Ransomware Gentlemen : ce gang fournit ses propres outils pour neutraliser les EDR
Un ensemble d’outils prêts à l’emploi pour neutraliser les EDR sur les machines ciblées, c’est le bonus mis à disposition par le gang de ransomware Gentlemen à ses affiliés. Une particularité qui distingue ce Ransomware-as-a-Service (RaaS), comme le révèle une enquête menée pendant plusieurs mois par les chercheurs d’ESET. Voici l’essentiel à savoir.
Sommaire
Gentlemen, un opérateur qui fournit les armes à ses affiliés
Apparu fin 2025, Gentlemen s’est hissé en quelques mois parmi les gangs de ransomware les plus actifs du premier trimestre 2026. Le groupe fonctionne sur le modèle du ransomware-as-a-service (RaaS) et pratique la double extorsion. Pour rappel, cette pratique consiste à menacer de divulguer les données de la victime en cas de non-paiement de la rançon, en plus de chiffrer les données, bien entendu.

Dans le cas du ransomware Gentlemen, les opérateurs proposent différents modules de chiffrement, dont une variante écrite en Go ciblant Windows, Linux et d’autres plateformes, ainsi qu’une variante destinée à ESXi écrite en C.
Mais ce qui fait de Gentlemen une menace à part, c’est une autre particularité. Dans la majorité des intrusions par ransomware, chaque affilié doit se débrouiller pour dénicher un outil capable de désactiver l’EDR de la cible. Gentlemen, de son côté, procède autrement : ses opérateurs prennent eux-mêmes en main le développement et la maintenance d’un ensemble d’EDR killers directement proposé aux affiliés. Par le passé, RansomHub avait développé un outil maison, EDRKillShifter, conçu pour tuer les EDR sur les machines ciblées. Mais Gentlemen va plus loin en proposant tout un catalogue.
GentleKiller : un outil maison accompagné par des outils existants
Dans leur rapport, les chercheurs d’ESET évoquent GentleKiller, un outil développé en interne par les opérateurs derrière le RaaS Gentlemen. Il y avait une hypothèse à ce sujet en février dernier. “La fuite de données internes dont a été victime Gentlemen en mai 2026 nous a alors permis de mieux comprendre le fonctionnement interne du groupe.”, peut-on lire.
En effet, dans les échanges divulgués, zeta88 (un alias du chef du gang, hastalamuerte) évoque la maintenance et la fourniture de ces paquets d’EDR killers. Même si GentleKiller est un élément central dans l’écosystème Gentlemen, il n’est pas seul.
“Cette fuite nous a également permis de confirmer notre hypothèse formulée en février 2026, selon laquelle les opérateurs de Gentlemen développent et maintiennent activement un portefeuille d’outils destinés à contourner les EDR, qu’ils proposent à leurs affiliés, en s’appuyant principalement sur leur infrastructure interne que nous avons baptisée « GentleKiller ».”, peut-on lire.
De son côté, ESET a recensé au moins huit variantes distinctes de GentleKiller, chacune se faisant passer pour un logiciel légitime différent et exploitant un pilote vulnérable ou malveillant spécifique. GentleKiller d’ailleurs cible plus de 400 noms de processus, rattachés par les chercheurs à 48 produits de sécurité : d’Acronis à Zscaler, en passant par CrowdStrike, ESET, Microsoft Defender, SentinelOne ou encore Sophos.
Les variantes de GentleKiller observées et documentées par les chercheurs se présentent sous différentes formes :
- Kaspersky, qui abuse d’un rootkit nommé eb.sys,
- FACEIT Anti-Cheat, Valorant et Javelin, qui détournent des pilotes anti-triche ou de surveillance de processus,
- WatchDog, qui s’appuie sur le pilote antimalware de Zemana,
- Network Blocker, Cleaner et G11, exploitant respectivement un pilote de Qihoo 360, un pilote d’IObit et le rootkit PoisonX.
À ce socle maison mis au point par les pirates du gang Gentlement s’ajoutent trois EDR killers existants qu’ils ont intégrés à leur “catalogue”. On peut citer HexKiller (jusqu’ici associé au gang Warlock), ThrottleBlood (observé chez des affiliés de MedusaLocker et DragonForce) et HavocKiller. En complément, le malware OxideHarvest, de type infostealer (qui cible les navigateurs Web), a également été repéré chez plusieurs victimes du ransomware Gentlemen.
La France dans le viseur du RaaS Gentlemen
Toujours d’après le rapport d’ESET, les affiliés de Gentlemen frappent un éventail géographique large et diversifié, avec une part importante de victimes en Asie du Sud-Est, en Amérique du Sud et en Europe de l’Ouest. En complément, et c’est important de le préciser, d’autres pays sont aussi ciblés. Parmi eux : la France, le Brésil et la Thaïlande.
“Les données récemment divulguées montrent que, pour choisir ses victimes, Gentlemen utilise une approche centralisée consistant à trier les candidats potentiels avant de les répartir entre ses affiliés. Les victimes sont sélectionnées principalement en fonction de la (mauvaise) configuration de leur FortiGate plutôt qu’en fonction de leur situation géographique.”, précisent les chercheurs.
La liste des victimes publiée par le gang Gentlement référence d’ailleurs plusieurs victimes françaises : Amigest (intégrateur IT lyonnais), Cofaq (coopérative de Poitiers), Constructions Piraino, ITD System, Cleor, ou encore la commune du Perreux-sur-Marne.