🔍 Contexte

Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026.

🎭 Profil du groupe Gentlemen

  • Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin
  • Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock
  • Offre une part de 90% aux affiliates
  • Utilise la double extorsion (chiffrement + menace de fuite)
  • Encrypteur Go (Windows, Linux) et variante ESXi en C
  • Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US)
  • Sélection des victimes basée sur les mauvaises configurations FortiGate

🛠️ Arsenal EDR Killers

GentleKiller (outil maison)

  • 8 variantes documentées, chacune abusant d’un driver différent
  • Cible plus de 400 processus mappés à 48 produits de sécurité
  • Déployé dans le répertoire GentlemenCollection
  • Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique
  • Intégration rapide de nouveaux BYOVD PoCs (en quelques jours)

Drivers abusés par GentleKiller :

  • eb.sys (rootkit Kaspersky PoC)
  • nseckrnl.sys (NSecsoft NSecKrnl)
  • GameDriverX64.sys (anti-cheat Valorant)
  • stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor)
  • dmx.sys (Zemana WatchDog Antimalware)
  • 360netmon_wfp.sys (Qihoo 360)
  • IMFForceDelete (IObit ForceDelete)
  • G11.sys / PoisonX rootkit

Outils tiers intégrés :

  • HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi)
  • ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC)
  • HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver)

🛡️ Stratégie d’évasion défensive

  • Protection binaire avancée : Enigma ou Themida
  • Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides)
  • Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection)

🔑 OxideHarvest (credential stealer)

  • Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641)
  • Vole les credentials de navigateurs Chromium et Gecko
  • Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output)
  • Emballé dans différents packers avec usurpation d’identité similaire

📋 Type d’article

Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Gentlemen (cybercriminal) —
  • Warlock (cybercriminal) —
  • MedusaLocker (cybercriminal) —
  • DragonForce (cybercriminal) — orkl.eu · Malpedia
  • RansomHub (cybercriminal) — orkl.eu · Malpedia
  • Qilin (cybercriminal) —
  • LockBit (cybercriminal) — MITRE ATT&CK
  • Medusa (cybercriminal) —
  • BlackLock (cybercriminal) —
  • Embargo (cybercriminal) —

TTP

  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1106 — Native API (Execution)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1036 — Masquerading (Defense Evasion)
  • T1036.001 — Masquerading: Invalid Code Signature (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)

IOC

  • SHA1 : 8AE6BD18B129061F63642531F1B684CF0383C75DVT · MalwareBazaar
  • SHA1 : BA914FE77B177B45799403B16DD14765C510A074VT · MalwareBazaar
  • SHA1 : D605994FC72A2BB59B5CFB1624A1B9170ECA73A2VT · MalwareBazaar
  • SHA1 : B0B912A3FD1C05D72080848EC4C92880004021A1VT · MalwareBazaar
  • SHA1 : 5AA3124E5C4921E5EDFC60133B5D71DA21B07DA3VT · MalwareBazaar
  • SHA1 : 7556AE58C215B8245A43F764F0676C7A8F0FDD1AVT · MalwareBazaar
  • SHA1 : 331879F5EEC8892BBD896F90BDBB1BAD0BF63BD6VT · MalwareBazaar
  • SHA1 : F11AEBCCB9A86A7E2E653F90BAEC697F233C255FVT · MalwareBazaar
  • SHA1 : EF9CD06683159397F099CAA244E94E6EAAD96EBAVT · MalwareBazaar
  • SHA1 : 711EF221526997039E80913F7BE650CEA1D06990VT · MalwareBazaar
  • SHA1 : A11EE9CDC59E5CAA59AE4A18DB9647C91680BBE2VT · MalwareBazaar
  • SHA1 : 68FEC379F2AE76C3D2CEFD27B30D104F3AD68E62VT · MalwareBazaar
  • SHA1 : 96F0DBF52AED0AFD43E44500116B04B674F7358EVT · MalwareBazaar
  • SHA1 : 2F86898528C6CAB3540C486A9BFAA0C029B73950VT · MalwareBazaar
  • SHA1 : 9AD51AD97C01E97AB59214116740785E0F6320A8VT · MalwareBazaar
  • SHA1 : A19117175DBC9BA4D23B5DCE8415E299A2E32192VT · MalwareBazaar
  • SHA1 : 12500F6C87CE62712A0ED6652C57468D15C14223VT · MalwareBazaar
  • SHA1 : D29670E684E40DDC89B47010C37CBC96737035B6VT · MalwareBazaar
  • SHA1 : 56BEE9DF5833A637F5C54D5911DF98B0812FE643VT · MalwareBazaar
  • SHA1 : CF4D74DF17A91B4A36A2911B22AFEC5D8FA93A01VT · MalwareBazaar
  • SHA1 : EC296F9501AD71E430810CB5CDC38D954D4BA536VT · MalwareBazaar
  • SHA1 : 7131B377E96016DC19110CB5CDC38D954D4BA536VT · MalwareBazaar
  • SHA1 : 020C9F95B1B4D042D7B482ED942A52CDCF120A89VT · MalwareBazaar
  • SHA1 : 19730E00BA37619661A3F0537CBB773AE12100B3VT · MalwareBazaar
  • SHA1 : 6731E7C39F5A9D852B141FA071303FB846308571VT · MalwareBazaar
  • SHA1 : E64727501FB98B1C2BE6A5CF917EC4A7DFBDFA43VT · MalwareBazaar
  • SHA1 : 621398604805D860C718D4B19141102015D43632VT · MalwareBazaar
  • Emails : threatintel@eset.com
  • Fichiers : Kasps.exe
  • Fichiers : eb.sys
  • Fichiers : FaceIT1.exe
  • Fichiers : nseckrnl.sys
  • Fichiers : Valorant2.exe
  • Fichiers : vgk.sys
  • Fichiers : EASolo2Light.exe
  • Fichiers : EASOLO1clear.exe
  • Fichiers : EAAntiCheatLight.exe
  • Fichiers : stpm_old.sys
  • Fichiers : stpm_new.sys
  • Fichiers : BitD1.exe
  • Fichiers : dmx.sys
  • Fichiers : MB2.exe
  • Fichiers : 360netmon_wfp.sys
  • Fichiers : Deletor.exe
  • Fichiers : IMFForceDelete
  • Fichiers : Symantec.exe
  • Fichiers : G11.sys
  • Fichiers : Avast.exe
  • Fichiers : googleApiUtil64.sys
  • Fichiers : Sent.exe
  • Fichiers : ThrottleBlood.sys
  • Fichiers : Sophos.exe
  • Fichiers : havoc.sys
  • Fichiers : buildx641.exe
  • Fichiers : buildx64.exe
  • Fichiers : GameDriverX64.sys
  • Chemins : GentlemenCollection

Malware / Outils

  • GentleKiller (tool)
  • HexKiller (tool)
  • ThrottleBlood (tool)
  • HavocKiller (tool)
  • OxideHarvest (stealer)
  • EDRKillShifter (tool)
  • DemoKiller (tool)

🟢 Indice de vérification factuelle : 80/100 (haute)

  • ✅ welivesecurity.com — source reconnue (liste interne) (20pts)
  • ✅ 33296 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 57 IOCs dont des hashes (15pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Gentlemen, Warlock, MedusaLocker (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/