jeudi, juillet 9, 2026
40.7 C
Tunisie

ESET Research décrypte l’arsenal anti-EDR du ransomware Gentlemen

Le groupe RaaS Gentlemen fournit à ses affiliés un arsenal complet d'outils anti-EDR bâti autour du framework propriétaire GentleKiller, révèle une nouvelle analyse d'ESET Research.

L’essentiel

  • GentleKiller compte au moins huit variantes, chacune exploitant un pilote vulnérable ou malveillant distinct.
  • Gentlemen intègre aussi des outils anti-EDR tiers : HexKiller, ThrottleBlood et HavocKiller.
  • Un socle commun d’évasion uniformise l’usurpation et le contournement des défenses à travers tout l’arsenal.
  • Le groupe cible le monde entier — Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest — sans se focaliser sur les États-Unis.
  • Une fuite de données internes en mai 2026 a permis à ESET de confirmer une hypothèse formulée dès février 2026.

Un groupe qui a fait de la neutralisation des EDR sa marque de fabrique

Depuis le début de l’année 2026, Gentlemen s’est imposé comme l’un des groupes de ransomware-as-a-service (RaaS) les plus actifs de l’écosystème cybercriminel. Les chercheurs d’ESET, qui suivent le groupe de près depuis plusieurs mois, ont publié une analyse détaillée de son arsenal de neutralisation des solutions EDR (Endpoint Detection and Response) — des outils communément appelés « EDR killers ».

Ce qui distingue Gentlemen de la plupart de ses concurrents, c’est que ses opérateurs développent et maintiennent eux-mêmes un catalogue complet d’outils anti-EDR, qu’ils fournissent directement à leurs affiliés. Dans le modèle RaaS classique, ce sont généralement les affiliés qui doivent se procurer, seuls, leurs propres outils de contournement. Gentlemen internalise cette étape et en fait un argument commercial auprès de son réseau d’affiliés, aux côtés d’une rémunération pouvant atteindre 90 % des revenus générés par une attaque.

GentleKiller : un framework, huit variantes

Au cœur de cet arsenal se trouve GentleKiller, un framework propriétaire dont ESET a identifié à ce jour huit variantes distinctes. Chacune usurpe l’identité d’un logiciel légitime différent et exploite un pilote vulnérable ou malveillant spécifique, selon la technique dite du Bring Your Own Vulnerable Driver (BYOVD), qui consiste à charger un pilote signé mais vulnérable pour obtenir des privilèges élevés dans le système et désactiver les protections en place.

Malgré ces différences apparentes de packaging, l’analyse d’ESET révèle un socle technique commun suffisamment important pour justifier le regroupement de ces huit variantes sous une appellation unique. Particularité notable : ces mécanismes d’évasion sont intégrés directement dans les binaires compilés plutôt que dans le code source, ce qui permet aux opérateurs de renforcer des outils dont ils ne détiennent pas nécessairement les sources originales.

« Grâce à notre visibilité continue sur les incidents impliquant ce groupe, nous sommes en mesure d’apporter un éclairage inédit sur les pratiques de développement mises en œuvre par ses opérateurs », explique Jakub Souček, chercheur chez ESET spécialisé dans l’étude des outils de contournement des EDR. Il précise que la fuite de données internes dont Gentlemen a été victime en mai 2026 a permis de confirmer une hypothèse formulée par les équipes d’ESET Research dès février 2026 : les opérateurs développent activement un portefeuille d’outils anti-EDR mis à disposition de leurs affiliés.

Un écosystème d’outils tiers et une usurpation soignée

Au-delà de GentleKiller, Gentlemen s’appuie également sur des outils tiers ou issus de fuites, parmi lesquels HexKiller, ThrottleBlood et HavocKiller. L’ensemble de ces composants est harmonisé au sein d’une couche commune d’évasion, permettant d’uniformiser l’usurpation d’identité et le contournement des défenses à travers tout l’arsenal du groupe.

Concrètement, les opérateurs usurpent l’identité de fournisseurs de sécurité légitimes en utilisant de faux numéros de version ainsi que des certificats et des icônes copiés. ESET a également observé la capacité du groupe à intégrer très rapidement de nouvelles techniques BYOVD, parfois quelques jours seulement après la publication des preuves de concept correspondantes — un signe de réactivité et de maturité technique inhabituel dans l’écosystème ransomware.

Les chercheurs ont par ailleurs identifié un voleur d’identifiants baptisé OxideHarvest, développé par l’un des affiliés du groupe, illustrant la manière dont l’écosystème Gentlemen favorise également l’innovation au niveau de ses partenaires.

Une victimologie mondiale, loin du réflexe centré sur les États-Unis

Émergé fin 2025, Gentlemen figure déjà parmi les cinq groupes de ransomware les plus actifs du premier trimestre 2026. Il pratique la double extorsion, chiffrant les systèmes de ses victimes tout en menaçant de publier les données dérobées en cas de non-paiement de la rançon.

Alors que la majorité des grands groupes RaaS concentrent près de la moitié de leurs victimes revendiquées aux États-Unis, Gentlemen fait figure d’exception : ses affiliés ciblent un éventail géographique large, avec une présence marquée en Asie du Sud-Est, en Amérique du Sud et en Europe de l’Ouest, et un intérêt notable pour des pays habituellement moins visés comme la Thaïlande, le Brésil ou la France.

Ce que cela change pour les équipes de sécurité

Pour Jakub Souček, comprendre les mécanismes internes de GentleKiller permet aux équipes de sécurité d’anticiper et d’adapter leurs stratégies de défense. Cette connaissance renforce la résilience des organisations, y compris face à de futures évolutions de l’arsenal de Gentlemen encore inconnues à ce jour.

L’analyse complète des chercheurs d’ESET Research, intitulée « Killing me gently: Inside Gentlemen’s EDR killer framework », est disponible sur WeLiveSecurity.com.

Articles Recents

Galaxy Unpacked juillet 2026 : Samsung dévoile la date de son événement pliables à Londres

Le 22 juillet, Samsung tiendra à Londres son deuxième Galaxy Unpacked de l'année. Au menu attendu : nouveaux pliables Galaxy Z Fold8 et Flip8, puces dernière génération et fonctionnalités IA. L'événement sera retransmis en direct dès 14h, heure de Tunis.

Epson lance en Tunisie les scanners WorkForce DS-1730 et DS-1760WN pour la dématérialisation des entreprises

Epson dévoile en Tunisie deux scanners professionnels, DS-1730 et DS-1760WN, destinés à accélérer la dématérialisation des entreprises grâce à l'OCR, l'automatisation des flux et la connectivité réseau.

Xiaomi 18 Pro Max : le prototype fuité dévoile un capteur 200 MP LOFIC et une batterie de 8 500 mAh

Digital Chat Station détaille un prototype du Xiaomi 18 Pro Max : capteurs 200 MP avec technologie LOFIC, puce Snapdragon 8 Elite Gen 6 Pro en 2 nm, batterie 8K++ et charge 100 W filaire, pour un lancement chinois en septembre 2026.

Galaxy Wearable : Samsung dévoile une refonte majeure avant l’Unpacked du 22 juillet

Samsung repense l'app Galaxy Wearable avant l'Unpacked du 22 juillet : nouvelle navigation à trois onglets, design One UI 9 et tuiles générées par l'IA.

SPECTRALVIPER : ESET Research dévoile l’attaque supply chain d’OceanLotus/APT32

SPECTRALVIPER, backdoor signature d'OceanLotus/APT32, a été déployée via une compromission supply chain visant des investisseurs vietnamiens, révèle ESET Research.

Topics

Galaxy Unpacked juillet 2026 : Samsung dévoile la date de son événement pliables à Londres

Le 22 juillet, Samsung tiendra à Londres son deuxième Galaxy Unpacked de l'année. Au menu attendu : nouveaux pliables Galaxy Z Fold8 et Flip8, puces dernière génération et fonctionnalités IA. L'événement sera retransmis en direct dès 14h, heure de Tunis.

Epson lance en Tunisie les scanners WorkForce DS-1730 et DS-1760WN pour la dématérialisation des entreprises

Epson dévoile en Tunisie deux scanners professionnels, DS-1730 et DS-1760WN, destinés à accélérer la dématérialisation des entreprises grâce à l'OCR, l'automatisation des flux et la connectivité réseau.

Xiaomi 18 Pro Max : le prototype fuité dévoile un capteur 200 MP LOFIC et une batterie de 8 500 mAh

Digital Chat Station détaille un prototype du Xiaomi 18 Pro Max : capteurs 200 MP avec technologie LOFIC, puce Snapdragon 8 Elite Gen 6 Pro en 2 nm, batterie 8K++ et charge 100 W filaire, pour un lancement chinois en septembre 2026.

Galaxy Wearable : Samsung dévoile une refonte majeure avant l’Unpacked du 22 juillet

Samsung repense l'app Galaxy Wearable avant l'Unpacked du 22 juillet : nouvelle navigation à trois onglets, design One UI 9 et tuiles générées par l'IA.

SPECTRALVIPER : ESET Research dévoile l’attaque supply chain d’OceanLotus/APT32

SPECTRALVIPER, backdoor signature d'OceanLotus/APT32, a été déployée via une compromission supply chain visant des investisseurs vietnamiens, révèle ESET Research.

Samsung Galaxy Unpacked : une fuite confirme la date du 22 juillet à Londres

Samsung s'apprête à dévoiler sa plus large gamme de pliables à ce jour lors d'un Galaxy Unpacked désormais quasi confirmé pour le 22 juillet à Londres, avec un troisième modèle inédit au format élargi.

Pourquoi Apple négocie avec des fabricants chinois blacklistés : l’analyse technique

Décryptage du dossier CXMT/YMTC : pourquoi Apple négocie avec des fabricants chinois blacklistés, quelles règles s'appliquent réellement, et ce que cela change pour la chaîne d'approvisionnement mémoire mondiale.

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Articles connexes

Catégories populaires