L’essentiel
- GentleKiller compte au moins huit variantes, chacune exploitant un pilote vulnérable ou malveillant distinct.
- Gentlemen intègre aussi des outils anti-EDR tiers : HexKiller, ThrottleBlood et HavocKiller.
- Un socle commun d’évasion uniformise l’usurpation et le contournement des défenses à travers tout l’arsenal.
- Le groupe cible le monde entier — Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest — sans se focaliser sur les États-Unis.
- Une fuite de données internes en mai 2026 a permis à ESET de confirmer une hypothèse formulée dès février 2026.
Un groupe qui a fait de la neutralisation des EDR sa marque de fabrique
Depuis le début de l’année 2026, Gentlemen s’est imposé comme l’un des groupes de ransomware-as-a-service (RaaS) les plus actifs de l’écosystème cybercriminel. Les chercheurs d’ESET, qui suivent le groupe de près depuis plusieurs mois, ont publié une analyse détaillée de son arsenal de neutralisation des solutions EDR (Endpoint Detection and Response) — des outils communément appelés « EDR killers ».
Ce qui distingue Gentlemen de la plupart de ses concurrents, c’est que ses opérateurs développent et maintiennent eux-mêmes un catalogue complet d’outils anti-EDR, qu’ils fournissent directement à leurs affiliés. Dans le modèle RaaS classique, ce sont généralement les affiliés qui doivent se procurer, seuls, leurs propres outils de contournement. Gentlemen internalise cette étape et en fait un argument commercial auprès de son réseau d’affiliés, aux côtés d’une rémunération pouvant atteindre 90 % des revenus générés par une attaque.
GentleKiller : un framework, huit variantes
Au cœur de cet arsenal se trouve GentleKiller, un framework propriétaire dont ESET a identifié à ce jour huit variantes distinctes. Chacune usurpe l’identité d’un logiciel légitime différent et exploite un pilote vulnérable ou malveillant spécifique, selon la technique dite du Bring Your Own Vulnerable Driver (BYOVD), qui consiste à charger un pilote signé mais vulnérable pour obtenir des privilèges élevés dans le système et désactiver les protections en place.
Malgré ces différences apparentes de packaging, l’analyse d’ESET révèle un socle technique commun suffisamment important pour justifier le regroupement de ces huit variantes sous une appellation unique. Particularité notable : ces mécanismes d’évasion sont intégrés directement dans les binaires compilés plutôt que dans le code source, ce qui permet aux opérateurs de renforcer des outils dont ils ne détiennent pas nécessairement les sources originales.
« Grâce à notre visibilité continue sur les incidents impliquant ce groupe, nous sommes en mesure d’apporter un éclairage inédit sur les pratiques de développement mises en œuvre par ses opérateurs », explique Jakub Souček, chercheur chez ESET spécialisé dans l’étude des outils de contournement des EDR. Il précise que la fuite de données internes dont Gentlemen a été victime en mai 2026 a permis de confirmer une hypothèse formulée par les équipes d’ESET Research dès février 2026 : les opérateurs développent activement un portefeuille d’outils anti-EDR mis à disposition de leurs affiliés.
Un écosystème d’outils tiers et une usurpation soignée
Au-delà de GentleKiller, Gentlemen s’appuie également sur des outils tiers ou issus de fuites, parmi lesquels HexKiller, ThrottleBlood et HavocKiller. L’ensemble de ces composants est harmonisé au sein d’une couche commune d’évasion, permettant d’uniformiser l’usurpation d’identité et le contournement des défenses à travers tout l’arsenal du groupe.
Concrètement, les opérateurs usurpent l’identité de fournisseurs de sécurité légitimes en utilisant de faux numéros de version ainsi que des certificats et des icônes copiés. ESET a également observé la capacité du groupe à intégrer très rapidement de nouvelles techniques BYOVD, parfois quelques jours seulement après la publication des preuves de concept correspondantes — un signe de réactivité et de maturité technique inhabituel dans l’écosystème ransomware.
Les chercheurs ont par ailleurs identifié un voleur d’identifiants baptisé OxideHarvest, développé par l’un des affiliés du groupe, illustrant la manière dont l’écosystème Gentlemen favorise également l’innovation au niveau de ses partenaires.
Une victimologie mondiale, loin du réflexe centré sur les États-Unis
Émergé fin 2025, Gentlemen figure déjà parmi les cinq groupes de ransomware les plus actifs du premier trimestre 2026. Il pratique la double extorsion, chiffrant les systèmes de ses victimes tout en menaçant de publier les données dérobées en cas de non-paiement de la rançon.
Alors que la majorité des grands groupes RaaS concentrent près de la moitié de leurs victimes revendiquées aux États-Unis, Gentlemen fait figure d’exception : ses affiliés ciblent un éventail géographique large, avec une présence marquée en Asie du Sud-Est, en Amérique du Sud et en Europe de l’Ouest, et un intérêt notable pour des pays habituellement moins visés comme la Thaïlande, le Brésil ou la France.
Ce que cela change pour les équipes de sécurité
Pour Jakub Souček, comprendre les mécanismes internes de GentleKiller permet aux équipes de sécurité d’anticiper et d’adapter leurs stratégies de défense. Cette connaissance renforce la résilience des organisations, y compris face à de futures évolutions de l’arsenal de Gentlemen encore inconnues à ce jour.
L’analyse complète des chercheurs d’ESET Research, intitulée « Killing me gently: Inside Gentlemen’s EDR killer framework », est disponible sur WeLiveSecurity.com.


