ESET analizza il set di strumenti utilizzato dal gruppo di ransomware-as-a-service Gentlemen ideato e sviluppato per eludere i sistemi EDR attraverso la suite EDR-killers proprietaria ‘GentleKiller’. Da inizio 2026, il RaaS si è imposto come una tra le gang più attive nell’ecosistema del ransomware. Il gruppo si distingue per un insieme avanzato di strumenti di disattivazione dei sistemi di rilevamento e risposta sugli endpoint (EDR).
Ovvero strumenti utilizzati per neutralizzare il software di sicurezza direttamente dagli operatori. Inoltre, a differenza della maggior parte delle gang top-tier, Gentlemen non predilige le vittime USA, ma prende di mira soggetti in tutto Sud-Est asiatico, Sudamerica ed Europa occidentale. Tra i Paesi target alcuni solitamente poco bersagliati, come Thailandia, Brasile, Francia.
Da ESET visione inedita dello sviluppo degli EDR-killers di Gentlemen
Jakub Souček, ESET researcher che si occupa di monitorare gli EDR killers
Sebbene negli ultimi mesi siano stati pubblicati numerosi articoli su Gentlemen, nessuno di questi si è concentrato su un’analisi dettagliata delle tecniche utilizzate dal gruppo per eludere i sistemi EDR. Grazie alla costante visibilità a livello di singolo incidente garantita da ESET, siamo in grado di fornire una visione approfondita e unica delle pratiche di sviluppo degli EDR-killers di Gentlemen.La fuga di dati interni subita da Gentlemen nel maggio 2026 ci ha permesso di comprendere meglio il funzionamento interno del gruppo. La fuga di notizie ci ha inoltre permesso di confermare l’ipotesi che avevamo formulato nel febbraio 2026. Ovvero: gli operatori di Gentlemen sviluppano e mantengono attivamente un portfolio di EDR killers che offrono ai propri affiliati, incentrato sul framework interno, che noi abbiamo denominato GentleKiller.
Scoperto anche OxideHarvest, strumento per rubare credenziali
Inoltre, il gruppo integra strumenti di terze parti o divulgati senza autorizzazione come HexKiller, ThrottleBlood e HavocKiller. Questi strumenti sono standardizzati attraverso un livello condiviso di elusione dei sistemi di difesa. Questi impersonano prevalentemente fornitori di soluzioni di sicurezza utilizzando informazioni di versione false e certificati e icone legittimi copiati. Gentlemen dimostra inoltre una capacità insolitamente rapida di rendere operativi i proof-of-concept Bring Your Own Vulnerable Driver appena divulgati, spesso entro pochi giorni dal loro rilascio pubblico. Oltre agli EDR killers, ESET ha anche identificato uno strumento per il furto di credenziali denominato OxideHarvest, sviluppato da uno degli affiliati di Gentlemen.
Gentlement offre a chi si affilia il 90% dei profitti
Gentlemen è emersa alla fine del 2025 come un’operazione RaaS (Ransomware-as-a-Service) ed è rapidamente diventata una delle gang di ransomware più attive osservate nel primo trimestre del 2026. Il gruppo offre agli affiliati una quota particolarmente generosa pari al 90% dei profitti. Utilizza una strategia di doppia estorsione. Cioè oltre a crittografare i dati delle vittime, il gruppo minaccia anche di divulgarli se il riscatto non viene pagato. Tra le peculiarità la disponibilità del gruppo a offrire agli affiliati qualcosa in più dei semplici strumenti di crittografia. Gentlemen haa un approccio diverso. Anziché affidarsi agli affiliati per procurarsi autonomamente tali strumenti, gli operatori di Gentlemen sviluppano e gestiscono attivamente un portfolio di EDR killers per gli affiliati.
Tra le aree target Sud-Est asiatico, Sudamerica, Europa occhidentale
Sebbene la vittimologia delle grandi operazioni RaaS sia spesso determinata più dalle scelte degli affiliati che dalla strategia guidata dagli operatori, emerge comunque un modello particolare. La maggior parte delle principali bande di ransomware mostra un persistente interesse per gli Stati Uniti, che spesso rappresentano circa la metà di tutte le vittime dichiarate. Gentlemen si distingue come un’eccezione. Infatti, nonostante figuri tra le 5 gang di ransomware più attive nel primo trimestre 2026, la sua vittimologia non mostra una concentrazione comparabile sugli Stati Uniti. Al contrario, gli affiliati di Gentlemen prendono di mira costantemente vittime in un ampio ventaglio di Paesi geograficamente diversificati.
GentleKiller è l’EDR killer più diffuso
Gli operatori di Gentlemen applicano una serie specifica di tecniche di elusione dei sistemi di difesa ai vari EDR killers della gang. Queste tecniche vengono applicate a campioni compilati piuttosto che al codice sorgente. Questo offre a Gentlemen la possibilità di proteggere anche gli EDR killers di cui la banda non possiede il codice sorgente. GentleKiller è di gran lunga l’EDR killer più diffuso osservato nell’ecosistema di Gentlemen.
Focus su strategie difensive più efficaci
Ad oggi, ESET Research ha individuato 8 varianti distinte, ciascuna delle quali si spaccia per un prodotto legittimo diverso e sfrutta un diverso driver vulnerabile o dannoso. Nonostante queste differenze di superficie, ESET classifica tutti questi campioni sotto il nome di GentleKiller in virtù dell’elevato grado di caratteristiche interne comuni.
Jakub Souček, ESET researcher che si occupa di monitorare gli EDR killers
Dal punto di vista della difesa, comprendere il funzionamento di GentleKiller consente ai difensori di elaborare strategie difensive più efficaci e di proteggersi. Anche contro eventuali nuove funzionalità ancora da sviluppare dell’arsenale di EDR-killers di Gentlemen.
