Il gruppo Gentlemen sviluppa, mantiene e fornisce agli affiliati una suite EDR-killers proprietaria e denominata ‘GentleKiller’, con almeno otto varianti basate su driver vulnerabili o malevoli e integrata con strumenti di terze parti (HexKiller, ThrottleBlood e HavocKiller)
ESET, leader europeo globale nel mercato della cybersecurity, ha analizzato il potente set di strumenti utilizzato dal gruppo di ransomware-as-a-service (RaaS) Gentlemen per eludere i sistemi EDR. Dall’inizio del 2026, Gentlemen si è affermata come una delle gang più attive nell’ecosistema del ransomware. Il gruppo si distingue per un insieme avanzato di strumenti di disattivazione dei sistemi di rilevamento e risposta sugli endpoint (EDR) – strumenti utilizzati per neutralizzare il software di sicurezza – gestiti direttamente dagli operatori. Inoltre, a differenza della maggior parte delle gang top-tier, Gentlemen non mostra una forte predilezione per le vittime statunitensi, ma prende di mira soggetti in tutto il Sud-Est asiatico, il Sudamerica e l’Europa occidentale. Tra i Paesi target dell’organizzazione ne figurano alcuni di solito poco bersagliati, come la Thailandia, il Brasile e la Francia.
“Sebbene negli ultimi mesi siano stati pubblicati numerosi articoli su Gentlemen, nessuno di questi si è concentrato su un’analisi dettagliata delle tecniche utilizzate dal gruppo per eludere i sistemi EDR. Grazie alla costante visibilità a livello di singolo incidente garantita da ESET, siamo in grado di fornire una visione approfondita e unica delle pratiche di sviluppo degli EDR-killers di Gentlemen. La fuga di dati interni subita da Gentlemen nel maggio 2026 ci ha permesso di comprendere meglio il funzionamento interno del gruppo,” afferma Jakub Souček, ESET researcher che si occupa di monitorare gli EDR killers. “La fuga di notizie ci ha inoltre permesso di confermare l’ipotesi che avevamo formulato nel febbraio 2026: gli operatori di Gentlemen sviluppano e mantengono attivamente un portfolio di EDR killers che offrono ai propri affiliati, incentrato sul framework interno, che noi abbiamo denominato GentleKiller.”
Inoltre, il gruppo integra strumenti di terze parti o divulgati senza autorizzazione quali HexKiller, ThrottleBlood e HavocKiller. Questi strumenti sono standardizzati attraverso un livello condiviso di elusione dei sistemi di difesa, che impersonano prevalentemente fornitori di soluzioni di sicurezza utilizzando informazioni di versione false e certificati e icone legittimi copiati. Gentlemen dimostra inoltre una capacità insolitamente rapida di rendere operativi i proof-of-concept Bring Your Own Vulnerable Driver appena divulgati, spesso entro pochi giorni dal loro rilascio pubblico. Oltre agli EDR killers, ESET ha anche identificato uno strumento per il furto di credenziali denominato OxideHarvest; questo strumento è stato sviluppato da uno degli affiliati di Gentlemen.
Per contestualizzare, Gentlemen è emersa alla fine del 2025 come un’operazione RaaS (Ransomware-as-a-Service) ed è rapidamente diventata una delle gang di ransomware più attive osservate nel primo trimestre del 2026. Il gruppo offre agli affiliati una quota particolarmente generosa pari al 90% dei profitti. Gentlemen utilizza una strategia dii doppia estorsione: oltre a crittografare i dati delle vittime, il gruppo minaccia anche di divulgarli se il riscatto non viene pagato.
Uno degli aspetti che contraddistingue Gentlemen è la disponibilità del gruppo a offrire agli affiliati qualcosa in più dei semplici strumenti di crittografia – in particolare, il gruppo fornisce anche EDR killers. Gentlemen rappresenta un approccio diverso e, finora, poco documentato. Anziché affidarsi agli affiliati per procurarsi autonomamente tali strumenti, gli operatori di Gentlemen sviluppano e gestiscono attivamente un portfolio di EDR killers per gli affiliati.
Sebbene la vittimologia delle grandi operazioni RaaS sia spesso determinata più dalle scelte degli affiliati che dalla strategia guidata dagli operatori, emerge comunque un modello particolare. La maggior parte delle principali bande di ransomware mostra un forte e persistente interesse per gli Stati Uniti, che spesso rappresentano circa la metà di tutte le vittime dichiarate. Gentlemen si distingue come una notevole eccezione a questa tendenza. Nonostante figuri tra le cinque gang di ransomware più attive nel primo trimestre del 2026, la sua vittimologia non mostra una concentrazione comparabile sugli Stati Uniti. Al contrario, gli affiliati di Gentlemen prendono di mira costantemente vittime in un ampio ventaglio di Paesi geograficamente diversificati, con un numero significativo di vittime provenienti da regioni quali il Sud-Est asiatico, il Sudamerica e l’Europa occidentale.
Gli operatori di Gentlemen applicano una serie specifica di tecniche di elusione dei sistemi di difesa ai vari EDR killers della gang. Queste tecniche vengono applicate a campioni compilati piuttosto che al codice sorgente. Questo offre a Gentlemen la possibilità di proteggere anche gli EDR killers di cui la banda non possiede il codice sorgente. GentleKiller è di gran lunga l’EDR killer più diffuso osservato nell’ecosistema di Gentlemen.
Ad oggi, ESET Research ha individuato otto varianti distinte, ciascuna delle quali si spaccia per un prodotto legittimo diverso e sfrutta un diverso driver vulnerabile o dannoso. Nonostante queste differenze di superficie, ESET classifica tutti questi campioni sotto il nome di GentleKiller in virtù dell’elevato grado di caratteristiche interne comuni.
“Dal punto di vista della difesa, comprendere il funzionamento di GentleKiller consente ai difensori di elaborare strategie difensive più efficaci e di proteggersi anche contro eventuali nuove funzionalità ancora da sviluppare dell’arsenale di EDR-killers di Gentlemen”, conclude Souček.
){kind=link}