MtoM Mag - Le journal de l'MtoM.

 Les opérateurs de Gentlemen développent et fournissent directement à leurs affiliés une gamme complète d’outils anti-EDR (EDR Killers).
 Leur framework propriétaire, GentleKiller, compte au moins huit variantes exploitant différents pilotes vulnérables ou malveillants.
 L’ensemble de ces outils repose sur des mécanismes d’évasion communs visant à uniformiser l’usurpation et le contournement des défenses.
 Gentlemen intègre également plusieurs outils anti-EDR tiers, dont HexKiller, ThrottleBlood et HavocKiller.
 Contrairement à la plupart des groupes de ransomware, Gentlemen cible des organisations dans le monde entier, sans se concentrer particulière sur les États-Unis.

Les chercheurs d’ESET ont analysé l’arsenal avancé d’outils de neutralisation (EDR KILLERS) des solutions EDR (Endpoint Detection and Response) utilisé par Gentlemen, un groupe de ransomware-as-a-service (RaaS). Depuis le début de l’année 2026, Gentlemen s’est imposé comme l’un des groupes les plus actifs de l’écosystème ransomware. Le gang se distingue notamment par le développement et la maintenance d’un ensemble mature d’outils destinés à désactiver ou contourner les solutions de sécurité. Contrairement à la plupart des principaux acteurs du rançongiciel, Gentlemen ne concentre pas ses activités sur les États-Unis. Ses affiliés ciblent, entres autres, des organisations en Asie du Sud-Est, en Amérique du Sud et en Europe de l’Ouest, avec un intérêt marqué pour des pays habituellement moins visés, comme la Thaïlande, le Brésil ou encore la France.

« Plusieurs analyses consacrées à Gentlemen ont été publiées ces derniers mois, mais aucune ne s’était véritablement penchée sur les mécanismes et le développement de ses outils de neutralisation des EDR. Grâce à notre visibilité continue sur les incidents impliquant ce groupe, nous sommes en mesure d’apporter un éclairage inédit sur les pratiques de développement mises en œuvre par ses opérateurs. D’autre part, la fuite de données internes dont Gentlemen a été victime en mai 2026 nous a également permis de mieux comprendre son organisation et ses processus internes », explique Jakub Souèek, chercheur chez ESET spécialisé dans l’étude des outils de contournement des EDR. « Cette fuite a notamment confirmé une hypothèse formulée par nos équipes dès février 2026 : les opérateurs de Gentlemen développent activement et maintiennent un portefeuille d’outils anti-EDR mis à disposition de leurs affiliés, articulé autour d’un framework propriétaire que nous avons baptisé GentleKiller. »

Outre ses développements internes, Gentlemen s’appuie également sur des outils tiers ou issus de fuites, tels que HexKiller, ThrottleBlood ou HavocKiller. Ces différents composants sont harmonisés au sein d’une couche commune d’évasion des mécanismes de défense. Les opérateurs usurpent notamment l’identité de fournisseurs de sécurité en utilisant de faux numéros de version ainsi que des certificats et icônes légitimes copiés. Les chercheurs ont également observé la capacité du groupe à intégrer rapidement de nouvelles techniques de type Bring Your Own Vulnerable Driver (BYOVD), parfois seulement quelques jours après la publication des preuves de concept correspondantes. Au-delà des outils anti-EDR, ESET a également identifié un voleur d’identifiants, baptisé OxideHarvest, développé par l’un des affiliés du groupe.

Pour rappel, Gentlemen émerge fin 2025 en tant qu’opération RaaS et s’impose rapidement comme l’un des groupes les plus actifs au premier trimestre 2026. Son modèle économique repose sur une rémunération particulièrement attractive, avec jusqu’à 90 % des revenus reversés aux affiliés. Le groupe pratique également la double extorsion car, en plus du chiffrement des systèmes, il menace de publier les données dérobées en cas de non-paiement de la rançon. L’un des marqueurs différenciants de Gentlemen réside dans son offre élargie aux affiliés. Au-delà du ransomware lui-même, le groupe fournit des capacités offensives avancées, notamment des outils de neutralisation EDR. Cette approche tranche avec le modèle habituel où les affiliés doivent se procurer leurs propres outils d’évasion. Ici, les opérateurs internalisent et maintiennent un véritable catalogue de killers EDR prêt à l’emploi.

Si la victimologie des opérations RaaS est souvent influencée par les choix des affiliés, certaines tendances globales se dégagent. La majorité des grands groupes ciblent fortement les États-Unis, qui concentrent généralement près de la moitié des victimes publiquement revendiquées. Gentlemen fait figure d’exception. Bien qu’il figure parmi les cinq groupes les plus actifs au premier trimestre 2026, il ne présente pas de biais significatif en faveur du marché américain. À l’inverse, ses affiliés ciblent un éventail géographique large, avec une présence marquée en Asie du Sud-Est, en Amérique du Sud et en Europe de l’Ouest.

Les opérateurs de Gentlemen appliquent un socle standardisé de techniques d’évasion à l’ensemble de leurs killers EDR. Particularité notable, ces mécanismes sont intégrés directement aux binaires compilés plutôt qu’au code source. Cette approche leur permet également de renforcer des outils dont ils ne possèdent pas forcément les sources. Dans cet écosystème, GentleKiller s’impose comme l’outil de neutralisation EDR le plus largement observé. À ce jour, les chercheurs d’ESET ont identifié huit variantes distinctes de GentleKiller. Chacune usurpe l’identité d’un logiciel légitime différent et exploite un pilote vulnérable ou malveillant spécifique. Malgré ces différences apparentes, l’analyse révèle un socle technique commun particulièrement important, justifiant leur regroupement sous l’appellation unique de GentleKiller.

« Du point de vue défensif, comprendre les mécanismes internes de GentleKiller permet aux équipes de sécurité d’anticiper et d’adapter leurs stratégies. Cette connaissance améliore la résilience, y compris face à de futures évolutions de l’arsenal Gentlemen encore inconnues », conclut Souèek.