia de camuflaje especialmente cínica. Los operadores eligen sistemáticamente nombres de archivo que imitan productos reconocidos de seguridad o de videojuegos: BitD.exe para hacerse pasar por Bitdefender, MB.exe por Malwarebytes, Kasp.exe por Kaspersky, con el fin de mimetizarse en el entorno que se disponen a desactivar. A continuación se detallan las ocho variantes documentadas por ESET:
- Kaspersky — archivo
Kasp<sufijo>.exe, que hace uso indebido del rootkit eb.sys; - FACEIT Anti-Cheat: archivo
FaceIT<sufijo>.exe, que se aprovecha del controlador NSecsoft nseckrnl.sys; - Valorant: archivo
Valorant<sufijo>.exe, que se aprovecha del controlador antitrampas GameDriverX64.sys; - Javelin: archivos
EAAntiCheat<sufijo>.exe/EASolo<sufijo>.exe, que se aprovechan de los controladores ProcessMonitor de Safetica (stpm_old.sys / stpm_new.sys); - WatchDog — archivo
BitD<sufijo>.exe(imita a Bitdefender), hace un uso indebido del controlador antimalware dmx.sys de Zemana; - Network Blocker — archivo
MB<sufijo>.exe(imita a Malwarebytes), hace un uso indebido del controlador de Qihoo 360 360netmon_wfp.sys; - Cleaner — archivo
Deletor.exe, que se aprovecha del controlador IObit IMFForceDelete (depositado sin la extensión .sys); - G11 — archivos
G11<extensión>.exe/Symantec<extensión>.exe, hace un uso indebido del rootkit PoisonX.
El <sufijo> de cada nombre de archivo no es casual: codifica el nivel de protección aplicado al ejecutable. ESET ha documentado cuatro variantes sistemáticas:
- sufijo 1: protección Enigma, firma digital falsa e información de versión falsa;
- sufijo 2: protección Themida, firma digital falsa e información de versión falsa;
- sufijo «Light »: sin empaquetador, pero con firma falsa e información de versión falsa;
- sufijo «Clear »: sin protección, sin firma falsa; la herramienta se despliega sin camuflaje.
La existencia de variantes «Clear» es reveladora: los operadores a veces despliegan un «EDR killer» totalmente sin camuflaje, cuando consideran que el entorno objetivo carece lo suficiente de protecciones como para que el esfuerzo de evasión resulte superfluo.
El alcance de los ataques es considerable. La lista general de procesos a los que apunta GentleKiller supera los 400 nombres de procesos, asociados a 48 productos de seguridad: grandes fabricantes como CrowdStrike, SentinelOne, Microsoft Defender, Sophos, ESET, Kaspersky, Palo Alto Networks o Trend Micro, pero también actores más especializados como Huntress, Binary Defense, Blumira, ThreatLocker, Darktrace o Heimdal.
Pruebas de concepto BYOVD operativas en pocos días
La arquitectura modular de GentleKiller, es decir, una plantilla compartida en la que se inserta un nuevo controlador vulnerable, tiene un efecto operativo directo: permite a los operadores de The Gentlemen integrar nuevos exploits BYOVD que se han hecho públicos con una rapidez inusual. ESET cita dos casos concretos: los exploits UnknownKiller y PoisonKiller se adoptaron «en pocos días» tras la publicación de sus respectivas pruebas de concepto. «Este diseño prioriza la facilidad de implementación y la flexibilidad operativa para los afiliados, al tiempo que minimiza el esfuerzo de desarrollo para los operadores. Permite a los operadores de The Gentlemen integrar controladores maliciosos en sus herramientas muy poco tiempo después de la divulgación de una prueba de concepto de un «EDR killer »», precisa Jakub Souček (ESET).
Esta agilidad reduce el margen de protección entre la divulgación pública de una vulnerabilidad en un controlador y su explotación en condiciones reales.
Una capa de evasión estandarizada, incluso en herramientas de terceros
Más allá del propio marco GentleKiller, los operadores aplican una estrategia de evasión unificada a todos los «EDR killers» de la cartera. El aspecto técnico clave: esta capa se aplica a los binarios compilados, y no al código fuente. Esto significa que los operadores pueden proteger incluso aquellas herramientas de las que no disponen del código fuente, como es el caso de los «EDR killers» de terceros integrados en la suite.
En la práctica, la evasión se basa en un trío coherente: nombres de archivo que imitan los de editores de seguridad reconocidos, información de versión falsificada acompañada de firmas digitales inválidas copiadas de ejecutables legítimos, e iconos que se corresponden con el producto suplantado. A esto se suma, en una parte significativa de las muestras, una protección mediante un empaquetadorcomercial (Enigma o Themida). El efecto operativo es doble: los afiliados disponen de herramientas listas para usar camufladas bajo apariencias familiares, y la atribución resulta complicada cuando se examina una muestra aislada fuera del contexto de un incidente.
Tres «EDR killers» de terceros integrados en la cartera
Además de GentleKiller, el paquete distribuido a los afiliados incluye tres herramientas de origen externo, cada una de las cuales aprovecha un controlador diferente a través de BYOVD. ESET las evalúa con un alto grado de confianza como herramientas que no han sido desarrolladas internamente por The Gentlemen, sino recuperadas y adaptadas operativamente.
HexKiller (controlador Baidu BdApi googleApiUtil64.sys, desplegado con el nombre Avast<sufijo>.exe) se consideraba anteriormente exclusivo de la banda Warlock. ESET califica su presencia en el directorio GentlemenCollectioncomo «inesperada y notable» (unexpected and noteworthy). No obstante, los investigadores precisan que esto no implica necesariamente una colaboración directa entre ambos grupos: la herramienta podría haberse obtenido a través de intercambios privados, canales de distribución secundarios o filtraciones de muestras. Esta constatación pone de manifiesto, sobre todo, la porosidad del ecosistema, en el que las herramientas circulan entre grupos rivales por vías difíciles de rastrear.
ThrottleBlood (el controlador legítimo ThrottleStop.sys de TechPowerUp, renombrado como ThrottleBlood.sys por los atacantes y desplegado con el nombre Sent<sufijo>.exe) se ha observado repetidamente en intrusiones de MedusaLocker y, de forma más esporádica, entre los afiliados de DragonForce. Trend Micro ya lo había relacionado con The Gentlemen en septiembre de 2025. ESET plantea dos hipótesis sobre su origen: o bien se trata de una herramienta comercializada en mercados clandestinos, o bien es una herramienta desarrollada por los propios operadores de MedusaLocker y compartida con sus afiliados —en cuyo caso, MedusaLocker habría anticipado, a menor escala, el modelo de centralización adoptado por The Gentlemen—. Sin embargo, ninguna de las dos hipótesis explica del todo cómo una muestra acabó en manos del grupo.
HavocKiller (controlador de audio de Huawei havoc.sys, distribuido bajo los nombres HwAudKiller.exe / Sophos<sufijo>.exe) fue documentado públicamente por Huntress el 19 de marzo de 2026, pero la telemetría de ESET confirma su uso en una intrusión real ya desde el 23 de enero de 2026, es decir, casi dos meses antes del informe público. Su arquitectura difiere sustancialmente de la de GentleKiller, lo que confirma su origen externo, aunque se le haya aplicado la capa de evasión estandarizada del grupo.
ESET señala, además, la presencia de DemoKiller en varias intrusiones, pero excluye esta herramienta del conjunto oficial del grupo: no presenta ningún vínculo con los operadores y se considera específica de determinados afiliados.
OxideHarvest, un ladrón de credenciales vinculado al afiliado «quant»
La investigación también ha sacado a la luz OxideHarvest, un ladrón de credenciales escrito en Rust, utilizado en varias intrusiones relacionadas con el grupo. Dado que Rust no es el lenguaje preferido de los operadores de The Gentlemen, ESET no atribuye la herramienta al propio grupo , sino a uno de sus afiliados, conocido bajo el seudónimo de «quant». Check Point había identificado previamente en los datos filtrados una herramienta mantenida por «quant» bajo el nombre de «buildx641». ESET ha encontrado una muestra de OxideHarvest con ese mismo nombre en VirusTotal, lo que confirma que «buildx641» y OxideHarvest son la misma herramienta.
OxideHarvest se centra en las credenciales almacenadas en 28 navegadores repartidos en dos familias. En la familia Chromium: Google Chrome (incluidas las versiones Beta y SxS), Chromium, Microsoft Edge, Torch, Comodo Dragon, Nichrome, Maxthon5, Epic Privacy Browser, Vivaldi, QIP Surf, Cent Browser, Elements Browser, TorBro, CryptoTab, Brave, Opera, Opera GX y Opera Neon. En cuanto a Gecko: Mozilla Firefox, Slim Browser, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat y K-Meleon. La presencia de navegadores muy poco comunes como IceCat, K-Meleon, CryptoTab o Cyberfox demuestra que el desarrollador ha llevado a cabo un trabajo de recopilación exhaustivo; ningún navegador se considera demasiado poco conocido como para ser ignorado.
La herramienta funciona mediante la línea de comandos: el operador proporciona una lista de hosts, credenciales de acceso, un número de subprocesos y un archivo de salida. A continuación, OxideHarvest se conecta a los hosts especificados mediante multithreading y extrae las credenciales recopiladas al archivo indicado.
Desde el marco de trabajo hasta la detección: lo que GentleKiller revela a los analistas del SOC
La existencia de un conjunto centralizado de «EDR killers», mantenido y distribuido por los operadores de un programa RaaS, supone un cambio de modelo en el ecosistema. Mientras que RansomHub había invertido en una única herramienta, The Gentlemen combina el desarrollo propio con la reutilización pragmática de investigaciones públicas y herramientas de terceros, todo ello armonizado por una capa de evasión común que dificulta la atribución. Sin un contexto de incidente, los «EDR killers» de The Gentlemen corren el riesgo de ser atribuidos erróneamente, o incluso de no ser atribuidos en absoluto, lo que oculta el alcance real de la implicación del grupo.
«Comprender el funcionamiento de GentleKiller permite a los equipos de seguridad diseñar mejor sus estrategias defensivas y protegerse incluso contra futuras incorporaciones al arsenal del grupo », concluye Jakub Souček.
El estudio de ESET proporciona un conjunto de indicadores de compromiso directamente aprovechables. La tabla siguiente resume los nombres de los archivos y los controladores asociados a cada variante:
| Variante | Ejecutable | Controlador depositado |
|---|---|---|
| Kaspersky | Kasp*.exe | eb.sys |
| FACEIT | FaceIT*.exe | nseckrnl.sys |
| Valorant | Valorant*.exe | GameDriverX64.sys |
| Javelin | EAAntiCheat*.exe / EASolo*.exe | stpm_old.sys / stpm_new.sys |
| Bitdefender | BitD*.exe | dmx.sys |
| Malwarebytes | MB*.exe | 360netmon_wfp.sys |
| Cleaner | Deletor.exe | IMFForceDelete |
| G11 | G11*.exe / Symantec*.exe | PoisonX |
| HexKiller | Avast*.exe | googleApiUtil64.sys |
| ThrottleBlood | Sent*.exe | ThrottleBlood.sys |
| HavocKiller | Sophos*.exe / HwAudKiller.exe | havoc.sys |
La variante G11 merece una atención especial: hace uso indebido del rootkit PoisonX, cuyo uso en ataques dirigidos específicamente contra CrowdStrike Falcon ha documentado Xcitium. Por último, el directorio de preparación GentlemenCollection constituye un indicador de comportamiento (IOC) recurrente en las intrusiones atribuidas al grupo.
La rapidez con la que el grupo incorpora nuevos controladores vulnerables nos recuerda que estos indicadores tienen una vida útil limitada: los equipos de detección deben tratarlos como un punto de partida, no como una lista estática
Fuentes:
- WeLiveSecurity (ESET): Killing me gently: Inside Gentlemen’s EDR killer framework
- WeLiveSecurity (ESET): EDR killers explained: Beyond the drivers
- The Hacker News: El RaaS «The Gentlemen» utiliza el marco EDR «GentleKiller» para atacar más de 400 procesos de herramientas de seguridad
- Help Net Security: «GentleKiller ataca a más de 400 procesos de seguridad en 48 productos»
- Krebs on Security: ¿Quién dirige el grupo de ransomware «The Gentlemen»?
- PRODAFT: Dentro de la operación «Phantom Mantis»
- Group-IB: Hasta la vista, Hastalamuerte: una visión general de las TTP de «The Gentlemen»
- Check Point Research: Así habló… «The Gentlemen»
- Check Point Research: Informe DFIR – The Gentlemen y SystemBC: un vistazo entre bastidores al proxy
- Ransomware.live: The Gentlemen
