A equipe de pesquisa da ESET analisou o robusto conjunto de ferramentas EDR killer da banda de ransomware como serviço (RaaS) Gentlemen. Desde o início de 2026, o Gentlemen se consolidou como uma das bandas mais ativas dentro do ecossistema de ransomware. O grupo se destaca por contar com um conjunto maduro de ferramentas EDR killer mantido por seus operadores, ou seja, ferramentas projetadas para interromper o funcionamento de softwares de segurança. Além disso, diferentemente da maioria das bandas de primeiro nível, o Gentlemen não apresenta uma vitimologia concentrada nos Estados Unidos, mas tem como alvo vítimas no Sudeste Asiático, América do Sul e Europa Ocidental.

Embora diversos relatórios sobre o Gentlemen tenham sido publicados nos últimos meses, eles não se concentraram em uma análise detalhada de suas ferramentas EDR killer. Graças à visibilidade contínua da ESET em nível de incidentes, podemos oferecer uma visão excepcionalmente aprofundada das práticas de desenvolvimento dessas ferramentas. O vazamento interno de dados sofrido pelo Gentlemen em maio de 2026 nos permitiu obter ainda mais informações sobre o funcionamento interno do grupo.

O vazamento também nos permitiu confirmar nossa hipótese de fevereiro de 2026 de que os operadores do Gentlemen desenvolvem e mantêm ativamente um portfólio de ferramentas EDR killer oferecidas aos seus afiliados, com foco em seu framework interno, que denominamos GentleKiller. Além disso, eles incorporam ferramentas de terceiros ou vazadas, como HexKiller, ThrottleBlood e HavocKiller. Essas ferramentas são padronizadas por meio de uma camada compartilhada de evasão de defesas, que se passa principalmente por fornecedores de segurança utilizando informações falsas de versão, além de certificados e ícones legítimos copiados. O Gentlemen também demonstra uma capacidade incomumente rápida de operacionalizar proofs-of-concept (PoC) recém-divulgadas da técnica Bring Your Own Vulnerable Driver (BYOVD), frequentemente em questão de dias após sua publicação.

Nesta publicação, compartilhamos nossas descobertas sobre a suíte de ferramentas EDR killer do Gentlemen, obtidas por meio de uma investigação abrangente e corroboradas pelo vazamento recente. Nosso objetivo é fornecer conhecimento acionável ao relacionar os pacotes de EDR killer com amostras reais e associar os dados vazados a táticas, técnicas e procedimentos (TTPs). Nossas descobertas posicionam o Gentlemen como uma das bandas RaaS tecnicamente mais ágeis de 2026.

Pontos-chave desta publicação:

  • Os operadores do Gentlemen desenvolvem e mantêm uma suíte de ferramentas EDR killer que é fornecida diretamente aos afiliados.
  • O GentleKiller é um framework interno com pelo menos oito variantes que abusam de diferentes drivers vulneráveis ou maliciosos.
  • Os operadores do Gentlemen aplicam uma estratégia unificada de evasão em todas as suas ferramentas, padronizando mecanismos de falsificação e proteção.
  • Ferramentas EDR killer de terceiros (HexKiller, ThrottleBlood e HavocKiller) são integradas operacionalmente.
  • O Gentlemen consegue adaptar rapidamente novas provas de conceito (PoC) de EDR killer após sua publicação.
  • A vitimologia do grupo é global e, de forma notável, não está concentrada nos EUA.
  • O Gentlemen também utiliza o OxideHarvest, um ladrão de credenciais mantido por um dos afiliados do grupo.

Ao longo desta publicação, nos referimos aos operadores e afiliados de RaaS. Os operadores são responsáveis por desenvolver o payload do ransomware, gerenciar as chaves de descriptografia, manter o site de vazamento, frequentemente negociar o pagamento do resgate com as vítimas e oferecer ferramentas e serviços adicionais mediante uma taxa mensal ou uma porcentagem do resgate (normalmente entre 5% e 20%). Os afiliados contratam os serviços de ransomware dos operadores, implantam os criptografadores nas redes das vítimas e também são responsáveis pela exfiltração de dados.

Perfil do “Gentlemen”

O Gentlemen surgiu no final de 2025 como uma operação de ransomware como serviço (RaaS) e rapidamente se consolidou como uma das bandas de ransomware mais ativas observadas no primeiro trimestre de 2026. A banda oferece uma participação de 90% aos afiliados. O Group-IB revelou que o Gentlemen foi fundado por hastalamuerte, um ex-afiliado insatisfeito do Qilin. A PRODAFT publicou no X (antigo Twitter), em 17 de outubro de 2025, que os operadores do Gentlemen haviam sido anteriormente afiliados do Qilin, Embargo, LockBit, Medusa e BlackLock. Em 10 de junho de 2026, Brian Krebs compartilhou evidências sobre a verdadeira identidade de hastalamuerte.

O Gentlemen utiliza dupla extorsão: além de criptografar os dados da vítima, o grupo também ameaça divulgá-los caso o resgate não seja pago. Para a criptografia, os operadores oferecem uma variante escrita em Go direcionada ao Windows, Linux e outras plataformas, além de uma variante para ESXi escrita em C.

Um dos aspectos que diferencia o Gentlemen é sua disposição em oferecer mais do que apenas criptografadores aos afiliados; em particular, a banda também fornece EDR killers. Pesquisas recentes da ESET demonstraram que, na maioria das intrusões de ransomware, a responsabilidade de encontrar um EDR killer confiável geralmente recai sobre os afiliados individuais, e não sobre os operadores de RaaS. Apenas um pequeno número de exceções a esse modelo foi documentado. Um caso notável é o RansomHub, que investiu no desenvolvimento de seu próprio EDR killer do zero, o EDRKillShifter, e posteriormente o ofereceu aos afiliados por meio do painel de afiliados.

O Gentlemen representa uma abordagem diferente e, até agora, pouco documentada. Em vez de depender que os afiliados obtenham seus próprios EDR killers, os operadores do Gentlemen desenvolvem e mantêm ativamente um portfólio dessas ferramentas para seus afiliados. Esse portfólio combina uma ferramenta desenvolvida internamente, denominada GentleKiller, com ferramentas externas ou vazadas, padronizadas por meio de uma camada compartilhada de evasão e implantadas de forma consistente.

Pesquisadores da ESET levantaram a hipótese de que o GentleKiller era uma ferramenta interna já em fevereiro de 2026, algo posteriormente confirmado por relatórios do Group-IB e da Check Point, ambos indicando que o grupo fornece capacidades de EDR killing aos seus afiliados (verificados). O recente vazamento de dados internos do grupo forneceu a evidência definitiva: nos dados vazados, zeta88 (outro alias utilizado por hastalamuerte), líder da banda, menciona abertamente a manutenção e o fornecimento de pacotes de EDR killer.

Além de confirmar nossa hipótese sobre o GentleKiller, os dados vazados também nos permitiram associar um credential stealer, denominado OxideHarvest, ao Gentlemen, especificamente a um de seus afiliados.

Vítimas

Embora a vitimologia das grandes operações RaaS seja geralmente mais influenciada pelas decisões dos afiliados do que por uma estratégia conduzida pelos operadores, existe um padrão específico que tende a se repetir. A maioria das principais bandas de ransomware apresenta um foco forte e persistente nos Estados Unidos, que frequentemente representa aproximadamente metade de todas as vítimas anunciadas. Esse viés centrado nos EUA é evidente em diversos grupos proeminentes, incluindo Qilin, DragonForce e Akira, e se tornou, na prática, a norma entre as operações de ransomware de primeiro nível.

O Gentlemen se destaca como uma exceção notável a essa tendência. Apesar de estar entre as cinco bandas de ransomware mais ativas no primeiro trimestre de 2026, sua vitimologia não apresenta um foco comparável nos EUA. Em vez disso, os afiliados do Gentlemen têm como alvo, de forma consistente, vítimas em uma ampla e geograficamente diversificada variedade de países, com um número significativo de vítimas em regiões como o Sudeste Asiático, América do Sul e Europa Ocidental. De fato, os alvos da banda incluem alguns países relativamente incomuns, como Tailândia, Brasil e França.

Os dados vazados recentemente fornecem evidências de que, no que diz respeito à seleção de vítimas, o Gentlemen utiliza uma abordagem centralizada que consiste em classificar candidatos viáveis e, posteriormente, atribuí-los aos afiliados. As vítimas são selecionadas principalmente com base na (má) configuração do FortiGate, e não em sua localização geográfica.

EDR Killers

Em fevereiro de 2026, observamos um EDR killer anteriormente não documentado sendo implantado por um afiliado do Gentlemen e preparado em um diretório denominado GentlemenCollection. Denominamos essa ferramenta de GentleKiller.

Naquele momento, levantamos a hipótese de que ela não era um artefato específico de um afiliado, mas sim uma ferramenta fornecida aos afiliados pelos operadores do Gentlemen. Desde então, observamos o mesmo padrão de implantação (o download do GentleKiller e de outros EDR killers no diretório GentlemenCollection) em múltiplas intrusões não relacionadas que investigamos, envolvendo de forma consistente afiliados do Gentlemen.

Paralelamente, dois relatórios publicados de forma independente Group-IB e Check Point avaliaram que os operadores do Gentlemen oferecem explicitamente recursos para desativar EDRs como parte de seu programa RaaS.

Em conjunto, essas observações nos permitiram concluir que o GentleKiller é um componente de uma suíte de EDR killers mantida pelos operadores do Gentlemen. Isso foi posteriormente confirmado nos dados vazados do grupo.

Além do GentleKiller, a suíte também inclui HexKiller, HavocKiller e ThrottleBlood; todos são nomes atribuídos pela ESET a EDR killers também utilizados por afiliados de bandas rivais e obtidos pelo Gentlemen por meios desconhecidos.

Também observamos o DemoKiller em várias intrusões, mas esse EDR killer não apresentou vínculos com o Gentlemen. Por isso, o excluímos da suíte da banda e o consideramos específico de afiliados.

A próxima parte da publicação aborda essas ferramentas com maior nível de detalhamento e as posiciona dentro do ecossistema mais amplo de EDR killers. Embora essas ferramentas estejam integradas operacionalmente nas intrusões do Gentlemen, avaliamos com alto grau de confiança que apenas o GentleKiller é desenvolvido internamente pelos operadores do Gentlemen, enquanto os demais EDR killers provavelmente foram obtidos externamente e posteriormente modificados e padronizados para se adequar ao conjunto de ferramentas do grupo.

Nossa avaliação é baseada em:

  • A presença do GentleKiller principalmente em intrusões relacionadas ao Gentlemen, frequentemente implantado no diretório GentlemenCollection;
  • O desenvolvimento contínuo com acesso evidente ao código-fonte, permitindo a criação de novas variantes e o suporte a PoCs recentemente publicadas;
  • Relatórios de terceiros mencionando que o Gentlemen oferece recursos de EDR killing a afiliados de confiança.

Estratégia de evasão de defesa

Os operadores do Gentlemen aplicam um conjunto específico de técnicas de evasão de defesas aos diferentes EDR killers da banda. Essas técnicas são aplicadas sobre amostras compiladas, e não sobre o código-fonte. Isso permite que o Gentlemen proteja até mesmo aqueles EDR killers cujo código-fonte não possui.

Todos os EDR killers que fazem parte do repertório do Gentlemen seguem esses padrões de evasão de defesas, indicando uma estratégia padronizada, a saber:

  • Uma proteção binária avançada (Enigma ou Themida) é aplicada a uma parcela significativa das amostras identificadas. O sufixo do nome do arquivo geralmente identifica o método utilizado (Enigma, Themida ou nenhum).
  • Os nomes dos arquivos são escolhidos para se assemelhar aos de fornecedores de software conhecidos, especialmente empresas do setor de cibersegurança.
  • Os executáveis se passam por fornecedores utilizando os seguintes atributos, todos correspondentes ao mesmo fornecedor ou produto:
    • Informações de versão falsificadas;
    • Assinaturas digitais inválidas copiadas de arquivos executáveis legítimos;
    • Ícones que correspondem aos dos fornecedores falsificados.

Embora um pequeno número de amostras fuja dessa abordagem, provavelmente devido a práticas de desenvolvimento inconsistentes, a grande maioria dos EDR killers observados segue esse padrão.

Na Tabela 1, mostramos como os sufixos funcionam. Mais adiante na publicação, explicamos como esses sufixos são adicionados aos nomes dos arquivos.

Tabela 1. Padrão de nomenclatura dos EDR killers mantidos pelo Gentlemen.

Suffix Protection Fake signature Fake version information
1 Enigma Yes Yes
2 Themida Yes Yes
Light None Yes Yes
Clear None No No

GentleKiller

O GentleKiller é, de longe, o EDR killer mais prevalente observado no ecossistema do Gentlemen. Até o momento da redação deste relatório, temos conhecimento de pelo menos oito variantes distintas, cada uma se passando por um produto legítimo diferente e abusando de um driver vulnerável ou malicioso específico. Apesar dessas diferenças em nível superficial, classificamos todas essas amostras sob o mesmo grupo denominado GentleKiller devido ao alto grau de características internas compartilhadas.

Ao abstrair a camada de falsificação e os drivers específicos utilizados, o código subjacente revela diversas semelhanças estruturais e comportamentais que indicam fortemente o uso de um modelo de desenvolvimento compartilhado. Esse modelo é reutilizado entre as variantes com modificações mínimas.

As características definidoras desse modelo incluem:

  • Cadeias de texto consistentes entre as variantes;
  • Finalização periódica de processos em um loop;
  • Direcionamento a um amplo conjunto de soluções de segurança;
  • Uso de técnicas idênticas de ofuscação de código.

A Figura 1 mostra um exemplo da saída do GentleKiller, e a Figura 2 apresenta um trecho de código que ilustra a ofuscação utilizada.

Figure 1. Output window spawned by GentleKiller
Figura 1. Janela de saída gerada pelo GentleKiller.
Figure 2. Code obfuscation implemented by GentleKiller
Figura 2. Ofuscação de código implementada pelo GentleKiller.

Esse design prioriza a facilidade de implantação e a flexibilidade operacional para os afiliados, ao mesmo tempo em que minimiza o esforço de desenvolvimento para os operadores. Ele permite que os operadores do Gentlemen integrem drivers explorados em seu conjunto de ferramentas pouco tempo depois da publicação de uma PoC de EDR killer. Esse foi o caso do UnknownKiller e PoisonKiller, que foram adotados em questão de dias.

Embora algumas versões compiladas (builds) não tenham como alvo todos os processos conhecidos pelo GentleKiller, o conjunto geral, apresentado na Tabela 2, permanece consistente. Utilizamos IA para mapear os nomes dos processos aos seus respectivos fornecedores, e reconhecemos que podem existir pequenas inconsistências. De forma geral, o GentleKiller tem como alvo mais de 400 processos que a IA associou a 48 produtos.

Tabela 2. Lista completa dos nomes de processos direcionados pelo GentleKiller, associados aos seus respectivos fornecedores.

Vendor Targeted processes
Acronis acronis_agent.exe, BackupAndRecoveryAgent.exe, managementagenthost.exe, mms.exe
AlienVault alienvault-agent.exe, osqueryd.exe
Avast afwServ.exe, aswEngSrv.exe, aswidsagent.exe, aswToolsSvc.exe, AvastSvc.exe, AvastUI.exe, avastsvc.exe, avastui.exe, bccavsvc.exe, wsc_proxy.exe
AVG AVGUI.exe, AVGSvc.exe, avgnt.exe, avgsvca.exe, avgToolsSvc.exe
Binary Defense BinaryDefenseAgent.exe
Bitdefender Arrakis3.exe, BDAvScanner.exe, BDFsTray.exe, BDFileServer.exe, BDLived2.exe, BDLogger.exe, BDScheduler.exe, BDStatistics.exe, bdagent.exe, bdemsrv.exe, bdntwrk.exe, bdredline.exe, bdregsvr2.exe, bdservicehost.exe
Blumira BlumiraAgent.exe
Bromium BromiumDaemon.exe, BrDifxapi.exe
Carbon Black cb.exe, cbcomms.exe, cbdefense.exe, carbonsensor.exe, RepMgr.exe
Cisco Talos cfrutil.exe, CiscoAMPCEFWDriver.exe, cisco_amp_connector.exe, immunet.exe
CrowdStrike ARWSRVC.EXE, ARCUpdate.exe, CSFalconContainer.exe, CSFalconService.exe, CSFalconUI.exe, csfalcondataprotect.exe, csfalcondaterepair.exe, REPRSVC.EXE
Cynet CynetEPS.exe, CynetMS.exe, CynetSvc.exe
Cybereason ActiveConsole.exe, cybereason.exe, CybereasonActiveProbe.exe, CybereasonCR.exe
Cyvera CyveraConsole.exe, CyveraService.exe, CyvrAgentSvc.exe, CyvrFsFlt.exe, cyvrfsflt.exe
Cylance/BlackBerry CylanceSvc.exe
Darktrace DarktraceTSA.exe
Deep Instinct DeepInstinct.exe, DeepInstinctService.exe, DIAgentService.exe
Elastic a2guard.exe, a2service.exe
ESET eamonm.exe, eamsi.exe, ecls.exe, efwd.exe, egui.exe, eguiProxy.exe, ekrn.exe, ekrnEpfw.exe, ERAAgent.exe, EraAgentSvc.exe
Fortinet firesvc.exe, firetray.exe, FortiTray.exe, fortiedr.exe, fw.exe
G DATA GDDServer.exe, QHPISVR.EXE, QUHLPSVC.EXE, SAPISSVC.EXE
Heimdal HeimdalsecurityAgent.exe
Huntress HuntressAgent.exe, HuntressRMM.exe
Kaspersky avp.exe, avpsus.exe, avpui.exe, kavfs.exe, kavfsscs.exe, kavfswh.exe, kavfswp.exe, kavtray.exe, klactprx.exe, klcsldcl.exe, klcsweb.exe, klnagent.exe, klnagchk.exe, klscctl.exe, klserver.exe, klwtblfs.exe, kpf4ss.exe, ksde.exe, ksdeui.exe, vapm.exe
LogRhythm LogProcessorService.exe
McAfee/Trellix AGMService.exe, AGSService.exe, masvc.exe, macmnsvc.exe, McAfeeAgent.exe, mcshield.exe, mfeann.exe, mfevtps.exe, mfetp.exe, mfeepehost.exe, mfefire.exe, mfemactl.exe, mfemacsvc.exe, mfemgr.exe, mfemms.exe, MgntSvc.exe, ModuleCoreService.exe, tepfsvc.exe
Microsoft Defender MSASCui.exe, MSASCuiL.exe, MpDefenderCoreService.exe, MsMpEng.exe, MsMpSvc.exe, MsSense.exe, msascuil.exe, msseces.exe, NisSrv.exe, nissrv.exe, SecurityHealthService.exe, SecurityHealthSystray.exe, SenseCncProxy.exe, SenseIR.exe, SenseNdr.exe, SenseSampleUploader.exe, smartscreen.exe, windefend.exe
Morphisec MorphisecService.exe
Norton/Symantec ccApp.exe, ccSvcHst.exe, ccsvchst.exe, ns.exe, nsservice.exe, nortonsecurity.exe, rtvscan.exe, SepMasterService.exe, sepWscSvc64.exe, smc.exe, SmcGui.exe, snac.exe, SymCorpUI.exe, SymWSC.exe
OSSEC/Wazuh ossec-agent.exe, wazuh-agent.exe
Palo Alto Networks (Traps/Cortex) cortexService.exe, trapsagent.exe, trapsd.exe, Traps.exe
Panda Security panda_url_filtering.exe, pavfnsvr.exe, pavsrv.exe, psanhost.exe, PSANHost.EXE, pselamsvc.EXE, PSUAMain.EXE, PSUAService.EXE, pangps.exe
Qualys qualys-cloud-agent.exe, QualysAgent.exe
Rapid7 ir_agent.exe, rapid7_endpoint.exe
Red Canary RedCanaryAgent.exe
Sangfor CSAAgent.exe, CSAService.exe, SangforAgent.exe, SangforCSA.exe, SangforEDR.exe, SangforInterface.exe, SangforMonitor.exe, SangforProtect.exe, SangforService.exe, SangforTray.exe, SangforUD.exe
SentinelOne Sentinel.exe, SentinelAgent.exe, SentinelAgentWorker.exe, SentinelCtl.exe, SentinelHelperService.exe, SentinelMemoryScanner.exe, SentinelPowerShellExtension.exe, SentinelRanger.exe, SentinelServiceHost.exe, SentinelStaticEngine.exe, SentinelStaticEngineScanner.exe, SentinelUI.exe
SonicWall SonicWallClientProtectionService.exe, swc_service.exe
Sophos hmpalert.exe, McsAgent.exe, McsClient.exe, SavApi.exe, SAVAdminService.exe, SAVService.exe, SEDService.exe, SophosADSyncService.exe, SophosClean.exe, SophosCleanM64.exe, SophosFIMService.exe, SophosFS.exe, SophosHealth.exe, SophosLiveQueryService.exe, SophosMTR.exe, SophosMTRExtension.exe, SophosNetFilter.exe, SophosNtpService.exe, SophosOsquery.exe, SophosOsqueryExtension.exe, Sophos.PolicyEvaluation.Service.exe, SophosSafestore64.exe, SophosUI.exe, SophosUpdateMgr.exe, sophosav.exe, sophossps.exe, SSPService.exe
Tanium TaniumClient.exe, TaniumCX.exe, tanclient.exe
ThreatLocker ThreatLockerConsent.exe, threatlockerservice.exe, threatlockertray.exe
TrendAI coreFrameworkHost.exe, coreServiceShell.exe, NTRTScan.exe, ntrtscan.exe, Ntrtscan.exe, OfcService.exe, ofcDdaSvr.exe, PccNTMon.exe, PccNt.exe, TISafe.exe, TISafeSvc.exe, TmCCSF.exe, tmicAgentSetting.exe, TMBMSRV.exe, Tmbmsrv.exe, tm_netsrv.exe, TmListen.exe, tmntsrv.exe, TmPfw.exe, tmproxy.exe, TmProxy.exe, TmPreFilter.exe, TmSSClient.exe, TmsaInstance64.exe, TmWscSvc.exe, VOneAgentConsole.exe, VOneAgentConsoleTray.exe
Uptycs VectorAgent.exe, UptycsAgent.exe
Varonis DatAdvantage.exe, VaronisAgent.exe
WatchGuard wlcsservice.exe
Webroot WRSA.exe, WRSkyClient.exe, WRSVC.exe, wrsa.exe
Windows Sysinternals Sysmon.exe, Sysmon64.exe
Zscaler zlclient.exe

Variantes do GentleKiller

Cada variante do GentleKiller se passa por um produto diferente e explora um driver malicioso ou vulnerável específico. A Tabela 3 apresenta uma lista das oito variantes do GentleKiller que observamos até o momento.

<suffix> faz referência ao padrão de nomenclatura explicado na Tabela 1. Os nomes dos drivers correspondem à forma como o GentleKiller os baixa para o disco.

Tabela 3. Lista de variantes do GentleKiller.

Variant name Filenames Abused driver
Kaspersky Kasp<suffix>.exe eb.sys, a rootkit (PoC)
FACEIT Anti-Cheat FaceIT<suffix>.exe nseckrnl.sys, NSecsoft NSecKrnl driver (PoC)
Valorant Valorant<suffix>.exe GameDriverX64.sys, an anti-cheat driver (PoC)
Javelin EAAntiCheat<suffix>.exe
EASolo<suffix>.exe
stpm_(old|new).sys, two vulnerable ProcessMonitor Driver samples by Safetica (PoC)
WatchDog BitD<suffix>.exe dmx.sys, Zemana’s WatchDog Antimalware Driver (PoC)
Network Blocker MB<suffix>.exe 360netmon_wfp.sys, a vulnerable driver by Qihoo 360 Technology (PoC)
Cleaner Deletor.exe IMFForceDelete, IObit’s IMF ForceDelete filter driver (PoC); the driver is dropped without the trailing .sys extension
G11 G11<suffix>.exe
Symantec<suffix>.exe
PoisonX, a rootkit (PoC)

EDR killers de terceiros

Além do GentleKiller, desenvolvido internamente, o Gentlemen incorporou múltiplas soluções de terceiros à sua suíte, resumidas na Tabela 4 e descritas nas seções seguintes.

<suffix> faz referência ao padrão de nomenclatura explicado na Tabela 1. Os nomes dos drivers correspondem à forma como os EDR killers associados os baixam para o disco.

Tabela 4. Lista de programas de desativação de EDR de terceiros oferecidos pelo Gentlemen.

ESET name for the EDR killer Filenames Abused driver
HexKiller Avast<suffix>.exe googleApiUtil64.sys, Baidu Antivirus BdApi driver
ThrottleBlood Sent<suffix>.exe ThrottleBlood.sys, driver by TechPowerUp LLC
HavocKiller HwAudKiller.exe
Sophos<suffix>.exe
havoc.sys, Huawei Audio driver

HexKiller

O HexKiller é um EDR killer que anteriormente havíamos avaliado como exclusivo da banda Warlock. Portanto, sua aparição em intrusões do Gentlemen é inesperada e relevante.

Detectamos o HexKiller sendo implantado junto com binários do GentleKiller dentro do diretório GentlemenCollection. No entanto, sua presença em intrusões do Gentlemen não implica, por si só, uma colaboração direta ou uma sobreposição operacional entre as bandas Gentlemen e Warlock. É plausível que os operadores do Gentlemen tenham obtido o HexKiller por meios indiretos, como trocas privadas, canais secundários de distribuição ou vazamentos de amostras, sem a necessidade de interação direta com o Warlock. Portanto, não consideramos isso uma evidência de uma relação mais profunda entre os dois grupos.

ThrottleBlood

Esse EDR killer foi observado repetidamente em intrusões realizadas por afiliados do MedusaLocker e, com menor frequência, por afiliados do DragonForce. Além disso, foi associado ao Gentlemen pela Trend Micro em setembro de 2025.

Atualmente, não temos evidências suficientes para determinar de forma conclusiva a origem do ThrottleBlood. Em nossa telemetria, ele aparece implantado de maneira significativa em múltiplas intrusões do MedusaLocker e, ocasionalmente, em atividades relacionadas ao DragonForce. Esses incidentes apresentam pouca sobreposição operacional além do uso do próprio ThrottleBlood. Uma possível explicação é que o ThrottleBlood seja distribuído comercialmente em mercados clandestinos ou, alternativamente, que seja uma ferramenta desenvolvida pelos operadores do MedusaLocker e compartilhada com seus afiliados, alguns dos quais também poderiam ter vínculos com o DragonForce.

No entanto, nenhuma dessas hipóteses explica completamente como uma amostra do ThrottleBlood chegou às mãos do Gentlemen. Dessa forma, não podemos descartar a possibilidade de que o grupo tenha adquirido a ferramenta por meio de um vazamento fora de seu contexto original. O que podemos afirmar com alto grau de certeza é que o Gentlemen não desenvolveu esse EDR killer internamente.

HavocKiller

O HavocKiller é a mais recente adição ao arsenal de EDR killers do Gentlemen. Embora a ferramenta tenha sido divulgada publicamente pela Huntress em 19 de março de 2026, a telemetria da ESET confirma seu uso em intrusões reais pelo menos desde 23 de janeiro de 2026, indicando que ela já estava operacional por semanas antes de seu relatório público. Também podemos confirmar a avaliação da Huntress sobre seu propósito: em todos os casos observados pela ESET, a implantação do HavocKiller fazia parte de atividades relacionadas a ransomware.

Com base em suas características técnicas, avaliamos que o HavocKiller não foi desenvolvido pelos operadores do Gentlemen, mas obtido por meios externos. Embora as amostras tenham sido implantadas dentro do diretório GentlemenCollection e tenham recebido as técnicas padrão de evasão de defesas do Gentlemen, a implementação subjacente difere significativamente do GentleKiller. Isso indica fortemente que o HavocKiller é um EDR killer de terceiros adaptado em nível operacional, mas cuja arquitetura não se encaixa no framework do Gentlemen.

OxideHarvest

Também detectamos diversas implantações de uma ferramenta que denominamos OxideHarvest, um credential stealer escrito em Rust. Como Rust não é a linguagem de programação normalmente utilizada pelo Gentlemen, não atribuímos essa ferramenta ao grupo. No entanto, conforme apontado pela Check Point, um afiliado do Gentlemen chamado quant mantém uma ferramenta denominada buildx641, cujo nome e funcionalidade nos remeteram imediatamente ao OxideHarvest. De fato, após uma investigação adicional, encontramos uma amostra do OxideHarvest denominada buildx641.exe carregada no VirusTotal; concluímos que buildx641 e OxideHarvest são a mesma ferramenta.

O OxideHarvest é distribuído empacotado com diferentes packers, frequentemente imitando softwares legítimos nas informações de versão e no ícone (de forma semelhante, embora não idêntica, ao que o Gentlemen faz com o GentleKiller). O payload protegido é um credential stealer simples e direto. Para funcionar, o OxideHarvest exige que o usuário especifique, como opções de linha de comando, a lista de hosts (-i), o nome de usuário (-u), a senha (-p), o número de threads (-t) e um arquivo de saída (-o). A ferramenta então utiliza as credenciais fornecidas para fazer login nos hosts especificados (indicados em um arquivo de texto delimitado por quebras de linha), utiliza multithreading e exfiltra as credenciais para o arquivo de saída indicado. A Figura 9 mostra o resultado do comando --help do OxideHarvest, e a Tabela 5 apresenta sua configuração, que determina quais credenciais são alvos.

Figure 3. The help of OxideHarvest
Figura 3. Ajuda (help) do OxideHarvest.

Tabela 5. Configuração integrada do OxideHarvest.

{
    "chronium_browsers": [
        [
            "Google Chrome",
            "\\Google\\Chrome\\User Data",
            true
        ],
        [
            "Google Chrome Beta",
            "\\Google\\Chrome Beta\\User Data",
            true
        ],
        [
            "ChromeBeta",
            "\\Google\\Chrome SxS\\User Data",
            true
        ],
        [
            "Chromium",
            "\\Chromium\\User Data",
            true
        ],
        [
            "Microsoft Edge",
            "\\Microsoft\\Edge\\User Data",
            true
        ],
        [
            "Torch",
            "\\Torch\\User Data",
            true
        ],
        [
            "Comodo",
            "\\Comodo\\Dragon\\User Data",
            true
        ],
        [
            "Nichrome",
            "\\Nichrome\\User Data",
            true
        ],
        [
            "Maxthon5",
            "\\Maxthon5\\Users",
            true
        ],
        [
            "Epic Privacy Browser",
            "\\Epic Privacy Browser\\User Data",
            true
        ],
        [
            "Vivaldi",
            "\\Vivaldi\\User Data",
            true
        ],
        [
            "QIP",
            "\\QIP Surf\\User Data",
            true
        ],
        [
            "Cent",
            "\\CentBrowser\\User Data",
            true
        ],
        [
            "Elements",
            "\\Elements Browser\\User Data",
            true
        ],
        [
            "TorBro",
            "\\TorBro\\Profile",
            true
        ],
        [
            "CryptoTab",
            "\\CryptoTab Browser\\User Data",
            true
        ],
        [
            "Brave",
            "\\BraveSoftware\\Brave-Browser\\User Data",
            true
        ],
        [
            "Opera",
            "\\Opera Software\\Opera Stable\\",
            false
        ],
        [
            "OperaGX",
            "\\Opera Software\\Opera GX Stable\\",
            false
        ],
        [
            "Opera Neon",
            "\\Opera Software\\Opera Neon\\User Data",
            false
        ]
    ],
    "gecko_browsers": [
        [
            "Mozila Firefox",
            "\\Mozilla\\Firefox\\Profiles\\",
            false
        ],
        [
            "Slim",
            "\\FlashPeak\\SlimBrowser\\Profiles\\",
            false
        ],
        [
            "PaleMoon",
            "\\Moonchild Productions\\Pale Moon\\Profiles\\",
            false
        ],
        [
            "Waterfox",
            "\\Waterfox\\Profiles\\",
            false
        ],
        [
            "Cyberfox",
            "\\8pecxstudios\\Cyberfox\\Profiles\\",
            false
        ],
        [
            "BlackHawk",
            "\\NETGATE Technologies\\BlackHawk\\Profiles\\",
            false
        ],
        [
            "IceCat",
            "\\Mozilla\\icecat\\Profiles\\",
            false
        ],
        [
            "KMeleon",
            "\\K-Meleon\\",
            false
        ]
    ]
}

Conclusão

O Gentlemen demonstra uma abordagem interessante: EDR killers gerenciados pelos operadores e prontos para serem utilizados pelos afiliados. Enquanto a maioria das bandas de ransomware continua delegando o EDR killing aos afiliados, o Gentlemen optou por centralizar essa função, oferecendo aos afiliados uma suíte padronizada e pronta para uso de EDR killers. Essa decisão torna o Gentlemen um operador atrativo para os afiliados, pois reduz significativamente a barreira de entrada e, consequentemente, simplifica seu trabalho.

Esse modelo difere até mesmo das poucas exceções conhecidas dentro do ecossistema. No caso do RansomHub, os operadores investiram em um único EDR killer, o EDRKillShifter, desenvolvido completamente internamente. O Gentlemen, por outro lado, mantém um portfólio diversificado de EDR killers, combinando desenvolvimento próprio (GentleKiller) com ferramentas de terceiros ou divulgadas publicamente e rapidamente adaptadas (HexKiller, ThrottleBlood e HavocKiller). A aplicação consistente de técnicas de evasão de defesas nessas ferramentas também dificulta a atribuição direta quando as amostras são analisadas de forma isolada. Como as técnicas de EDR killing continuam sendo comoditizadas e circulando em comunidades clandestinas, esta publicação destaca a necessidade de realizar investigações e análises em nível de incidente. Sem esse contexto, é provável que os EDR killers do Gentlemen sejam atribuídos incorretamente ou nem sejam atribuídos, ocultando o verdadeiro alcance da participação desse operador.

Graças à nossa visibilidade contínua sobre intrusões do Gentlemen, conseguimos oferecer proteção contra os ataques do grupo meses antes que o vazamento recente confirmasse nossas hipóteses de alta confiança sobre sua suíte de EDR killers. 

O framework GentleKiller ilustra um equilíbrio deliberado entre desenvolvimento interno e reutilização pragmática de pesquisas externas. Embora alguns componentes apresentem sinais de implementação apressada ou falta de uniformidade, o conjunto de ferramentas como um todo demonstra alta efetividade operacional e uma integração estreita ao fluxo de trabalho de ransomware do Gentlemen. A capacidade do grupo de adaptar PoCs de BYOVD recém-publicadas em questão de dias reforça ainda mais sua agilidade.

Do ponto de vista defensivo, compreender o funcionamento do GentleKiller permite que os defensores desenvolvam melhores estratégias de proteção e se preparem até mesmo para futuras incorporações ainda não desenvolvidas ao arsenal de EDR killing do Gentlemen.

Para qualquer dúvida sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco pelo e-mail threatintel@eset.com.

Indicadores de Comprometimento

Arquivos

SHA-1 Filename Detection Description
8AE6BD18B129061F63642531F1B684CF0383C75D Kasps.exe Win64/KillAV.EA GentleKiller (Kaspersky variant).
BA914FE77B177B45799403B16DD14765C510A074 eb.sys Win64/Agent.ITG A custom rootkit used by the Kaspersky variant of GentleKiller.
D605994FC72A2BB59B5CFB1624A1B9170ECA73A2 FaceIT1.exe Win64/KillAV.EA GentleKiller (FACEIT Anti-Cheat variant, Enigma-protected).
B0B912A3FD1C05D72080848EC4C92880004021A1 nseckrnl.sys Win64/VulnDriver.NSecsoft.A NSecsoft NSecKrnl driver abused by the FACEIT Anti-Cheat variant of GentleKiller.
5AA3124E5C4921E5EDFC60133B5D71DA21B07DA3 Valorant2.exe Win64/KillAV.EA GentleKiller (Valorant variant, Themida-protected).
7556AE58C215B8245A43F764F0676C7A8F0FDD1A vgk.sys Win64/VulnDriver.PerfectWorld.A Tower of Fantasy AntiCheat driver abused by the Valorant variant of GentleKiller.
331879F5EEC8892BBD896F90BDBB1BAD0BF63BD6 EASolo2Light.exe Win64/KillAV.EA GentleKiller (Javelin variant abusing Safetica’s newer driver).
F11AEBCCB9A86A7E2E653F90BAEC697F233C255F EASOLO1clear.exe Win64/KillAV.EA GentleKiller (Javelin variant abusing Safetica’s older driver).
EF9CD06683159397F099CAA244E94E6EAAD96EBA EAAntiCheatLight.exe Win64/KillAV.EA GentleKiller (Javelin variant abusing both drivers).
711EF221526997039E804A18DB9647C91680BBE2 stpm_old.sys Win64/VulnDriver.Safetica.A Safetica’s Process Monitor Driver (older) abused by the Javelin variant of GentleKiller.
68FEC379F2AE76C3D2CE913F7BE650CEA1D06990 stpm_new.sys Win64/VulnDriver.Safetica.H Safetica’s Process Monitor Driver (newer) abused by the Javelin variant of GentleKiller.
A11EE9CDC59E5CAA59AEFD27B30D104F3AD68E62 BitD1.exe Win64/KillAV.EA GentleKiller (WatchDog variant, Themida-protected).
96F0DBF52AED0AFD43E44500116B04B674F7358E dmx.sys Win64/VulnDriver.WatchDogDev.C Zemana’s WatchDog Antimalware Driver abused by the WatchDog variant of GentleKiller.
2F86898528C6CAB3540C486A9BFAA0C029B73950 MB2.exe Win64/KillAV.EA GentleKiller (Network Blocker variant, Themida-protected).
9AD51AD97C01E97AB59214116740785E0F6320A8 360netmon_wfp.sys Win64/VulnDriver.Qihoo360.A 360netmon.sys driver abused by the Network Blocker variant of GentleKiller.
A19117175DBC9BA4D23B5DCE8415E299A2E32192 Deletor.exe Win64/KillAV.EA GentleKiller (Cleaner variant).
12500F6C87CE62712A0ED6652C57468D15C14223 IMFForceDelete Win64/VulnDriver.IObit.D.gen IMF ForceDelete filter driver abused by the Cleaner variant of GentleKiller.
D29670E684E40DDC89B47010C37CBC96737035B6 Symantec.exe Win64/KillAV.EA GentleKiller (G11 variant).
56BEE9DF5833A637F5C54D5911DF98B0812FE643 G11.sys Win64/Agent.IYQ PoisonX rootkit used by the G11 variant of GentleKiller.
CF4D74DF17A91B4A36A2911B22AFEC5D8FA93A01 Avast.exe Win32/KillAV.NVL HexKiller incorporated into Gentlemen modus operandi by adding the evasion layer.
EC296F9501AD71E430810CB5CDC38D954D4BA536 googleApiUtil64.sys Win64/VulnDriver.Baidu.B Baidu Antivirus BdApi driver abused by HexKiller.
7131B377E96016DC1911020C9F95B1B4D042D7B4 Sent.exe Win64/KillAV.AT ThrottleBlood incorporated into Gentlemen modus operandi by adding the evasion layer.
82ED942A52CDCF120A8919730E00BA37619661A3 ThrottleBlood.sys Win64/VulnDriver.GPUZ.B ThrottleStop.sys driver abused by ThrottleBlood.
F0537CBB773AE12100B36731E7C39F5A9D852B14 Sophos.exe Win64/KillAV.DE HavocKiller incorporated into Gentlemen modus operandi by adding the evasion layer.
1FA071303FB846308571E64727501FB98B1C2BE6 havoc.sys Win64/VulnDriver.Huawei.D Vulnerable driver abused by HavocKiller.
A5CF917EC4A7DFBDFA43621398604805D860C718 buildx641.exe Win64/Spy.Agent.AGC OxideHarvest.
D4B19141102015D436321E6F26976E98183CFD27 buildx64.exe Win64/Spy.Agent.AGC OxideHarvest.

Técnicas do MITRE ATT&CK

Esta tabela foi elaborada utilizando a versão 19 do framework MITRE ATT&CK.

Tactic ID Name Description
Execution T1059.003 Command and Scripting Interpreter: Windows Command Shell GentleKiller and related tools are console-based executables that run visibly and emit debug strings during execution.
T1106 Native API User-mode components interact directly with kernel drivers via DeviceIoControl and other native Windows APIs to perform privileged actions.
Persistence T1543.003 Create or Modify System Process: Windows Service The EDR killers install and start vulnerable or malicious drivers as services prior to exploitation.
Stealth T1036 Masquerading Gentlemen’s EDR killers are protected by impersonating legitimate vendors through filenames, version information, icons, and copied digital certificates.
T1036.001 Masquerading: Invalid Code Signature The protection applied to Gentlemen’s EDR killers adds an invalid code signature as part of the impersonation strategy.
T1027 Obfuscated Files or Information Some executables are protected with packers (e.g., Enigma, Themida) and custom control-flow obfuscation.
Defense Impairment T1685 Disable or Modify Tools GentleKiller and other EDR killers that Gentlemen is in possession of aim to bypass security products such as EDRs.