A equipe de pesquisa da ESET analisou o robusto conjunto de ferramentas EDR killer da banda de ransomware como serviço (RaaS) Gentlemen. Desde o início de 2026, o Gentlemen se consolidou como uma das bandas mais ativas dentro do ecossistema de ransomware. O grupo se destaca por contar com um conjunto maduro de ferramentas EDR killer mantido por seus operadores, ou seja, ferramentas projetadas para interromper o funcionamento de softwares de segurança. Além disso, diferentemente da maioria das bandas de primeiro nível, o Gentlemen não apresenta uma vitimologia concentrada nos Estados Unidos, mas tem como alvo vítimas no Sudeste Asiático, América do Sul e Europa Ocidental.
Embora diversos relatórios sobre o Gentlemen tenham sido publicados nos últimos meses, eles não se concentraram em uma análise detalhada de suas ferramentas EDR killer. Graças à visibilidade contínua da ESET em nível de incidentes, podemos oferecer uma visão excepcionalmente aprofundada das práticas de desenvolvimento dessas ferramentas. O vazamento interno de dados sofrido pelo Gentlemen em maio de 2026 nos permitiu obter ainda mais informações sobre o funcionamento interno do grupo.
O vazamento também nos permitiu confirmar nossa hipótese de fevereiro de 2026 de que os operadores do Gentlemen desenvolvem e mantêm ativamente um portfólio de ferramentas EDR killer oferecidas aos seus afiliados, com foco em seu framework interno, que denominamos GentleKiller. Além disso, eles incorporam ferramentas de terceiros ou vazadas, como HexKiller, ThrottleBlood e HavocKiller. Essas ferramentas são padronizadas por meio de uma camada compartilhada de evasão de defesas, que se passa principalmente por fornecedores de segurança utilizando informações falsas de versão, além de certificados e ícones legítimos copiados. O Gentlemen também demonstra uma capacidade incomumente rápida de operacionalizar proofs-of-concept (PoC) recém-divulgadas da técnica Bring Your Own Vulnerable Driver (BYOVD), frequentemente em questão de dias após sua publicação.
Nesta publicação, compartilhamos nossas descobertas sobre a suíte de ferramentas EDR killer do Gentlemen, obtidas por meio de uma investigação abrangente e corroboradas pelo vazamento recente. Nosso objetivo é fornecer conhecimento acionável ao relacionar os pacotes de EDR killer com amostras reais e associar os dados vazados a táticas, técnicas e procedimentos (TTPs). Nossas descobertas posicionam o Gentlemen como uma das bandas RaaS tecnicamente mais ágeis de 2026.
Pontos-chave desta publicação:
- Os operadores do Gentlemen desenvolvem e mantêm uma suíte de ferramentas EDR killer que é fornecida diretamente aos afiliados.
- O GentleKiller é um framework interno com pelo menos oito variantes que abusam de diferentes drivers vulneráveis ou maliciosos.
- Os operadores do Gentlemen aplicam uma estratégia unificada de evasão em todas as suas ferramentas, padronizando mecanismos de falsificação e proteção.
- Ferramentas EDR killer de terceiros (HexKiller, ThrottleBlood e HavocKiller) são integradas operacionalmente.
- O Gentlemen consegue adaptar rapidamente novas provas de conceito (PoC) de EDR killer após sua publicação.
- A vitimologia do grupo é global e, de forma notável, não está concentrada nos EUA.
- O Gentlemen também utiliza o OxideHarvest, um ladrão de credenciais mantido por um dos afiliados do grupo.
Ao longo desta publicação, nos referimos aos operadores e afiliados de RaaS. Os operadores são responsáveis por desenvolver o payload do ransomware, gerenciar as chaves de descriptografia, manter o site de vazamento, frequentemente negociar o pagamento do resgate com as vítimas e oferecer ferramentas e serviços adicionais mediante uma taxa mensal ou uma porcentagem do resgate (normalmente entre 5% e 20%). Os afiliados contratam os serviços de ransomware dos operadores, implantam os criptografadores nas redes das vítimas e também são responsáveis pela exfiltração de dados.
Perfil do “Gentlemen”
O Gentlemen surgiu no final de 2025 como uma operação de ransomware como serviço (RaaS) e rapidamente se consolidou como uma das bandas de ransomware mais ativas observadas no primeiro trimestre de 2026. A banda oferece uma participação de 90% aos afiliados. O Group-IB revelou que o Gentlemen foi fundado por hastalamuerte, um ex-afiliado insatisfeito do Qilin. A PRODAFT publicou no X (antigo Twitter), em 17 de outubro de 2025, que os operadores do Gentlemen haviam sido anteriormente afiliados do Qilin, Embargo, LockBit, Medusa e BlackLock. Em 10 de junho de 2026, Brian Krebs compartilhou evidências sobre a verdadeira identidade de hastalamuerte.
O Gentlemen utiliza dupla extorsão: além de criptografar os dados da vítima, o grupo também ameaça divulgá-los caso o resgate não seja pago. Para a criptografia, os operadores oferecem uma variante escrita em Go direcionada ao Windows, Linux e outras plataformas, além de uma variante para ESXi escrita em C.
Um dos aspectos que diferencia o Gentlemen é sua disposição em oferecer mais do que apenas criptografadores aos afiliados; em particular, a banda também fornece EDR killers. Pesquisas recentes da ESET demonstraram que, na maioria das intrusões de ransomware, a responsabilidade de encontrar um EDR killer confiável geralmente recai sobre os afiliados individuais, e não sobre os operadores de RaaS. Apenas um pequeno número de exceções a esse modelo foi documentado. Um caso notável é o RansomHub, que investiu no desenvolvimento de seu próprio EDR killer do zero, o EDRKillShifter, e posteriormente o ofereceu aos afiliados por meio do painel de afiliados.
O Gentlemen representa uma abordagem diferente e, até agora, pouco documentada. Em vez de depender que os afiliados obtenham seus próprios EDR killers, os operadores do Gentlemen desenvolvem e mantêm ativamente um portfólio dessas ferramentas para seus afiliados. Esse portfólio combina uma ferramenta desenvolvida internamente, denominada GentleKiller, com ferramentas externas ou vazadas, padronizadas por meio de uma camada compartilhada de evasão e implantadas de forma consistente.
Pesquisadores da ESET levantaram a hipótese de que o GentleKiller era uma ferramenta interna já em fevereiro de 2026, algo posteriormente confirmado por relatórios do Group-IB e da Check Point, ambos indicando que o grupo fornece capacidades de EDR killing aos seus afiliados (verificados). O recente vazamento de dados internos do grupo forneceu a evidência definitiva: nos dados vazados, zeta88 (outro alias utilizado por hastalamuerte), líder da banda, menciona abertamente a manutenção e o fornecimento de pacotes de EDR killer.
Além de confirmar nossa hipótese sobre o GentleKiller, os dados vazados também nos permitiram associar um credential stealer, denominado OxideHarvest, ao Gentlemen, especificamente a um de seus afiliados.
Vítimas
Embora a vitimologia das grandes operações RaaS seja geralmente mais influenciada pelas decisões dos afiliados do que por uma estratégia conduzida pelos operadores, existe um padrão específico que tende a se repetir. A maioria das principais bandas de ransomware apresenta um foco forte e persistente nos Estados Unidos, que frequentemente representa aproximadamente metade de todas as vítimas anunciadas. Esse viés centrado nos EUA é evidente em diversos grupos proeminentes, incluindo Qilin, DragonForce e Akira, e se tornou, na prática, a norma entre as operações de ransomware de primeiro nível.
O Gentlemen se destaca como uma exceção notável a essa tendência. Apesar de estar entre as cinco bandas de ransomware mais ativas no primeiro trimestre de 2026, sua vitimologia não apresenta um foco comparável nos EUA. Em vez disso, os afiliados do Gentlemen têm como alvo, de forma consistente, vítimas em uma ampla e geograficamente diversificada variedade de países, com um número significativo de vítimas em regiões como o Sudeste Asiático, América do Sul e Europa Ocidental. De fato, os alvos da banda incluem alguns países relativamente incomuns, como Tailândia, Brasil e França.
Os dados vazados recentemente fornecem evidências de que, no que diz respeito à seleção de vítimas, o Gentlemen utiliza uma abordagem centralizada que consiste em classificar candidatos viáveis e, posteriormente, atribuí-los aos afiliados. As vítimas são selecionadas principalmente com base na (má) configuração do FortiGate, e não em sua localização geográfica.
EDR Killers
Em fevereiro de 2026, observamos um EDR killer anteriormente não documentado sendo implantado por um afiliado do Gentlemen e preparado em um diretório denominado GentlemenCollection. Denominamos essa ferramenta de GentleKiller.
Naquele momento, levantamos a hipótese de que ela não era um artefato específico de um afiliado, mas sim uma ferramenta fornecida aos afiliados pelos operadores do Gentlemen. Desde então, observamos o mesmo padrão de implantação (o download do GentleKiller e de outros EDR killers no diretório GentlemenCollection) em múltiplas intrusões não relacionadas que investigamos, envolvendo de forma consistente afiliados do Gentlemen.
Paralelamente, dois relatórios publicados de forma independente Group-IB e Check Point avaliaram que os operadores do Gentlemen oferecem explicitamente recursos para desativar EDRs como parte de seu programa RaaS.
Em conjunto, essas observações nos permitiram concluir que o GentleKiller é um componente de uma suíte de EDR killers mantida pelos operadores do Gentlemen. Isso foi posteriormente confirmado nos dados vazados do grupo.
Além do GentleKiller, a suíte também inclui HexKiller, HavocKiller e ThrottleBlood; todos são nomes atribuídos pela ESET a EDR killers também utilizados por afiliados de bandas rivais e obtidos pelo Gentlemen por meios desconhecidos.
Também observamos o DemoKiller em várias intrusões, mas esse EDR killer não apresentou vínculos com o Gentlemen. Por isso, o excluímos da suíte da banda e o consideramos específico de afiliados.
A próxima parte da publicação aborda essas ferramentas com maior nível de detalhamento e as posiciona dentro do ecossistema mais amplo de EDR killers. Embora essas ferramentas estejam integradas operacionalmente nas intrusões do Gentlemen, avaliamos com alto grau de confiança que apenas o GentleKiller é desenvolvido internamente pelos operadores do Gentlemen, enquanto os demais EDR killers provavelmente foram obtidos externamente e posteriormente modificados e padronizados para se adequar ao conjunto de ferramentas do grupo.
Nossa avaliação é baseada em:
- A presença do GentleKiller principalmente em intrusões relacionadas ao Gentlemen, frequentemente implantado no diretório GentlemenCollection;
- O desenvolvimento contínuo com acesso evidente ao código-fonte, permitindo a criação de novas variantes e o suporte a PoCs recentemente publicadas;
- Relatórios de terceiros mencionando que o Gentlemen oferece recursos de EDR killing a afiliados de confiança.
Estratégia de evasão de defesa
Os operadores do Gentlemen aplicam um conjunto específico de técnicas de evasão de defesas aos diferentes EDR killers da banda. Essas técnicas são aplicadas sobre amostras compiladas, e não sobre o código-fonte. Isso permite que o Gentlemen proteja até mesmo aqueles EDR killers cujo código-fonte não possui.
Todos os EDR killers que fazem parte do repertório do Gentlemen seguem esses padrões de evasão de defesas, indicando uma estratégia padronizada, a saber:
- Uma proteção binária avançada (Enigma ou Themida) é aplicada a uma parcela significativa das amostras identificadas. O sufixo do nome do arquivo geralmente identifica o método utilizado (Enigma, Themida ou nenhum).
- Os nomes dos arquivos são escolhidos para se assemelhar aos de fornecedores de software conhecidos, especialmente empresas do setor de cibersegurança.
- Os executáveis se passam por fornecedores utilizando os seguintes atributos, todos correspondentes ao mesmo fornecedor ou produto:
- Informações de versão falsificadas;
- Assinaturas digitais inválidas copiadas de arquivos executáveis legítimos;
- Ícones que correspondem aos dos fornecedores falsificados.
Embora um pequeno número de amostras fuja dessa abordagem, provavelmente devido a práticas de desenvolvimento inconsistentes, a grande maioria dos EDR killers observados segue esse padrão.
Na Tabela 1, mostramos como os sufixos funcionam. Mais adiante na publicação, explicamos como esses sufixos são adicionados aos nomes dos arquivos.
Tabela 1. Padrão de nomenclatura dos EDR killers mantidos pelo Gentlemen.
Suffix
Protection
Fake signature
Fake version information
1
Enigma
Yes
Yes
2
Themida
Yes
Yes
Light
None
Yes
Yes
Clear
None
No
No
GentleKiller
O GentleKiller é, de longe, o EDR killer mais prevalente observado no ecossistema do Gentlemen. Até o momento da redação deste relatório, temos conhecimento de pelo menos oito variantes distintas, cada uma se passando por um produto legítimo diferente e abusando de um driver vulnerável ou malicioso específico. Apesar dessas diferenças em nível superficial, classificamos todas essas amostras sob o mesmo grupo denominado GentleKiller devido ao alto grau de características internas compartilhadas.
Ao abstrair a camada de falsificação e os drivers específicos utilizados, o código subjacente revela diversas semelhanças estruturais e comportamentais que indicam fortemente o uso de um modelo de desenvolvimento compartilhado. Esse modelo é reutilizado entre as variantes com modificações mínimas.
As características definidoras desse modelo incluem:
- Cadeias de texto consistentes entre as variantes;
- Finalização periódica de processos em um loop;
- Direcionamento a um amplo conjunto de soluções de segurança;
- Uso de técnicas idênticas de ofuscação de código.
A Figura 1 mostra um exemplo da saída do GentleKiller, e a Figura 2 apresenta um trecho de código que ilustra a ofuscação utilizada.
Esse design prioriza a facilidade de implantação e a flexibilidade operacional para os afiliados, ao mesmo tempo em que minimiza o esforço de desenvolvimento para os operadores. Ele permite que os operadores do Gentlemen integrem drivers explorados em seu conjunto de ferramentas pouco tempo depois da publicação de uma PoC de EDR killer. Esse foi o caso do UnknownKiller e PoisonKiller, que foram adotados em questão de dias.
Embora algumas versões compiladas (builds) não tenham como alvo todos os processos conhecidos pelo GentleKiller, o conjunto geral, apresentado na Tabela 2, permanece consistente. Utilizamos IA para mapear os nomes dos processos aos seus respectivos fornecedores, e reconhecemos que podem existir pequenas inconsistências. De forma geral, o GentleKiller tem como alvo mais de 400 processos que a IA associou a 48 produtos.
Tabela 2. Lista completa dos nomes de processos direcionados pelo GentleKiller, associados aos seus respectivos fornecedores.
Vendor
Targeted processes
Acronis
acronis_agent.exe, BackupAndRecoveryAgent.exe, managementagenthost.exe, mms.exe
AlienVault
alienvault-agent.exe, osqueryd.exe
Avast
afwServ.exe, aswEngSrv.exe, aswidsagent.exe, aswToolsSvc.exe, AvastSvc.exe, AvastUI.exe, avastsvc.exe, avastui.exe, bccavsvc.exe, wsc_proxy.exe
AVG
AVGUI.exe, AVGSvc.exe, avgnt.exe, avgsvca.exe, avgToolsSvc.exe
Binary Defense
BinaryDefenseAgent.exe
Bitdefender
Arrakis3.exe, BDAvScanner.exe, BDFsTray.exe, BDFileServer.exe, BDLived2.exe, BDLogger.exe, BDScheduler.exe, BDStatistics.exe, bdagent.exe, bdemsrv.exe, bdntwrk.exe, bdredline.exe, bdregsvr2.exe, bdservicehost.exe
Blumira
BlumiraAgent.exe
Bromium
BromiumDaemon.exe, BrDifxapi.exe
Carbon Black
cb.exe, cbcomms.exe, cbdefense.exe, carbonsensor.exe, RepMgr.exe
Cisco Talos
cfrutil.exe, CiscoAMPCEFWDriver.exe, cisco_amp_connector.exe, immunet.exe
CrowdStrike
ARWSRVC.EXE, ARCUpdate.exe, CSFalconContainer.exe, CSFalconService.exe, CSFalconUI.exe, csfalcondataprotect.exe, csfalcondaterepair.exe, REPRSVC.EXE
Cynet
CynetEPS.exe, CynetMS.exe, CynetSvc.exe
Cybereason
ActiveConsole.exe, cybereason.exe, CybereasonActiveProbe.exe, CybereasonCR.exe
Cyvera
CyveraConsole.exe, CyveraService.exe, CyvrAgentSvc.exe, CyvrFsFlt.exe, cyvrfsflt.exe
Cylance/BlackBerry
CylanceSvc.exe
Darktrace
DarktraceTSA.exe
Deep Instinct
DeepInstinct.exe, DeepInstinctService.exe, DIAgentService.exe
Elastic
a2guard.exe, a2service.exe
ESET
eamonm.exe, eamsi.exe, ecls.exe, efwd.exe, egui.exe, eguiProxy.exe, ekrn.exe, ekrnEpfw.exe, ERAAgent.exe, EraAgentSvc.exe
Fortinet
firesvc.exe, firetray.exe, FortiTray.exe, fortiedr.exe, fw.exe
G DATA
GDDServer.exe, QHPISVR.EXE, QUHLPSVC.EXE, SAPISSVC.EXE
Heimdal
HeimdalsecurityAgent.exe
Huntress
HuntressAgent.exe, HuntressRMM.exe
Kaspersky
avp.exe, avpsus.exe, avpui.exe, kavfs.exe, kavfsscs.exe, kavfswh.exe, kavfswp.exe, kavtray.exe, klactprx.exe, klcsldcl.exe, klcsweb.exe, klnagent.exe, klnagchk.exe, klscctl.exe, klserver.exe, klwtblfs.exe, kpf4ss.exe, ksde.exe, ksdeui.exe, vapm.exe
LogRhythm
LogProcessorService.exe
McAfee/Trellix
AGMService.exe, AGSService.exe, masvc.exe, macmnsvc.exe, McAfeeAgent.exe, mcshield.exe, mfeann.exe, mfevtps.exe, mfetp.exe, mfeepehost.exe, mfefire.exe, mfemactl.exe, mfemacsvc.exe, mfemgr.exe, mfemms.exe, MgntSvc.exe, ModuleCoreService.exe, tepfsvc.exe
Microsoft Defender
MSASCui.exe, MSASCuiL.exe, MpDefenderCoreService.exe, MsMpEng.exe, MsMpSvc.exe, MsSense.exe, msascuil.exe, msseces.exe, NisSrv.exe, nissrv.exe, SecurityHealthService.exe, SecurityHealthSystray.exe, SenseCncProxy.exe, SenseIR.exe, SenseNdr.exe, SenseSampleUploader.exe, smartscreen.exe, windefend.exe
Morphisec
MorphisecService.exe
Norton/Symantec
ccApp.exe, ccSvcHst.exe, ccsvchst.exe, ns.exe, nsservice.exe, nortonsecurity.exe, rtvscan.exe, SepMasterService.exe, sepWscSvc64.exe, smc.exe, SmcGui.exe, snac.exe, SymCorpUI.exe, SymWSC.exe
OSSEC/Wazuh
ossec-agent.exe, wazuh-agent.exe
Palo Alto Networks (Traps/Cortex)
cortexService.exe, trapsagent.exe, trapsd.exe, Traps.exe
Panda Security
panda_url_filtering.exe, pavfnsvr.exe, pavsrv.exe, psanhost.exe, PSANHost.EXE, pselamsvc.EXE, PSUAMain.EXE, PSUAService.EXE, pangps.exe
Qualys
qualys-cloud-agent.exe, QualysAgent.exe
Rapid7
ir_agent.exe, rapid7_endpoint.exe
Red Canary
RedCanaryAgent.exe
Sangfor
CSAAgent.exe, CSAService.exe, SangforAgent.exe, SangforCSA.exe, SangforEDR.exe, SangforInterface.exe, SangforMonitor.exe, SangforProtect.exe, SangforService.exe, SangforTray.exe, SangforUD.exe
SentinelOne
Sentinel.exe, SentinelAgent.exe, SentinelAgentWorker.exe, SentinelCtl.exe, SentinelHelperService.exe, SentinelMemoryScanner.exe, SentinelPowerShellExtension.exe, SentinelRanger.exe, SentinelServiceHost.exe, SentinelStaticEngine.exe, SentinelStaticEngineScanner.exe, SentinelUI.exe
SonicWall
SonicWallClientProtectionService.exe, swc_service.exe
Sophos
hmpalert.exe, McsAgent.exe, McsClient.exe, SavApi.exe, SAVAdminService.exe, SAVService.exe, SEDService.exe, SophosADSyncService.exe, SophosClean.exe, SophosCleanM64.exe, SophosFIMService.exe, SophosFS.exe, SophosHealth.exe, SophosLiveQueryService.exe, SophosMTR.exe, SophosMTRExtension.exe, SophosNetFilter.exe, SophosNtpService.exe, SophosOsquery.exe, SophosOsqueryExtension.exe, Sophos.PolicyEvaluation.Service.exe, SophosSafestore64.exe, SophosUI.exe, SophosUpdateMgr.exe, sophosav.exe, sophossps.exe, SSPService.exe
Tanium
TaniumClient.exe, TaniumCX.exe, tanclient.exe
ThreatLocker
ThreatLockerConsent.exe, threatlockerservice.exe, threatlockertray.exe
TrendAI
coreFrameworkHost.exe, coreServiceShell.exe, NTRTScan.exe, ntrtscan.exe, Ntrtscan.exe, OfcService.exe, ofcDdaSvr.exe, PccNTMon.exe, PccNt.exe, TISafe.exe, TISafeSvc.exe, TmCCSF.exe, tmicAgentSetting.exe, TMBMSRV.exe, Tmbmsrv.exe, tm_netsrv.exe, TmListen.exe, tmntsrv.exe, TmPfw.exe, tmproxy.exe, TmProxy.exe, TmPreFilter.exe, TmSSClient.exe, TmsaInstance64.exe, TmWscSvc.exe, VOneAgentConsole.exe, VOneAgentConsoleTray.exe
Uptycs
VectorAgent.exe, UptycsAgent.exe
Varonis
DatAdvantage.exe, VaronisAgent.exe
WatchGuard
wlcsservice.exe
Webroot
WRSA.exe, WRSkyClient.exe, WRSVC.exe, wrsa.exe
Windows Sysinternals
Sysmon.exe, Sysmon64.exe
Zscaler
zlclient.exe
Variantes do GentleKiller
Cada variante do GentleKiller se passa por um produto diferente e explora um driver malicioso ou vulnerável específico. A Tabela 3 apresenta uma lista das oito variantes do GentleKiller que observamos até o momento.
O <suffix> faz referência ao padrão de nomenclatura explicado na Tabela 1. Os nomes dos drivers correspondem à forma como o GentleKiller os baixa para o disco.
Tabela 3. Lista de variantes do GentleKiller.
Variant name
Filenames
Abused driver
Kaspersky
Kasp<suffix>.exe
eb.sys, a rootkit (PoC)
FACEIT Anti-Cheat
FaceIT<suffix>.exe
nseckrnl.sys, NSecsoft NSecKrnl driver (PoC)
Valorant
Valorant<suffix>.exe
GameDriverX64.sys, an anti-cheat driver (PoC)
Javelin
EAAntiCheat<suffix>.exe
EASolo<suffix>.exestpm_(old|new).sys, two vulnerable ProcessMonitor Driver samples by Safetica (PoC)
WatchDog
BitD<suffix>.exe
dmx.sys, Zemana’s WatchDog Antimalware Driver (PoC)
Network Blocker
MB<suffix>.exe
360netmon_wfp.sys, a vulnerable driver by Qihoo 360 Technology (PoC)
Cleaner
Deletor.exe
IMFForceDelete, IObit’s IMF ForceDelete filter driver (PoC); the driver is dropped without the trailing .sys extension
G11
G11<suffix>.exe
Symantec<suffix>.exePoisonX, a rootkit (PoC)
EDR killers de terceiros
Além do GentleKiller, desenvolvido internamente, o Gentlemen incorporou múltiplas soluções de terceiros à sua suíte, resumidas na Tabela 4 e descritas nas seções seguintes.
O <suffix> faz referência ao padrão de nomenclatura explicado na Tabela 1. Os nomes dos drivers correspondem à forma como os EDR killers associados os baixam para o disco.
Tabela 4. Lista de programas de desativação de EDR de terceiros oferecidos pelo Gentlemen.
ESET name for the EDR killer
Filenames
Abused driver
HexKiller
Avast<suffix>.exe
googleApiUtil64.sys, Baidu Antivirus BdApi driver
ThrottleBlood
Sent<suffix>.exe
ThrottleBlood.sys, driver by TechPowerUp LLC
HavocKiller
HwAudKiller.exe
Sophos<suffix>.exehavoc.sys, Huawei Audio driver
HexKiller
O HexKiller é um EDR killer que anteriormente havíamos avaliado como exclusivo da banda Warlock. Portanto, sua aparição em intrusões do Gentlemen é inesperada e relevante.
Detectamos o HexKiller sendo implantado junto com binários do GentleKiller dentro do diretório GentlemenCollection. No entanto, sua presença em intrusões do Gentlemen não implica, por si só, uma colaboração direta ou uma sobreposição operacional entre as bandas Gentlemen e Warlock. É plausível que os operadores do Gentlemen tenham obtido o HexKiller por meios indiretos, como trocas privadas, canais secundários de distribuição ou vazamentos de amostras, sem a necessidade de interação direta com o Warlock. Portanto, não consideramos isso uma evidência de uma relação mais profunda entre os dois grupos.
ThrottleBlood
Esse EDR killer foi observado repetidamente em intrusões realizadas por afiliados do MedusaLocker e, com menor frequência, por afiliados do DragonForce. Além disso, foi associado ao Gentlemen pela Trend Micro em setembro de 2025.
Atualmente, não temos evidências suficientes para determinar de forma conclusiva a origem do ThrottleBlood. Em nossa telemetria, ele aparece implantado de maneira significativa em múltiplas intrusões do MedusaLocker e, ocasionalmente, em atividades relacionadas ao DragonForce. Esses incidentes apresentam pouca sobreposição operacional além do uso do próprio ThrottleBlood. Uma possível explicação é que o ThrottleBlood seja distribuído comercialmente em mercados clandestinos ou, alternativamente, que seja uma ferramenta desenvolvida pelos operadores do MedusaLocker e compartilhada com seus afiliados, alguns dos quais também poderiam ter vínculos com o DragonForce.
No entanto, nenhuma dessas hipóteses explica completamente como uma amostra do ThrottleBlood chegou às mãos do Gentlemen. Dessa forma, não podemos descartar a possibilidade de que o grupo tenha adquirido a ferramenta por meio de um vazamento fora de seu contexto original. O que podemos afirmar com alto grau de certeza é que o Gentlemen não desenvolveu esse EDR killer internamente.
HavocKiller
O HavocKiller é a mais recente adição ao arsenal de EDR killers do Gentlemen. Embora a ferramenta tenha sido divulgada publicamente pela Huntress em 19 de março de 2026, a telemetria da ESET confirma seu uso em intrusões reais pelo menos desde 23 de janeiro de 2026, indicando que ela já estava operacional por semanas antes de seu relatório público. Também podemos confirmar a avaliação da Huntress sobre seu propósito: em todos os casos observados pela ESET, a implantação do HavocKiller fazia parte de atividades relacionadas a ransomware.
Com base em suas características técnicas, avaliamos que o HavocKiller não foi desenvolvido pelos operadores do Gentlemen, mas obtido por meios externos. Embora as amostras tenham sido implantadas dentro do diretório GentlemenCollection e tenham recebido as técnicas padrão de evasão de defesas do Gentlemen, a implementação subjacente difere significativamente do GentleKiller. Isso indica fortemente que o HavocKiller é um EDR killer de terceiros adaptado em nível operacional, mas cuja arquitetura não se encaixa no framework do Gentlemen.
OxideHarvest
Também detectamos diversas implantações de uma ferramenta que denominamos OxideHarvest, um credential stealer escrito em Rust. Como Rust não é a linguagem de programação normalmente utilizada pelo Gentlemen, não atribuímos essa ferramenta ao grupo. No entanto, conforme apontado pela Check Point, um afiliado do Gentlemen chamado quant mantém uma ferramenta denominada buildx641, cujo nome e funcionalidade nos remeteram imediatamente ao OxideHarvest. De fato, após uma investigação adicional, encontramos uma amostra do OxideHarvest denominada buildx641.exe carregada no VirusTotal; concluímos que buildx641 e OxideHarvest são a mesma ferramenta.
O OxideHarvest é distribuído empacotado com diferentes packers, frequentemente imitando softwares legítimos nas informações de versão e no ícone (de forma semelhante, embora não idêntica, ao que o Gentlemen faz com o GentleKiller). O payload protegido é um credential stealer simples e direto. Para funcionar, o OxideHarvest exige que o usuário especifique, como opções de linha de comando, a lista de hosts (-i), o nome de usuário (-u), a senha (-p), o número de threads (-t) e um arquivo de saída (-o). A ferramenta então utiliza as credenciais fornecidas para fazer login nos hosts especificados (indicados em um arquivo de texto delimitado por quebras de linha), utiliza multithreading e exfiltra as credenciais para o arquivo de saída indicado. A Figura 9 mostra o resultado do comando --help do OxideHarvest, e a Tabela 5 apresenta sua configuração, que determina quais credenciais são alvos.
Tabela 5. Configuração integrada do OxideHarvest.
{
"chronium_browsers": [
[
"Google Chrome",
"\\Google\\Chrome\\User Data",
true
],
[
"Google Chrome Beta",
"\\Google\\Chrome Beta\\User Data",
true
],
[
"ChromeBeta",
"\\Google\\Chrome SxS\\User Data",
true
],
[
"Chromium",
"\\Chromium\\User Data",
true
],
[
"Microsoft Edge",
"\\Microsoft\\Edge\\User Data",
true
],
[
"Torch",
"\\Torch\\User Data",
true
],
[
"Comodo",
"\\Comodo\\Dragon\\User Data",
true
],
[
"Nichrome",
"\\Nichrome\\User Data",
true
],
[
"Maxthon5",
"\\Maxthon5\\Users",
true
],
[
"Epic Privacy Browser",
"\\Epic Privacy Browser\\User Data",
true
],
[
"Vivaldi",
"\\Vivaldi\\User Data",
true
],
[
"QIP",
"\\QIP Surf\\User Data",
true
],
[
"Cent",
"\\CentBrowser\\User Data",
true
],
[
"Elements",
"\\Elements Browser\\User Data",
true
],
[
"TorBro",
"\\TorBro\\Profile",
true
],
[
"CryptoTab",
"\\CryptoTab Browser\\User Data",
true
],
[
"Brave",
"\\BraveSoftware\\Brave-Browser\\User Data",
true
],
[
"Opera",
"\\Opera Software\\Opera Stable\\",
false
],
[
"OperaGX",
"\\Opera Software\\Opera GX Stable\\",
false
],
[
"Opera Neon",
"\\Opera Software\\Opera Neon\\User Data",
false
]
],
"gecko_browsers": [
[
"Mozila Firefox",
"\\Mozilla\\Firefox\\Profiles\\",
false
],
[
"Slim",
"\\FlashPeak\\SlimBrowser\\Profiles\\",
false
],
[
"PaleMoon",
"\\Moonchild Productions\\Pale Moon\\Profiles\\",
false
],
[
"Waterfox",
"\\Waterfox\\Profiles\\",
false
],
[
"Cyberfox",
"\\8pecxstudios\\Cyberfox\\Profiles\\",
false
],
[
"BlackHawk",
"\\NETGATE Technologies\\BlackHawk\\Profiles\\",
false
],
[
"IceCat",
"\\Mozilla\\icecat\\Profiles\\",
false
],
[
"KMeleon",
"\\K-Meleon\\",
false
]
]
}
Conclusão
O Gentlemen demonstra uma abordagem interessante: EDR killers gerenciados pelos operadores e prontos para serem utilizados pelos afiliados. Enquanto a maioria das bandas de ransomware continua delegando o EDR killing aos afiliados, o Gentlemen optou por centralizar essa função, oferecendo aos afiliados uma suíte padronizada e pronta para uso de EDR killers. Essa decisão torna o Gentlemen um operador atrativo para os afiliados, pois reduz significativamente a barreira de entrada e, consequentemente, simplifica seu trabalho.
Esse modelo difere até mesmo das poucas exceções conhecidas dentro do ecossistema. No caso do RansomHub, os operadores investiram em um único EDR killer, o EDRKillShifter, desenvolvido completamente internamente. O Gentlemen, por outro lado, mantém um portfólio diversificado de EDR killers, combinando desenvolvimento próprio (GentleKiller) com ferramentas de terceiros ou divulgadas publicamente e rapidamente adaptadas (HexKiller, ThrottleBlood e HavocKiller). A aplicação consistente de técnicas de evasão de defesas nessas ferramentas também dificulta a atribuição direta quando as amostras são analisadas de forma isolada. Como as técnicas de EDR killing continuam sendo comoditizadas e circulando em comunidades clandestinas, esta publicação destaca a necessidade de realizar investigações e análises em nível de incidente. Sem esse contexto, é provável que os EDR killers do Gentlemen sejam atribuídos incorretamente ou nem sejam atribuídos, ocultando o verdadeiro alcance da participação desse operador.
Graças à nossa visibilidade contínua sobre intrusões do Gentlemen, conseguimos oferecer proteção contra os ataques do grupo meses antes que o vazamento recente confirmasse nossas hipóteses de alta confiança sobre sua suíte de EDR killers.
O framework GentleKiller ilustra um equilíbrio deliberado entre desenvolvimento interno e reutilização pragmática de pesquisas externas. Embora alguns componentes apresentem sinais de implementação apressada ou falta de uniformidade, o conjunto de ferramentas como um todo demonstra alta efetividade operacional e uma integração estreita ao fluxo de trabalho de ransomware do Gentlemen. A capacidade do grupo de adaptar PoCs de BYOVD recém-publicadas em questão de dias reforça ainda mais sua agilidade.
Do ponto de vista defensivo, compreender o funcionamento do GentleKiller permite que os defensores desenvolvam melhores estratégias de proteção e se preparem até mesmo para futuras incorporações ainda não desenvolvidas ao arsenal de EDR killing do Gentlemen.
Para qualquer dúvida sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco pelo e-mail threatintel@eset.com.
Indicadores de Comprometimento
Arquivos
| SHA-1 | Filename | Detection | Description |
| 8AE6BD18B129061F6364 |
Kasps.exe | Win64/KillAV.EA | GentleKiller (Kaspersky variant). |
| BA914FE77B177B457994 |
eb.sys | Win64/Agent.ITG | A custom rootkit used by the Kaspersky variant of GentleKiller. |
| D605994FC72A2BB59B5C |
FaceIT1.exe | Win64/KillAV.EA | GentleKiller (FACEIT Anti-Cheat variant, Enigma-protected). |
| B0B912A3FD1C05D72080 |
nseckrnl.sys | Win64/VulnDriver |
NSecsoft NSecKrnl driver abused by the FACEIT Anti-Cheat variant of GentleKiller. |
| 5AA3124E5C4921E5EDFC |
Valorant2.exe | Win64/KillAV.EA | GentleKiller (Valorant variant, Themida-protected). |
| 7556AE58C215B8245A43 |
vgk.sys | Win64/VulnDriver |
Tower of Fantasy AntiCheat driver abused by the Valorant variant of GentleKiller. |
| 331879F5EEC8892BBD89 |
EASolo2Light.exe | Win64/KillAV.EA | GentleKiller (Javelin variant abusing Safetica’s newer driver). |
| F11AEBCCB9A86A7E2E65 |
EASOLO1clear.exe | Win64/KillAV.EA | GentleKiller (Javelin variant abusing Safetica’s older driver). |
| EF9CD06683159397F099 |
EAAntiCheatLight |
Win64/KillAV.EA | GentleKiller (Javelin variant abusing both drivers). |
| 711EF221526997039E80 |
stpm_old.sys | Win64/VulnDrive |
Safetica’s Process Monitor Driver (older) abused by the Javelin variant of GentleKiller. |
| 68FEC379F2AE76C3D2CE |
stpm_new.sys | Win64/VulnDrive |
Safetica’s Process Monitor Driver (newer) abused by the Javelin variant of GentleKiller. |
| A11EE9CDC59E5CAA59AE |
BitD1.exe | Win64/KillAV.EA | GentleKiller (WatchDog variant, Themida-protected). |
| 96F0DBF52AED0AFD43E4 |
dmx.sys | Win64/VulnDrive |
Zemana’s WatchDog Antimalware Driver abused by the WatchDog variant of GentleKiller. |
| 2F86898528C6CAB3540C |
MB2.exe | Win64/KillAV.EA | GentleKiller (Network Blocker variant, Themida-protected). |
| 9AD51AD97C01E97AB592 |
360netmon_wfp.sys | Win64/VulnDrive |
360netmon.sys driver abused by the Network Blocker variant of GentleKiller. |
| A19117175DBC9BA4D23B |
Deletor.exe | Win64/KillAV.EA | GentleKiller (Cleaner variant). |
| 12500F6C87CE62712A0E |
IMFForceDelete | Win64/VulnDrive |
IMF ForceDelete filter driver abused by the Cleaner variant of GentleKiller. |
| D29670E684E40DDC89B4 |
Symantec.exe | Win64/KillAV.EA | GentleKiller (G11 variant). |
| 56BEE9DF5833A637F5C5 |
G11.sys | Win64/Agent.IYQ | PoisonX rootkit used by the G11 variant of GentleKiller. |
| CF4D74DF17A91B4A36A2 |
Avast.exe | Win32/KillAV.NVL | HexKiller incorporated into Gentlemen modus operandi by adding the evasion layer. |
| EC296F9501AD71E43081 |
googleApiUtil64 |
Win64/VulnDrive |
Baidu Antivirus BdApi driver abused by HexKiller. |
| 7131B377E96016DC1911 |
Sent.exe | Win64/KillAV.AT | ThrottleBlood incorporated into Gentlemen modus operandi by adding the evasion layer. |
| 82ED942A52CDCF120A89 |
ThrottleBlood.sys | Win64/VulnDrive |
ThrottleStop.sys driver abused by ThrottleBlood. |
| F0537CBB773AE12100B3 |
Sophos.exe | Win64/KillAV.DE | HavocKiller incorporated into Gentlemen modus operandi by adding the evasion layer. |
| 1FA071303FB846308571 |
havoc.sys | Win64/VulnDrive |
Vulnerable driver abused by HavocKiller. |
| A5CF917EC4A7DFBDFA43 |
buildx641.exe | Win64/Spy.Agent.AGC | OxideHarvest. |
| D4B19141102015D43632 |
buildx64.exe | Win64/Spy.Agent.AGC | OxideHarvest. |
Técnicas do MITRE ATT&CK
Esta tabela foi elaborada utilizando a versão 19 do framework MITRE ATT&CK.
| Tactic | ID | Name | Description |
| Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell | GentleKiller and related tools are console-based executables that run visibly and emit debug strings during execution. |
| T1106 | Native API | User-mode components interact directly with kernel drivers via DeviceIoControl and other native Windows APIs to perform privileged actions. | |
| Persistence | T1543.003 | Create or Modify System Process: Windows Service | The EDR killers install and start vulnerable or malicious drivers as services prior to exploitation. |
| Stealth | T1036 | Masquerading | Gentlemen’s EDR killers are protected by impersonating legitimate vendors through filenames, version information, icons, and copied digital certificates. |
| T1036.001 | Masquerading: Invalid Code Signature | The protection applied to Gentlemen’s EDR killers adds an invalid code signature as part of the impersonation strategy. | |
| T1027 | Obfuscated Files or Information | Some executables are protected with packers (e.g., Enigma, Themida) and custom control-flow obfuscation. | |
| Defense Impairment | T1685 | Disable or Modify Tools | GentleKiller and other EDR killers that Gentlemen is in possession of aim to bypass security products such as EDRs. |




