Gentlemen RaaS : 478 victimes et GentleKiller EDR killer

Les faits

Le 18 juin 2026, ESET a publié une analyse exhaustive du groupe Gentlemen Ransomware-as-a-Service (RaaS), révélant une opération qui se distingue par une industrialisation poussée de la neutralisation des solutions EDR. Le groupe, actif depuis le premier trimestre 2026, revendique officiellement 478 victimes réparties dans plus de 70 pays, avec une concentration marquée en Asie du Sud-Est, en Amérique du Sud et en Europe occidentale.

Ce qui différencie Gentlemen de la grande majorité des groupes RaaS réside dans son modèle de distribution centralisée des outils d'attaque. Contrairement à des groupes qui laissent leurs affiliés se débrouiller seuls, Gentlemen développe, maintient et distribue à chaque affilié un kit standardisé dès l'onboarding. Ce modèle, documenté grâce à une fuite de données interne de mai 2026, fonctionne davantage comme une entreprise éditrice de logiciels que comme une organisation criminelle classique : mises à jour régulières, support affilié, changelog des versions de GentleKiller.

Le cœur de l'arsenal est GentleKiller, un EDR killer propriétaire développé et maintenu exclusivement par le groupe. Disponible en au moins huit variantes actives, il impersonne des produits de sécurité légitimes — notamment Kaspersky, Valorant, Javelin et WatchDog — pour abuser des mécanismes de confiance de Windows. Selon ESET, GentleKiller cible plus de 400 processus appartenant à 48 éditeurs de sécurité distincts, couvrant l'essentiel du marché EDR/EPP mondial.

La technique sous-jacente est le BYOVD (Bring Your Own Vulnerable Driver) : le groupe embarque des pilotes noyau légitimes mais vulnérables, qu'il exploite pour exécuter du code en ring 0 et désactiver les agents de protection depuis la couche noyau, hors de portée des mécanismes de détection userland. ESET souligne que Gentlemen weaponise de nouveaux pilotes vulnérables en quelques jours après la publication d'un proof-of-concept, témoignant d'une réactivité opérationnelle organisée.

Le kit affilié comprend également trois outils complémentaires : HexKiller, ThrottleBlood et HavocKiller — tous orientés neutralisation des agents de sécurité selon des vecteurs différents — ainsi qu'OxideHarvest, un credential stealer écrit en Rust. OxideHarvest collecte identifiants, tokens d'accès et cookies de session en amont du déploiement du ransomware, alimentant le volet exfiltration de la double extorsion pratiquée systématiquement.

L'infrastructure C2 s'appuie sur des profils Cobalt Strike en mode malléable déguisant le trafic C2 en requêtes HTTP légitimes, et sur un canal secondaire acheminé via l'API bot Telegram. Cette combinaison maintient la communication avec les implants même dans des environnements où l'inspection TLS profonde est active.

La fuite interne de mai 2026 est le point d'entrée de l'investigation ESET. Elle a permis d'accéder aux logs de communication entre le noyau opérationnel et ses affiliés actifs, confirmant le modèle de distribution centralisée, une liste partielle de victimes et les négociations de rançons en cours. Les données leakées révèlent aussi la structure tarifaire : les affiliés reversent entre 20 et 30 % des rançons à l'opérateur, taux légèrement inférieur à la moyenne RaaS, compensé par la qualité du toolkit fourni.

L'attribution est un élément remarquable du dossier. Le 10 juin 2026, le journaliste Brian Krebs a publié des éléments de preuve liant les pseudonymes hastalamuerte et zeta88 — opérateurs principaux de Gentlemen dans les forums souterrains — à Alexander Andreevich Yapaev, 36 ans, résident d'Izhevsk, République d'Oudmourtie (Russie). Les preuves incluent les communications internes de la fuite de mai 2026, des recoupements OSINT sur ces alias depuis 2019 et des données de transactions crypto traçables.

Impact et exposition

La victimologie de Gentlemen est délibérément diversifiée géographiquement. Le groupe cible activement l'Europe occidentale sans préférence US-centrique. Les secteurs représentés parmi les 478 victimes incluent la manufacture (22 %), les services financiers (18 %), l'éducation (19 %) et la santé (14 %). Plusieurs organisations françaises figurent dans les données de la fuite sans que leurs noms aient été rendus publics.

L'efficacité de GentleKiller place Gentlemen dans une catégorie à part : cibler 400+ processus de 48 éditeurs via BYOVD noyau signifie qu'aucune solution commerciale n'est immunisée par défaut. La technique contourne aussi le Microsoft Driver Block List lorsque le blocage des pilotes vulnérables connus n'est pas activé — paramètre désactivé par défaut sur Windows Server 2019 et antérieur.

Recommandations

• Activer le blocage BYOVD via WDAC : déployer Microsoft Vulnerable Driver Blocklist via Windows Defender Application Control ou GPO. Vérifier que les pilotes listés sont effectivement refusés au chargement.
• Superviser les comportements noyau : compléter l'EDR avec un monitoring ETW kernel (Sysmon avec configuration avancée) pour détecter les tentatives de désactivation d'agents de sécurité hors vecteurs normaux.
• Filtrer le trafic sortant vers api.telegram.org : alerter sur les connexions depuis des serveurs ou endpoints non-utilisateurs. Marqueur fort de C2 malveillant dans ces contextes.
• Intégrer les IOCs ESET : les indicateurs du 18 juin 2026 incluent les hashes des 8 variantes GentleKiller, OxideHarvest et les profils C2 Cobalt Strike. Les intégrer dans les règles SIEM et les blocages réseau.
• Isoler les backups et tester la restauration : Gentlemen cible systématiquement les sauvegardes accessibles avant chiffrement. Vérifier que les backups sont hors ligne ou immuables.