🎯 Contexte

Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opérateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classé parmi les cinq groupes ransomware les plus actifs au T1 2026.

👤 Acteurs et structure

Le groupe a été fondé par un acteur connu sous le pseudonyme hastalamuerte, ancien affilié de Qilin, avec des liens documentés vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publié des éléments d’identification réelle de cet acteur le 10 juin 2026. Le groupe propose à ses affiliés une part de revenus de 90%.

🌍 Victimologie

Contrairement à la majorité des groupes ransomware, Gentlemen cible une victimologie globalement distribuée : Asie du Sud-Est (Thaïlande), Amérique du Sud (Brésil), Europe de l’Ouest (France). La sélection des victimes repose principalement sur des mauvaises configurations FortiGate, indiquant une stratégie de ciblage technique plutôt que géographique. Le groupe pratique la double extorsion.

🔧 Suite EDR Killer

GentleKiller est le framework central, développé en interne et documenté pour la première fois par ESET en février 2026 :

  • Au moins 8 variantes identifiées, chacune abusant d’un driver vulnérable différent
  • Cible plus de 400 processus appartenant à 48 produits de sécurité (CrowdStrike, SentinelOne, Microsoft Defender, Sophos, Kaspersky, ESET)
  • Capacité à weaponiser rapidement des PoC BYOVD en quelques jours après divulgation publique

Trois outils externes sont intégrés dans le répertoire GentlemenCollection :

  • HexKiller : abuse du driver Baidu Antivirus BdApi, précédemment associé au gang Warlock
  • ThrottleBlood : observé dans des intrusions MedusaLocker et DragonForce, exploite un driver TechPowerUp LLC
  • HavocKiller : abuse du driver audio Huawei (havoc.sys), utilisé dès le 23 janvier 2026, divulgué publiquement par Huntress le 19 mars 2026

🛡️ Stratégie d’évasion unifiée

Tous les outils bénéficient d’une couche d’évasion standardisée :

  • Packers Enigma ou Themida
  • Métadonnées de version falsifiées
  • Signatures numériques invalides copiées
  • Icônes imitant des éditeurs légitimes

🔑 Credential Stealer affilié

OxideHarvest, un stealer en Rust ciblant les navigateurs Chromium et Gecko, est lié à l’affilié Gentlemen quant. Un échantillon a été identifié sur VirusTotal sous le nom buildx641.exe.

📋 Type d’article

Analyse technique approfondie à destination des équipes CTI et défensives, visant à documenter les capacités offensives du groupe Gentlemen et les signatures comportementales de sa suite EDR killer.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Gentlemen (cybercriminal) —
  • hastalamuerte (cybercriminal) —
  • quant (cybercriminal) —
  • Qilin (cybercriminal) —
  • LockBit (cybercriminal) — MITRE ATT&CK
  • Embargo (cybercriminal) —
  • Medusa (cybercriminal) —
  • BlackLock (cybercriminal) —
  • Warlock (cybercriminal) —
  • MedusaLocker (cybercriminal) —
  • DragonForce (cybercriminal) — orkl.eu · Malpedia

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1657 — Financial Theft (Impact)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1014 — Rootkit (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
  • T1543 — Create or Modify System Process (Persistence)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1489 — Service Stop (Impact)
  • T1480 — Execution Guardrails (Defense Evasion)

IOC

  • SHA1 : 8AE6BD18B129061F63642531F1B684CF0383C75DVT · MalwareBazaar
  • SHA1 : BA914FE77B177B45799403B16DEB914FE77B177BVT · MalwareBazaar
  • SHA1 : 56BEE9DF5833A637F5C54D5911DF98B0812FE643VT · MalwareBazaar
  • SHA1 : CF4D74DF17A91B4A36A2911B22AFEC5D8FA93A01VT · MalwareBazaar
  • SHA1 : 7131B377E96016DC1911020C9F95B1B4D042D7B4VT · MalwareBazaar
  • SHA1 : F0537CBB773AE12100B36731E7C39F5A9D852B14VT · MalwareBazaar
  • SHA1 : A5CF917EC4A7DFBDFA43621398604805D860C718VT · MalwareBazaar
  • Fichiers : Kasps.exe
  • Fichiers : eb.sys
  • Fichiers : G11.sys
  • Fichiers : Avast.exe
  • Fichiers : Sent.exe
  • Fichiers : Sophos.exe
  • Fichiers : buildx641.exe
  • Fichiers : havoc.sys

Malware / Outils

  • GentleKiller (tool)
  • HexKiller (tool)
  • ThrottleBlood (tool)
  • HavocKiller (tool)
  • UnknownKiller (tool)
  • PoisonKiller (tool)
  • OxideHarvest (stealer)
  • Enigma (tool)
  • Themida (tool)

🟢 Indice de vérification factuelle : 80/100 (haute)

  • ✅ cyberpress.org — source reconnue (Rösti community) (20pts)
  • ✅ 5397 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 15 IOCs dont des hashes (15pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 13 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Gentlemen, hastalamuerte, quant (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cyberpress.org/gentlemen-edr-killer-suite/