https://cyberveille.ch/tags/havockiller/ Recent content in HavocKiller on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-gentlemen-raas-analyse-approfondie-du-framework-edr-killer-gentlekiller/ Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-gentlemen-raas-analyse-approfondie-du-framework-edr-killer-gentlekiller/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d&rsquo;une investigation de plusieurs mois sur le groupe <strong>Gentlemen</strong>, un gang <strong>ransomware-as-a-service (RaaS)</strong> apparu fin 2025 et devenu l&rsquo;un des plus actifs au premier trimestre 2026. L&rsquo;analyse a été enrichie par une <strong>fuite de données interne</strong> du groupe survenue en mai 2026.</p> <h2 id="-profil-du-groupe-gentlemen">🎭 Profil du groupe Gentlemen</h2> <ul> <li>Fondé par l&rsquo;alias <strong>hastalamuerte</strong> (également connu sous <strong>zeta88</strong>), ancien affilié mécontent de <strong>Qilin</strong></li> <li>Membres précédemment affiliés à <strong>Qilin, Embargo, LockBit, Medusa et BlackLock</strong></li> <li>Offre une part de <strong>90% aux affiliates</strong></li> <li>Utilise la <strong>double extorsion</strong> (chiffrement + menace de fuite)</li> <li>Encrypteur <strong>Go</strong> (Windows, Linux) et variante <strong>ESXi en C</strong></li> <li>Victimologie atypique : <strong>Asie du Sud-Est, Amérique du Sud, Europe de l&rsquo;Ouest</strong> (pas de focus US)</li> <li>Sélection des victimes basée sur les <strong>mauvaises configurations FortiGate</strong></li> </ul> <h2 id="-arsenal-edr-killers">🛠️ Arsenal EDR Killers</h2> <h3 id="gentlekiller-outil-maison">GentleKiller (outil maison)</h3> <ul> <li><strong>8 variantes</strong> documentées, chacune abusant d&rsquo;un driver différent</li> <li>Cible <strong>plus de 400 processus</strong> mappés à <strong>48 produits</strong> de sécurité</li> <li>Déployé dans le répertoire <code>GentlemenCollection</code></li> <li>Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique</li> <li>Intégration rapide de nouveaux <strong>BYOVD PoCs</strong> (en quelques jours)</li> </ul> <h3 id="drivers-abusés-par-gentlekiller-">Drivers abusés par GentleKiller :</h3> <ul> <li><code>eb.sys</code> (rootkit Kaspersky PoC)</li> <li><code>nseckrnl.sys</code> (NSecsoft NSecKrnl)</li> <li><code>GameDriverX64.sys</code> (anti-cheat Valorant)</li> <li><code>stpm_old.sys</code> / <code>stpm_new.sys</code> (Safetica ProcessMonitor)</li> <li><code>dmx.sys</code> (Zemana WatchDog Antimalware)</li> <li><code>360netmon_wfp.sys</code> (Qihoo 360)</li> <li><code>IMFForceDelete</code> (IObit ForceDelete)</li> <li><code>G11.sys</code> / PoisonX rootkit</li> </ul> <h3 id="outils-tiers-intégrés-">Outils tiers intégrés :</h3> <ul> <li><strong>HexKiller</strong> : précédemment associé au gang Warlock, abuse <code>googleApiUtil64.sys</code> (Baidu Antivirus BdApi)</li> <li><strong>ThrottleBlood</strong> : observé chez MedusaLocker et DragonForce, abuse <code>ThrottleBlood.sys</code> (TechPowerUp LLC)</li> <li><strong>HavocKiller</strong> : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse <code>havoc.sys</code> (Huawei Audio driver)</li> </ul> <h2 id="-stratégie-dévasion-défensive">🛡️ Stratégie d&rsquo;évasion défensive</h2> <ul> <li>Protection binaire avancée : <strong>Enigma</strong> ou <strong>Themida</strong></li> <li><strong>Usurpation d&rsquo;identité</strong> de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides)</li> <li>Suffixes de nommage standardisés : <code>1</code> (Enigma), <code>2</code> (Themida), <code>Light</code> (aucun packer), <code>Clear</code> (aucune protection)</li> </ul> <h2 id="-oxideharvest-credential-stealer">🔑 OxideHarvest (credential stealer)</h2> <ul> <li>Écrit en <strong>Rust</strong>, attribué à l&rsquo;affilié <strong>quant</strong> (outil nommé <code>buildx641</code>)</li> <li>Vole les credentials de <strong>navigateurs Chromium et Gecko</strong></li> <li>Paramètres CLI : <code>-i</code> (hosts), <code>-u</code> (username), <code>-p</code> (password), <code>-t</code> (threads), <code>-o</code> (output)</li> <li>Emballé dans différents packers avec usurpation d&rsquo;identité similaire</li> </ul> <h2 id="-type-darticle">📋 Type d&rsquo;article</h2> <p>Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives.</p>