·       Les opérateurs de Gentlemen développent et entretiennent une suite logicielle de destruction d'EDR fournie directement à leurs affiliés.

·       GentleKiller, un support interne, compte au minimum huit variantes exploitant différentes vulnérabilités ou maliciels.

·       Les opérateurs  appliquent une stratégie d'évasion unifiée pour tous les outils afin de standardiser l'usurpation d'identité et la protection.

·       Les logiciels de destruction d'EDR tiers (HexKiller, ThrottleBlood et HavocKiller) sont intégrés.

·       Les victimes du groupe se trouvent dans le monde entier et pas qu’aux États-Unis.

ESET Research a analysé l'arsenal d'outils de neutralisation des systèmes EDR (Endpoint Detection and Response) de Gentlemen, un groupe spécialisé dans les rançongiciels en tant que service (RaaS). Depuis début 2026, Gentlemen s'est imposé comme un des groupes les plus actifs de l'écosystème des rançongiciels. Il se distingue par des outils EDR (Endpoint Detection and Response) performants et gérés par ses opérateurs, conçus pour perturber les logiciels de sécurité. Contrairement à la plupart des groupes de premier plan, Gentlemen ne cible pas principalement les États-Unis, mais des pays d'Asie du Sud-Est, d'Amérique du Sud et d'Europe de l'Ouest et généralement peu touchés, comme la Thaïlande, le Brésil et la France.

«Ces derniers mois de nombreux rapports furent consacrés à Gentlemen mais aucun ne s'est concentré sur une analyse détaillée des logiciels anti-EDR utilisés par le groupe. Grâce à l’observation continue d'ESET au niveau des incidents, nous offrons une vue approfondie exceptionnelle des pratiques de développement de ces logiciels. La fuite de données internes subie par Gentlemen en mai 2026 nous a permis de mieux comprendre le fonctionnement du groupe », dit Jakub Soucek. chercheur chez ESET, spécialiste en logiciels anti-EDR. « Cette fuite nous a permis de confirmer l'hypothèse formulée en février 2026 : les opérateurs de Gentlemen développent et maintiennent activement un ensemble de logiciels anti-EDR qu'ils proposent à leurs affiliés, articulés autour de leur support interne, que nous avons baptisé GentleKiller. »

Le groupe utilise des outils tiers ou ayant fait l'objet de fuites, tels que HexKiller, ThrottleBlood et HavocKiller. Ces outils, standardisés grâce à une couche d'évasion de défense partagée, usurpent l'identité de fournisseurs de sécurité et utilisent de fausses informations de version et des copies de certificats et d'icônes légitimes. Gentlemen possède une capacité à rendre opérationnelles, avec une rapidité inhabituelle, les preuves de concept Bring Your Own Vulnerable Driver (BOP) récemment divulguées, déjà quelques jours après leur publication. En plus des outils de destruction de données d'entreprise (EDR), ESET a également découvert un voleur d'identifiants qui a été nommé OxideHarvest, outil développé par un des affiliés de Gentlemen.

Gentlemen est apparu fin 2025 comme une opération de rançongiciel en tant que service (RaaS) et est rapidement devenu un des groupes les plus actifs observés au premier trimestre 2026. Le groupe offre une participation de 90 % à ses affiliés. Il utilise une double extorsion : en plus du chiffrement des données de la victime, il menace aussi de les divulguer si la rançon n'est pas payée.

Gentlemen se distingue par sa volonté de proposer bien plus que de simples logiciels de chiffrement : il fournit également des outils de destruction d'EDR. Il a aussi une approche différente, et jusqu'alors peu médiatisée. Au lieu de compter sur les affiliés pour qu’ils se procurent eux-mêmes ces outils, les opérateurs de Gentlemen développent et maintiennent un catalogue d'outils de destruction d'EDR qu’ils leurs proposent.

Bien que la victimologie des grandes opérations de rançongiciel soit souvent déterminée par les choix des affiliés plus que par la stratégie des opérateurs, une tendance se dégage. La plupart des groupes de rançongiciel concentrent leurs attaques sur les USA, qui représentent environ la moitié des victimes recensées. Gentlemen est une exception notable. Figurant parmi les cinq groupes de rançongiciel les plus actifs au premier trimestre 2026, sa victimologie ne présente pas une concentration sur les USA. Les affiliés de Gentlemen ciblent régulièrement des victimes dans un large éventail de pays en Europe occidentale, en Asie du Sud-Est et en Amérique du Sud.

Les opérateurs de Gentlemen appliquent un ensemble de techniques d'évasion des défenses aux différents tueurs EDR du gang. Ces techniques sont appliquées à des échantillons compilés au  code source. Ainsi Gentlemen protège également les tueurs EDR dont le gang ne possède pas le code source. GentleKiller est le tueur EDR le plus répandu dans l'écosystème Gentlemen.

Actuellement, ESET Research a découvert huit variantes distinctes, chacune imitant un produit légitime différent et exploitant une vulnérabilité ou un pilote malveillant différent. Malgré leurs différences superficielles, ESET classe tous ces échantillons sous le nom de GentleKiller en raison de leurs nombreuses caractéristiques internes communes.

«Dans une perspective de défense, comprendre le fonctionnement de GentleKiller permet aux défenseurs de mieux concevoir leurs stratégies et de se défendre même contre les ajouts encore à développer à l’arsenal de tueurs d’EDR de Gentlemen », ajoute Soucek.