ESET Research ha analizzato il toolset di evasione difensiva del gruppo ransomware-as-a-service Gentlemen, emerso come una delle realtà più attive dell’ecosistema ransomware dall’inizio del 2026. Il punto centrale dell’analisi è GentleKiller, un framework interno usato per bloccare o compromettere gli strumenti di endpoint detection and response, gli EDR, cioè una delle linee di difesa più importanti nelle architetture di sicurezza aziendale.
Secondo i ricercatori, Gentlemen non si limita a fornire agli affiliati gli strumenti per cifrare i dati delle vittime, ma sviluppa e mantiene direttamente una suite di EDR killer. È un tratto rilevante perché sposta verso gli operatori centrali del gruppo una parte della capacità tecnica che, in molte operazioni ransomware, resta invece in mano ai singoli affiliati. GentleKiller è stato osservato in almeno otto varianti, ciascuna costruita per abusare di driver vulnerabili o malevoli differenti.
Jakub Souček, ricercatore di ESET che segue questo tipo di strumenti, ha spiegato che diversi report recenti si erano concentrati su Gentlemen senza entrare nel dettaglio dei suoi EDR killer. La visibilità a livello di incidente raccolta da ESET, insieme al leak interno subito dal gruppo nel maggio 2026, ha permesso di confermare un’ipotesi formulata già nel febbraio 2026: gli operatori di Gentlemen sviluppano e mantengono attivamente un portafoglio di strumenti anti-detection messo a disposizione degli affiliati, con GentleKiller al centro dell’arsenale.
Il gruppo integra anche strumenti di terze parti o trapelati, tra cui HexKiller, ThrottleBlood e HavocKiller. Questi componenti vengono uniformati attraverso uno strato condiviso di defense evasion, che impersona soprattutto vendor di sicurezza usando informazioni di versione false, certificati legittimi copiati e icone apparentemente affidabili. In parallelo, ESET ha individuato anche un credential stealer chiamato OxideHarvest, sviluppato da uno degli affiliati del gruppo.
La tecnica di riferimento è quella nota come Bring Your Own Vulnerable Driver: gli attaccanti sfruttano driver vulnerabili per ottenere capacità operative che consentono di interferire con i prodotti di sicurezza. Il dato più preoccupante, dal punto di vista delle imprese, è la rapidità con cui Gentlemen sembra trasformare proof-of-concept pubblici appena divulgati in strumenti utilizzabili nelle proprie operazioni, spesso nel giro di pochi giorni. Questo riduce drasticamente il tempo a disposizione dei team di difesa per valutare, mitigare e contenere nuove esposizioni.
Gentlemen è nato alla fine del 2025 come operazione RaaS e nel primo trimestre del 2026 è arrivato tra i cinque gruppi ransomware più attivi osservati da ESET. Il modello economico è aggressivo: agli affiliati viene offerta una quota del 90%. Anche la tecnica di pressione è quella ormai ricorrente della doppia estorsione: oltre a cifrare i dati, il gruppo minaccia di pubblicarli se il riscatto non viene pagato.
Un altro elemento distintivo riguarda la geografia degli attacchi. Molte grandi operazioni RaaS mostrano una forte concentrazione sugli Stati Uniti, che spesso rappresentano circa metà delle vittime annunciate. Gentlemen si discosta da questo schema: pur essendo tra i gruppi più attivi nel Q1 2026, non presenta una vittimologia marcatamente statunitense. Gli affiliati colpiscono invece un insieme più distribuito di Paesi, con presenza significativa nel Sud-est asiatico, in Sud America e in Europa occidentale, inclusi Paesi come Thailandia, Brasile e Francia.
Per le aziende, la lezione è meno legata al singolo malware e più alla maturità industriale dell’ecosistema ransomware. GentleKiller mostra come gli operatori stiano standardizzando anche gli strumenti per disattivare le difese, applicando tecniche di evasione a campioni compilati e non solo al codice sorgente. Souček sottolinea che capire il funzionamento di GentleKiller può aiutare i difensori a progettare strategie capaci di reggere anche contro future aggiunte all’arsenale del gruppo. In questa prospettiva, l’EDR resta essenziale, ma non può essere considerato una barriera autosufficiente contro avversari che investono direttamente nel neutralizzarlo.