DeafNews
// 2 ZERO-DAY · 3 CVE · 3 EXPLOIT NELLE ULTIME 24H
Ransomware

GentleKiller: il framework EDR-killer integrato nel RaaS Gentlemen

Published: Updated: By DeafSuite team 8 min read Ransomware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
The Gentlemen fornisce agli affiliati GentleKiller, framework BYOVD con 8+ varianti che neutralizza 400+ processi di 48 vendor di sicurezza. La modularità accelera

Il gruppo ransomware-as-a-service The Gentlemen ha integrato nella propria offerta commerciale un framework EDR-killer sviluppato internamente, denominato GentleKiller. Lo documenta un'analisi tecnica pubblicata il 18 giugno 2026 dai ricercatori ESET, basata su visibilità diretta da incidenti e su leak interni confermati. La novità non è la tecnica BYOVD in sé, ma la sua industrializzazione: otto varianti del tool, aggiornamento rapido dei driver, e distribuzione diretta agli affiliati come componente standard del servizio.

Punti chiave
  • GentleKiller è un framework in-house con almeno otto varianti che sfrutta driver vulnerabili per ottenere privilegi kernel-level, fornito direttamente agli affiliati del RaaS.
  • Il framework targetta oltre 400 processi associati a circa 48 prodotti e vendor di sicurezza, tra cui Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix e Kaspersky.
  • I ricercatori ESET hanno osservato una capacità di "operationalizzazione" insolitamente rapida dei nuovi proof-of-concept BYOVD, spesso entro giorni dalla pubblicazione.
  • Un leak interno di maggio 2026 ha confermato che l'amministratore conosciuto come zeta88 (alias Hastalamuerte) gestisce personalmente i pacchetti EDR-killer.

Architettura modulare: il BYOVD come pipeline

Le varianti GentleKiller condividono stringhe comuni, tecniche identiche di offuscamento e una logica di terminazione processi standardizzata, secondo l'analisi ESET. La struttura è progettata per permettere sostituzioni di driver o la weaponizzazione di nuove vulnerabilità senza modifiche sostanziali al codice. Questo design modulare trasforma il BYOVD da exploit occasionale in pipeline continua: ogni nuovo driver vulnerabile diventa rapidamente un componente sostituibile.

I ricercatori hanno rilevato questa velocità di adattamento in modo ricorrente. "Gentlemen also demonstrates an ability to unusually quickly operationalize newly disclosed Bring Your Own Vulnerable Driver (BYOVD) proofs-of-concept, often within days of public release", scrive ESET. La conseguenza è una race condition permanente: i difensori devono bloccare driver noti, ma il framework aggira il blocco prima che le regole di rilevamento vengano distribuite.

Bersaglio: oltre 400 processi di 48 vendor

La portata del targeting è quantificata con precisione: oltre 400 processi di circa 48 vendor o prodotti di sicurezza. L'elenco include i principali attori del mercato enterprise, da CrowdStrike a SentinelOne, da Palo Alto a ESET stesso. La copertura così ampia suggerisce una raccolta sistematica di intelligence sui prodotti avversari, non una selezione casuale.

I binari sono protetti con packer commerciali Enigma e Themida, e mascherati con firme digitali rubate da software legittimo — sebbene invalide. L'impersonazione si estende anche ai metadati: version info false che imitano vendor legittimi. L'obiettivo è ritardare il rilevamento statico e aumentare la probabilità di esecuzione in ambienti con restrizioni superficiali.

La suite completa: toolkit interni ed esterni

L'offerta EDR-killer di Gentlemen non si limita a GentleKiller. La suite include tool di terze parti operativamente integrati: HexKiller (precedentemente noto come Warlock), ThrottleBlood (associato a MesudaLocker/DragonForce) e HavocKiller. I ricercatori ESET valutano "with high confidence" che solo GentleKiller sia sviluppato internamente; gli altri componenti provengono da fonti esterne, sebbene il meccanismo esatto di acquisizione non sia documentato.

A questo arsenale si aggiunge OxideHarvest, un credential stealer scritto in Rust probabilmente sviluppato esternamente. Il dossier non chiarisce se OxideHarvest sia distribuito come parte del pacchetto standard o riservato a operazioni specifiche.

"Gentlemen operators actively develop and maintain a portfolio of EDR killers that they offer to affiliates, centered around their in-house framework we have named GentleKiller" — ESET

Victimology: selezione per FortiGate, non per geografia

Un elemento distintivo nella strategia di The Gentlemen è il criterio di selezione delle vittime. Le intrusioni non seguono una logica geografica — la victimology è distribuita tra Sudest Asiatico, Sud America ed Europa Occidentale — ma si concentrano su configurazioni FortiGate. I ricercatori hanno rilevato questa correlazione in modo consistente, sebbene non affermino che il gruppo sia responsabile del leak FortiBleed (circa 74.000 credenziali FortiGate emerse in quel periodo).

Il dato assume rilevanza operativa: le organizzazioni con appliance FortiGate esposte, specialmente in configurazioni VPN non adeguatamente blindate, costituiscono un profilo di rischio elevato indipendentemente dalla localizzazione geografica.

Il modello commerciale: 90% agli affiliati

The Gentlemen opera come RaaS dal tardo 2025, con intensificazione nel primo trimestre 2026. Il modello di revenue share è aggressivo: il 90% del riscatto agli affiliati, contro lo standard settoriale 80/20. Secondo i dati Check Point riportati da KrebsOnSecurity, il gruppo ha pubblicato 332 vittime dall'inizio dell'attività, di cui oltre 240 solo nel 2026. A questa cifra si aggiunge la botnet SystemBC collegata al gruppo, con oltre 1.570 host aziendali identificati.

Il leak di maggio 2026 ha fornito una conferma diretta della gestione centralizzata dei tool. "In the leaks, zeta88 (another alias used by hastalamuerte), the leader of the gang, openly talks about maintaining and providing EDR-killer packages", riporta ESET. L'identità reale dell'operatore non è confermata da fonti giudiziarie; l'attribuzione si fonda su analisi OSINT.

RansomHub e il confronto tra modelli

ESET colloca Gentlemen in un trend più ampio: la transizione dal modello RaaS tradizionale, in cui l'affiliato procura autonomamente strumenti di disabilitazione difese, a quello "full service" con EDR-killer preintegrato. Un parallelo documentato è RansomHub con EDRKillShifter, ma Gentlemen differisce per la maturità del framework interno e per la velocità di weaponizzazione dei nuovi driver. Dove altri gruppi adottano tool generici, Gentlemen ha costruito una pipeline proprietaria.

Cosa fare adesso

  • Verificare la presenza di driver vulnerabili non aggiornati nei sistemi endpoint, con particolare attenzione a quelli firmati ma revocati o non più mantenuti dal vendor.
  • Rivedere le configurazioni di esposizione delle appliance FortiGate, specialmente per accesso VPN e interfaccia di gestione, considerando il criterio di selezione documentato.
  • Integrare nel monitoraggio l'analisi comportamentale di processi che caricano driver sconosciuti o non presenti nella baseline dell'organizzazione, indipendentemente dalla reputazione della firma digitale.
  • Valutare la resilienza delle difese EDR in scenario di blind test dove tool BYOVD noti vengono eseguiti in ambiente controllato, per verificare l'efficacia dei meccanismi anti-manomissione.

Perché questo cambia il perimetro

La neutralizzazione degli EDR non è più un'abilità avanzata riservata a pochi attori. La distribuzione sistematica di framework come GentleKiller la trasforma in capacità standard del mercato ransomware di massa. Per i team difensivi, la conseguenza è un ribaltamento delle priorità: la presenza di un agente EDR non garantisce più automaticamente visibilità durante l'intrusione, e la difesa basata esclusivamente sul blocco di driver noti è strutturalmente in ritardo rispetto alla pipeline di weaponizzazione di Gentlemen.

Il leak di maggio 2026 ha reso visibile ciò che i dati sugli incidenti già suggerivano: dietro la velocità di esecuzione c'è un'organizzazione che tratta l'evasione delle difese come prodotto, con roadmap e aggiornamenti. La distanza tra disclosure di un driver vulnerabile e suo utilizzo operativo si è ridotta a giorni. Per le organizzazioni, questo significa che la finestra di remediation si misura ormai in ore, non in cicli di patch ordinari.

Altri contenuti collegati

  • Mackay Sugar: ransomware blocca zuccherifici, 1300 aziende ferme
  • DragonForce weaponizza i relay TURN di Microsoft Teams per C2 stealth
  • The Gentlemen: LLM riducono sviluppo ransomware a 3 giorni

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. bleepingcomputer.com
  2. welivesecurity.com
  3. krebsonsecurity.com
  4. eset.com