Investigadores de ESET analizaron el robusto conjunto de herramientas EDR killer de la banda de ransomware como servicio (RaaS) Gentlemen. Desde comienzos de 2026, Gentlemen se ha consolidado como una de las bandas más activas dentro del ecosistema del ransomware. El grupo se distingue por contar con un conjunto maduro de herramientas EDR killer mantenido por sus operadores, es decir, herramientas diseñadas para interrumpir el funcionamiento del software de seguridad. Además, a diferencia de la mayoría de las bandas de primer nivel, Gentlemen no presenta una victimología centrada en Estados Unidos, sino que apunta a víctimas en el sudeste asiático, Sudamérica y Europa occidental.

Si bien en los últimos meses se han publicado múltiples informes sobre Gentlemen, estos no se han centrado en un análisis detallado de sus herramientas EDR killer. Gracias a la visibilidad continua de ESET a nivel de incidentes, podemos ofrecer una visión excepcionalmente profunda de las prácticas de desarrollo de estos EDR killer. La filtración de datos interna que sufrió Gentlemen en mayo de 2026 nos permitió obtener aún más información sobre el funcionamiento interno del grupo.

La filtración también nos permitió confirmar nuestra hipótesis de febrero de 2026 de que los operadores de Gentlemen desarrollan y mantienen activamente un portafolio de herramientas EDR killer que ofrecen a sus afiliados, centrado en su framework interno al que denominamos GentleKiller. Asimismo, incorporan herramientas de terceros o filtradas, como HexKiller, ThrottleBlood y HavocKiller. Estas herramientas se estandarizan mediante una capa compartida de evasión de defensas, que impersona principalmente a proveedores de seguridad utilizando información de versión falsa, así como certificados e íconos legítimos copiados. Gentlemen también demuestra una capacidad inusualmente rápida para operacionalizar pruebas de concepto (proofs-of-concept, PoC) de la técnica Bring Your Own Vulnerable Driver (BYOVD) recién divulgadas, a menudo en cuestión de días desde su publicación.

En esta entrada de blog compartimos nuestros hallazgos sobre la suite de herramientas EDR killer de Gentlemen, obtenidos a través de una investigación exhaustiva y corroborados con la reciente filtración. Buscamos aportar conocimiento accionable al vincular los paquetes de EDR killer con muestras reales y relacionar los datos filtrados con tácticas, técnicas y procedimientos (TTPs). Nuestros hallazgos posicionan a Gentlemen como una de las bandas RaaS más ágiles desde el punto de vista técnico en 2026.

Puntos clave de la entrada del blog:
  • Los operadores de Gentlemen desarrollan y mantienen una suite de EDR killer que se proporciona directamente a los afiliados.
  • GentleKiller es un framework interno con al menos ocho variantes que abusan de distintos drivers vulnerables o maliciosos.
  • Los operadores de Gentlemen aplican una estrategia de evasión unificada en todas sus herramientas, que estandariza mecanismos de suplantación y protección.
  • Los EDR killer de terceros (HexKiller, ThrottleBlood y HavocKiller) se integran operativamente.
  • Gentlemen puede adaptar rápidamente nuevas pruebas de concepto (PoC) de EDR killer tras su publicación.
  • La victimología de la banda es global y notablemente no está centrada en EE. UU.
  • «Gentlemen» también utiliza OxideHarvest, un ladrón de credenciales mantenido por uno de los afiliados del grupo.

A lo largo de esta publicación, nos referimos a los operadores y afiliados de RaaS.

Los operadores son responsables de desarrollar el payload del ransomware, gestionar las claves de descifrado, mantener el sitio de filtraciones, negociar a menudo el pago del rescate con las víctimas y ofrecer herramientas y servicios adicionales mediante una tarifa mensual o un porcentaje del rescate (normalmente entre el 5 % y el 20 %).

Los afiliados contratan los servicios de ransomware a los operadores, despliegan los cifradores en las redes de las víctimas y también se encargan de la exfiltración de datos.

Perfil de los «Gentlemen»

Gentlemen surgió a finales de 2025 como una operación de ransomware como servicio (RaaS) y rápidamente se consolidó como una de las bandas de ransomware más activas observadas en el primer trimestre de 2026. La banda ofrece una participación del 90 % a los afiliados. Group-IB reveló que Gentlemen fue fundada por hastalamuerte, un exafiliado de Qilin descontento. PRODAFT publicó en X (antes Twitter) el 17 de octubre de 2025 que los operadores de Gentlemen habían sido previamente afiliados de Qilin, Embargo, LockBit, Medusa y BlackLock. El 10 de junio de 2026, Brian Krebs compartió evidencia sobre la verdadera identidad de hastalamuerte.

Gentlemen emplea doble extorsión: además de cifrar los datos de la víctima, el grupo también amenaza con filtrarlos si no se paga el rescate. Para el cifrado, los operadores ofrecen una variante escrita en Go dirigida a Windows, Linux y otras plataformas, así como una variante para ESXi escrita en C.

Uno de los aspectos que distingue a Gentlemen es su disposición a ofrecer más que solo cifradores a sus afiliados; en particular, la banda también proporciona EDR killers. Investigaciones recientes de ESET han demostrado que, en la mayoría de las intrusiones de ransomware, la responsabilidad de encontrar un EDR killer confiable suele recaer en los afiliados individuales, y no en los operadores de RaaS. Solo se han documentado un pequeño número de excepciones a este modelo. Un caso notable es RansomHub, que invirtió en desarrollar su propio EDR killer desde cero, EDRKillShifter, y luego lo ofreció a los afiliados a través del panel de afiliados.

Gentlemen representa un enfoque diferente, y hasta ahora poco documentado. En lugar de depender de que los afiliados obtengan sus propios EDR killers, los operadores de Gentlemen desarrollan y mantienen activamente un portafolio de EDR killers para sus afiliados. Este portafolio combina una herramienta desarrollada internamente —a la que denominamos GentleKiller— junto con herramientas externas o filtradas, estandarizadas mediante una capa compartida de evasión y desplegadas de manera consistente.

Investigadores de ESET plantearon la hipótesis de que GentleKiller era una herramienta interna ya en febrero de 2026, lo que posteriormente fue respaldado por informes de  Group-IB y Check Point, ambos señalando que la banda proporciona capacidades de EDR killing a sus afiliados (verificados). La reciente filtración de datos internos del grupo proporcionó la evidencia definitiva: en los datos filtrados, zeta88 (otro alias utilizado por hastalamuerte), líder de la banda, menciona abiertamente el mantenimiento y provisión de paquetes de EDR killer.

Además de confirmar nuestra hipótesis sobre GentleKiller, los datos filtrados también nos permitieron vincular un credential stealer al que denominamos OxideHarvest con Gentlemen, específicamente con uno de sus afiliados.

Víctimas

Si bien la victimología de las grandes operaciones RaaS suele estar más influenciada por las decisiones de los afiliados que por una estrategia impulsada por los operadores, existe un patrón particular que tiende a repetirse. La mayoría de las principales bandas de ransomware muestran un enfoque fuerte y persistente en Estados Unidos, que con frecuencia representa aproximadamente la mitad de todas las víctimas anunciadas. Este sesgo centrado en EE. UU. es evidente en varios grupos prominentes, incluidos Qilin, DragonForce y Akira, y se ha convertido efectivamente en la norma entre las operaciones de ransomware de primer nivel.

Gentlemen destaca como una excepción notable a esta tendencia. A pesar de ubicarse entre las cinco bandas de ransomware más activas en el primer trimestre de 2026, su victimología no presenta un enfoque comparable en EE. UU. En su lugar, los afiliados de Gentlemen apuntan de manera consistente a víctimas en una amplia y geográficamente diversa variedad de países, con un número significativo de víctimas en regiones como el sudeste asiático, Sudamérica y Europa occidental. De hecho, los objetivos de la banda incluyen algunos países relativamente poco habituales, como Tailandia, Brasil y Francia.

Los datos filtrados recientemente aportan evidencia de que, en lo que respecta a la selección de víctimas, Gentlemen utiliza un enfoque centralizado que consiste en clasificar candidatos viables y luego asignarlos a los afiliados. Las víctimas se seleccionan principalmente en función de la (mala) configuración de FortiGate, más que de su ubicación geográfica.

EDR Killers

En febrero de 2026 observamos un EDR killer previamente no documentado desplegado por un afiliado de Gentlemen y preparado en un directorio denominado «GentlemenCollection». A esta herramienta la denominamos GentleKiller. En ese momento, planteamos la hipótesis de que no se trataba de un artefacto específico de un afiliado, sino de una herramienta proporcionada a los afiliados por los operadores de Gentlemen. Desde entonces, hemos observado el mismo patrón de despliegue (la descarga de GentleKiller y otros EDR killers en el directorio GentlemenCollection) en múltiples intrusiones no relacionadas que investigamos, que involucraban de forma consistente a afiliados de Gentlemen. En paralelo, dos informes publicados de manera independiente por  Group-IB y Check Point evaluaron que los operadores de Gentlemen ofrecen explícitamente capacidades para desactivar EDR como parte de su programa RaaS.

En conjunto, estas observaciones nos permitieron concluir que GentleKiller es un componente de una suite de EDR killers mantenida por los operadores de Gentlemen. Esto fue posteriormente confirmado en los datos filtrados del grupo.

Además de GentleKiller, la suite también incluye HexKiller, HavocKiller y ThrottleBlood; todos nombres asignados por ESET a EDR killers utilizados también por afiliados de bandas rivales y obtenidos por Gentlemen por medios desconocidos. También observamos DemoKiller en varias intrusiones, pero este EDR killer no mostró vínculos con Gentlemen, por lo que lo excluimos de la suite de la banda y lo consideramos específico de afiliados. La siguiente parte de la publicación aborda estas herramientas con mayor nivel de detalle y las sitúa dentro del ecosistema más amplio de EDR killers. Si bien estas herramientas están integradas operativamente en las intrusiones de Gentlemen, evaluamos con un alto grado de confianza que únicamente GentleKiller es desarrollado internamente por los operadores de Gentlemen, mientras que los demás EDR killers probablemente fueron obtenidos externamente y posteriormente modificados y estandarizados para ajustarse al conjunto de herramientas del grupo. Nuestra evaluación se basa en:

  • la aparición de GentleKiller principalmente en intrusiones relacionadas con Gentlemen, a menudo desplegado en el directorio «GentlemenCollection»;
  • el desarrollo continuo con acceso evidente al código fuente, lo que permite crear nuevas variantes y dar soporte a PoCs recientemente publicados;
  • informes de terceros que mencionan que Gentlemen ofrece capacidades de EDR killing a afiliados de confianza.

Estrategia de evasión de la defensa

Los operadores de Gentlemen aplican un conjunto específico de técnicas de evasión de defensas a los distintos EDR killers de la banda. Estas técnicas se aplican sobre muestras compiladas y no sobre el código fuente. Esto le permite a Gentlemen proteger incluso aquellos EDR killers cuyo código fuente no posee.

Todos los «EDR killers» que forman parte del repertorio de Gentlemen siguen estos patrones de evasión de defensas, lo que apunta a una estrategia estandarizada, a saber:

  • Se aplica protección binaria avanzada (Enigma o Themida) a una proporción significativa de las muestras detectadas. El sufijo del nombre del archivo suele identificar el método utilizado (Enigma, Themida o ninguno).
  • Los nombres de archivo se eligen para parecerse estrechamente a los de proveedores de software conocidos, en particular empresas del ámbito de la ciberseguridad.
  • Los ejecutables suplantan a los proveedores mediante los siguientes atributos, todos correspondientes al mismo proveedor o producto:

información de versión falsificada,

firmas digitales no válidas copiadas de archivos ejecutables legítimos, y

iconos que coinciden con los de los proveedores suplantados.

Aunque un número reducido de muestras se desvía de este enfoque —probablemente debido a prácticas de desarrollo inconsistentes—, la gran mayoría de los EDR killers observados se ajusta a este patrón. En la Tabla 1 mostramos cómo funcionan los sufijos. Más adelante en la publicación explicamos cómo se añaden estos sufijos a los nombres de archivo.

Tabla 1. Patrón de nomenclatura de los «EDR killers» mantenidos por Gentlemen

Suffix Protection Fake signature Fake version information
1 Enigma Yes Yes
2 Themida Yes Yes
Light None Yes Yes
Clear None No No

GentleKiller

GentleKiller es, con diferencia, el EDR killer más prevalente observado en el ecosistema de Gentlemen. Al momento de redacción, tenemos conocimiento de al menos ocho variantes distintas, cada una suplantando un producto legítimo diferente y abusando de un driver vulnerable o malicioso distinto. A pesar de estas diferencias a nivel superficial, clasificamos todas estas muestras bajo el paraguas de GentleKiller debido al alto grado de características internas compartidas.

Al abstraer la capa de suplantación y los drivers específicos utilizados, el código subyacente revela numerosas similitudes estructurales y de comportamiento que sugieren fuertemente el uso de una plantilla de desarrollo compartida. Esta plantilla se reutiliza entre variantes con modificaciones mínimas. Las características definitorias de esta plantilla incluyen:

  • cadenas de texto consistentes entre variantes,
  • la finalización periódica de procesos en un bucle,
  • targeting de un amplio conjunto de soluciones de seguridad, y
  • el uso de técnicas de ofuscación de código idéntica.

En la figura 1 se muestra un ejemplo de la salida de GentleKiller, y en la figura 2 se presenta un fragmento de código que ilustra la ofuscación del código.

Figure 1. Output window spawned by GentleKiller
Figura 1. Ventana de salida generada por GentleKiller
Figure 2. Code obfuscation implemented by GentleKiller
Figura 2. Ofuscación de código implementada por GentleKiller

Este diseño prioriza la facilidad de despliegue y la flexibilidad operativa para los afiliados, al tiempo que minimiza el esfuerzo de desarrollo para los operadores. Permite a los operadores de Gentlemen integrar drivers abusados en su conjunto de herramientas poco tiempo después de que se publique un PoC de EDR killer. Este fue el caso con UnknownKiller y PoisonKiller, que fueron adoptados en cuestión de días.

Si bien algunas builds no apuntan a todos los procesos conocidos por GentleKiller, el conjunto general —presentado en la Tabla 2— se mantiene consistente. Utilizamos IA para mapear los nombres de los procesos a sus proveedores correspondientes, y reconocemos que pueden existir pequeñas inconsistencias. En términos generales, GentleKiller apunta a más de 400 procesos que la IA asoció con 48 productos.

Tabla 2. Lista completa de los nombres de procesos a los que se dirige GentleKiller, asignados a sus respectivos proveedores

Vendor Targeted processes
Acronis acronis_agent.exe, BackupAndRecoveryAgent.exe, managementagenthost.exe, mms.exe
AlienVault alienvault-agent.exe, osqueryd.exe
Avast afwServ.exe, aswEngSrv.exe, aswidsagent.exe, aswToolsSvc.exe, AvastSvc.exe, AvastUI.exe, avastsvc.exe, avastui.exe, bccavsvc.exe, wsc_proxy.exe
AVG AVGUI.exe, AVGSvc.exe, avgnt.exe, avgsvca.exe, avgToolsSvc.exe
Binary Defense BinaryDefenseAgent.exe
Bitdefender Arrakis3.exe, BDAvScanner.exe, BDFsTray.exe, BDFileServer.exe, BDLived2.exe, BDLogger.exe, BDScheduler.exe, BDStatistics.exe, bdagent.exe, bdemsrv.exe, bdntwrk.exe, bdredline.exe, bdregsvr2.exe, bdservicehost.exe
Blumira BlumiraAgent.exe
Bromium BromiumDaemon.exe, BrDifxapi.exe
Carbon Black cb.exe, cbcomms.exe, cbdefense.exe, carbonsensor.exe, RepMgr.exe
Cisco Talos cfrutil.exe, CiscoAMPCEFWDriver.exe, cisco_amp_connector.exe, immunet.exe
CrowdStrike ARWSRVC.EXE, ARCUpdate.exe, CSFalconContainer.exe, CSFalconService.exe, CSFalconUI.exe, csfalcondataprotect.exe, csfalcondaterepair.exe, REPRSVC.EXE
Cynet CynetEPS.exe, CynetMS.exe, CynetSvc.exe
Cybereason ActiveConsole.exe, cybereason.exe, CybereasonActiveProbe.exe, CybereasonCR.exe
Cyvera CyveraConsole.exe, CyveraService.exe, CyvrAgentSvc.exe, CyvrFsFlt.exe, cyvrfsflt.exe
Cylance/BlackBerry CylanceSvc.exe
Darktrace DarktraceTSA.exe
Deep Instinct DeepInstinct.exe, DeepInstinctService.exe, DIAgentService.exe
Elastic a2guard.exe, a2service.exe
ESET eamonm.exe, eamsi.exe, ecls.exe, efwd.exe, egui.exe, eguiProxy.exe, ekrn.exe, ekrnEpfw.exe, ERAAgent.exe, EraAgentSvc.exe
Fortinet firesvc.exe, firetray.exe, FortiTray.exe, fortiedr.exe, fw.exe
G DATA GDDServer.exe, QHPISVR.EXE, QUHLPSVC.EXE, SAPISSVC.EXE
Heimdal HeimdalsecurityAgent.exe
Huntress HuntressAgent.exe, HuntressRMM.exe
Kaspersky avp.exe, avpsus.exe, avpui.exe, kavfs.exe, kavfsscs.exe, kavfswh.exe, kavfswp.exe, kavtray.exe, klactprx.exe, klcsldcl.exe, klcsweb.exe, klnagent.exe, klnagchk.exe, klscctl.exe, klserver.exe, klwtblfs.exe, kpf4ss.exe, ksde.exe, ksdeui.exe, vapm.exe
LogRhythm LogProcessorService.exe
McAfee/Trellix AGMService.exe, AGSService.exe, masvc.exe, macmnsvc.exe, McAfeeAgent.exe, mcshield.exe, mfeann.exe, mfevtps.exe, mfetp.exe, mfeepehost.exe, mfefire.exe, mfemactl.exe, mfemacsvc.exe, mfemgr.exe, mfemms.exe, MgntSvc.exe, ModuleCoreService.exe, tepfsvc.exe
Microsoft Defender MSASCui.exe, MSASCuiL.exe, MpDefenderCoreService.exe, MsMpEng.exe, MsMpSvc.exe, MsSense.exe, msascuil.exe, msseces.exe, NisSrv.exe, nissrv.exe, SecurityHealthService.exe, SecurityHealthSystray.exe, SenseCncProxy.exe, SenseIR.exe, SenseNdr.exe, SenseSampleUploader.exe, smartscreen.exe, windefend.exe
Morphisec MorphisecService.exe
Norton/Symantec ccApp.exe, ccSvcHst.exe, ccsvchst.exe, ns.exe, nsservice.exe, nortonsecurity.exe, rtvscan.exe, SepMasterService.exe, sepWscSvc64.exe, smc.exe, SmcGui.exe, snac.exe, SymCorpUI.exe, SymWSC.exe
OSSEC/Wazuh ossec-agent.exe, wazuh-agent.exe
Palo Alto Networks (Traps/Cortex) cortexService.exe, trapsagent.exe, trapsd.exe, Traps.exe
Panda Security panda_url_filtering.exe, pavfnsvr.exe, pavsrv.exe, psanhost.exe, PSANHost.EXE, pselamsvc.EXE, PSUAMain.EXE, PSUAService.EXE, pangps.exe
Qualys qualys-cloud-agent.exe, QualysAgent.exe
Rapid7 ir_agent.exe, rapid7_endpoint.exe
Red Canary RedCanaryAgent.exe
Sangfor CSAAgent.exe, CSAService.exe, SangforAgent.exe, SangforCSA.exe, SangforEDR.exe, SangforInterface.exe, SangforMonitor.exe, SangforProtect.exe, SangforService.exe, SangforTray.exe, SangforUD.exe
SentinelOne Sentinel.exe, SentinelAgent.exe, SentinelAgentWorker.exe, SentinelCtl.exe, SentinelHelperService.exe, SentinelMemoryScanner.exe, SentinelPowerShellExtension.exe, SentinelRanger.exe, SentinelServiceHost.exe, SentinelStaticEngine.exe, SentinelStaticEngineScanner.exe, SentinelUI.exe
SonicWall SonicWallClientProtectionService.exe, swc_service.exe
Sophos hmpalert.exe, McsAgent.exe, McsClient.exe, SavApi.exe, SAVAdminService.exe, SAVService.exe, SEDService.exe, SophosADSyncService.exe, SophosClean.exe, SophosCleanM64.exe, SophosFIMService.exe, SophosFS.exe, SophosHealth.exe, SophosLiveQueryService.exe, SophosMTR.exe, SophosMTRExtension.exe, SophosNetFilter.exe, SophosNtpService.exe, SophosOsquery.exe, SophosOsqueryExtension.exe, Sophos.PolicyEvaluation.Service.exe, SophosSafestore64.exe, SophosUI.exe, SophosUpdateMgr.exe, sophosav.exe, sophossps.exe, SSPService.exe
Tanium TaniumClient.exe, TaniumCX.exe, tanclient.exe
ThreatLocker ThreatLockerConsent.exe, threatlockerservice.exe, threatlockertray.exe
TrendAI coreFrameworkHost.exe, coreServiceShell.exe, NTRTScan.exe, ntrtscan.exe, Ntrtscan.exe, OfcService.exe, ofcDdaSvr.exe, PccNTMon.exe, PccNt.exe, TISafe.exe, TISafeSvc.exe, TmCCSF.exe, tmicAgentSetting.exe, TMBMSRV.exe, Tmbmsrv.exe, tm_netsrv.exe, TmListen.exe, tmntsrv.exe, TmPfw.exe, tmproxy.exe, TmProxy.exe, TmPreFilter.exe, TmSSClient.exe, TmsaInstance64.exe, TmWscSvc.exe, VOneAgentConsole.exe, VOneAgentConsoleTray.exe
Uptycs VectorAgent.exe, UptycsAgent.exe
Varonis DatAdvantage.exe, VaronisAgent.exe
WatchGuard wlcsservice.exe
Webroot WRSA.exe, WRSkyClient.exe, WRSVC.exe, wrsa.exe
Windows Sysinternals Sysmon.exe, Sysmon64.exe
Zscaler zlclient.exe

Variantes de GentleKiller

Cada variante de GentleKiller suplanta un producto diferente y abusa de un driver malicioso o vulnerable distinto. La Tabla 3 presenta una lista de las ocho variantes de GentleKiller que hemos observado hasta el momento. El <suffix> hace referencia al patrón de nomenclatura explicado en la Tabla 1. Los nombres de los drivers corresponden a cómo GentleKiller los descarga en disco.

Tabla 3. Lista de variantes de GentleKiller

Variant name Filenames Abused driver
Kaspersky Kasp<suffix>.exe eb.sys, a rootkit (PoC)
FACEIT Anti-Cheat FaceIT<suffix>.exe nseckrnl.sys, NSecsoft NSecKrnl driver (PoC)
Valorant Valorant<suffix>.exe GameDriverX64.sys, an anti-cheat driver (PoC)
Javelin EAAntiCheat<suffix>.exe
EASolo<suffix>.exe
stpm_(old|new).sys, two vulnerable ProcessMonitor Driver samples by Safetica (PoC)
WatchDog BitD<suffix>.exe dmx.sys, Zemana’s WatchDog Antimalware Driver (PoC)
Network Blocker MB<suffix>.exe 360netmon_wfp.sys, a vulnerable driver by Qihoo 360 Technology (PoC)
Cleaner Deletor.exe IMFForceDelete, IObit’s IMF ForceDelete filter driver (PoC); the driver is dropped without the trailing .sys extension
G11 G11<suffix>.exe
Symantec<suffix>.exe
PoisonX, a rootkit (PoC)

EDR killers de terceros

Además de GentleKiller, desarrollado internamente, Gentlemen ha incorporado múltiples soluciones de terceros a su suite, resumidas en la Tabla 4 y descritas en las siguientes secciones. El <suffix> hace referencia al patrón de nomenclatura explicado en la Tabla 1. Los nombres de los drivers corresponden a cómo los EDR killers asociados los descargan en disco.

 

Tabla 4. Lista de programas de desactivación de EDR de terceros ofrecidos por Gentlemen

ESET name for the EDR killer Filenames Abused driver
HexKiller Avast<suffix>.exe googleApiUtil64.sys, Baidu Antivirus BdApi driver
ThrottleBlood Sent<suffix>.exe ThrottleBlood.sys, driver by TechPowerUp LLC
HavocKiller HwAudKiller.exe
Sophos<suffix>.exe
havoc.sys, Huawei Audio driver

HexKiller

HexKiller es un EDR killer que previamente habíamos evaluado como exclusivo de la banda Warlock. Por lo tanto, su aparición en intrusiones de Gentlemen resulta inesperada y relevante.

Detectamos HexKiller desplegado junto con binarios de GentleKiller dentro del directorio GentlemenCollection. No obstante, su presencia en intrusiones de Gentlemen no implica, por sí sola, una colaboración directa o una superposición operativa entre las bandas Gentlemen y Warlock. Es plausible que los operadores de Gentlemen hayan obtenido HexKiller por vías indirectas, como intercambios privados, canales secundarios de distribución o filtraciones de muestras, sin necesidad de interacción directa con Warlock. Por lo tanto, no consideramos esto evidencia de una relación más profunda entre ambos grupos.

ThrottleBlood

Este EDR killer ha sido observado repetidamente en intrusiones llevadas a cabo por afiliados de MedusaLocker y, con menor frecuencia, por afiliados de DragonForce. Además, fue relacionó a Gentlemen por Trend Micro en septiembre de 2025.

Actualmente, no contamos con evidencia suficiente para determinar de forma concluyente el origen de ThrottleBlood. En nuestra telemetría, aparece desplegado de manera destacada en múltiples intrusiones de MedusaLocker y de forma ocasional en actividad relacionada con DragonForce. Estos incidentes muestran poca superposición operativa más allá del uso de ThrottleBlood en sí. Una posible explicación es que ThrottleBlood se distribuya comercialmente en mercados clandestinos o, alternativamente, que sea una herramienta desarrollada por los operadores de MedusaLocker y compartida con sus afiliados, algunos de los cuales podrían también tener vínculos con DragonForce.

Sin embargo, ninguna de estas hipótesis explica completamente cómo una muestra de ThrottleBlood llegó a manos de Gentlemen. En consecuencia, no podemos descartar la posibilidad de que Gentlemen haya adquirido la herramienta a través de una filtración fuera de su contexto original. Lo que sí afirmamos con alto grado de certeza es que Gentlemen no desarrolló este EDR killer internamente.

HavocKiller

HavocKiller es la última incorporación al arsenal de EDR killers de Gentlemen. Si bien la herramienta fue divulgada públicamente por Huntress el 19 de marzo de 2026, la telemetría de ESET confirma su uso en intrusiones reales al menos desde el 23 de enero de 2026, lo que indica que estuvo operativa durante semanas antes de su reporte público. También podemos corroborar la evaluación de Huntress respecto de su propósito: en todos los casos observados por ESET, el despliegue de HavocKiller formaba parte de actividad relacionada con ransomware.

En función de sus características técnicas, evaluamos que HavocKiller no fue desarrollado por los operadores de Gentlemen, sino que fue obtenido por medios externos. Aunque las muestras fueron desplegadas dentro del directorio GentlemenCollection y se les aplicaron las técnicas estándar de evasión de defensas de Gentlemen, la implementación subyacente difiere significativamente de GentleKiller. Esto sugiere fuertemente que HavocKiller es un EDR killer de terceros adaptado a nivel operativo, pero cuya arquitectura no encaja dentro del framework de Gentlemen.

OxideHarvest

También detectamos varios despliegues de una herramienta a la que denominamos OxideHarvest, un credential stealer escrito en Rust. Dado que Rust no es el lenguaje de programación habitual de Gentlemen, no atribuimos esta herramienta al grupo. Sin embargo, como señaló Check Point, un afiliado de Gentlemen llamado quant mantiene una herramienta denominada buildx641, cuyo nombre y funcionalidad nos remitieron inmediatamente a OxideHarvest. De hecho, tras una investigación adicional, encontramos una muestra de OxideHarvest denominada buildx641.exe subida a VirusTotal; concluimos que buildx641 y OxideHarvest son la misma herramienta.

OxideHarvest se distribuye empaquetado con distintos packers, a menudo imitando software legítimo en la información de versión y el ícono (de forma similar, aunque no idéntica, a lo que hace Gentlemen con GentleKiller). El payload protegido es un credential stealer simple y directo. Para funcionar, OxideHarvest requiere que el usuario especifique, como opciones de línea de comandos, la lista de hosts (-i), el nombre de usuario (-u), la contraseña (-u), el número de hilos (-t) y un archivo de salida (-o). La herramienta utiliza luego las credenciales proporcionadas para iniciar sesión en los hosts especificados (indicados en un archivo de texto delimitado por saltos de línea), emplea multithreading y exfiltra las credenciales en el archivo de salida indicado. La Figura 9 muestra el resultado del comando --help OxideHarvest, y la Tabla 5 presenta su configuración, que determina qué credenciales son objetivo.

Figure 3. The help of OxideHarvest
Figura 3. Help de OxideHarvest

Tabla 5. Configuración integrada de OxideHarvest

{
    "chronium_browsers": [
        [
            "Google Chrome",
            "\\Google\\Chrome\\User Data",
            true
        ],
        [
            "Google Chrome Beta",
            "\\Google\\Chrome Beta\\User Data",
            true
        ],
        [
            "ChromeBeta",
            "\\Google\\Chrome SxS\\User Data",
            true
        ],
        [
            "Chromium",
            "\\Chromium\\User Data",
            true
        ],
        [
            "Microsoft Edge",
            "\\Microsoft\\Edge\\User Data",
            true
        ],
        [
            "Torch",
            "\\Torch\\User Data",
            true
        ],
        [
            "Comodo",
            "\\Comodo\\Dragon\\User Data",
            true
        ],
        [
            "Nichrome",
            "\\Nichrome\\User Data",
            true
        ],
        [
            "Maxthon5",
            "\\Maxthon5\\Users",
            true
        ],
        [
            "Epic Privacy Browser",
            "\\Epic Privacy Browser\\User Data",
            true
        ],
        [
            "Vivaldi",
            "\\Vivaldi\\User Data",
            true
        ],
        [
            "QIP",
            "\\QIP Surf\\User Data",
            true
        ],
        [
            "Cent",
            "\\CentBrowser\\User Data",
            true
        ],
        [
            "Elements",
            "\\Elements Browser\\User Data",
            true
        ],
        [
            "TorBro",
            "\\TorBro\\Profile",
            true
        ],
        [
            "CryptoTab",
            "\\CryptoTab Browser\\User Data",
            true
        ],
        [
            "Brave",
            "\\BraveSoftware\\Brave-Browser\\User Data",
            true
        ],
        [
            "Opera",
            "\\Opera Software\\Opera Stable\\",
            false
        ],
        [
            "OperaGX",
            "\\Opera Software\\Opera GX Stable\\",
            false
        ],
        [
            "Opera Neon",
            "\\Opera Software\\Opera Neon\\User Data",
            false
        ]
    ],
    "gecko_browsers": [
        [
            "Mozila Firefox",
            "\\Mozilla\\Firefox\\Profiles\\",
            false
        ],
        [
            "Slim",
            "\\FlashPeak\\SlimBrowser\\Profiles\\",
            false
        ],
        [
            "PaleMoon",
            "\\Moonchild Productions\\Pale Moon\\Profiles\\",
            false
        ],
        [
            "Waterfox",
            "\\Waterfox\\Profiles\\",
            false
        ],
        [
            "Cyberfox",
            "\\8pecxstudios\\Cyberfox\\Profiles\\",
            false
        ],
        [
            "BlackHawk",
            "\\NETGATE Technologies\\BlackHawk\\Profiles\\",
            false
        ],
        [
            "IceCat",
            "\\Mozilla\\icecat\\Profiles\\",
            false
        ],
        [
            "KMeleon",
            "\\K-Meleon\\",
            false
        ]
    ]
}

Conclusión

Gentlemen demuestra un enfoque interesante: EDR killers gestionados por los operadores, listos para ser utilizados por los afiliados. Mientras que la mayoría de las bandas de ransomware continúan delegando el EDR killing en los afiliados, Gentlemen optó por centralizar esta función ofreciendo a los afiliados una suite de EDR killers estandarizada y lista para usar. Esta decisión convierte a Gentlemen en un operador atractivo para los afiliados, ya que reduce significativamente la barrera de entrada y, en consecuencia, simplifica su trabajo.

Este modelo difiere incluso de las pocas excepciones conocidas dentro del ecosistema. En el caso de RansomHub, los operadores invirtieron en un único EDR killer, EDRKillShifter, desarrollado completamente in‑house. Gentlemen, en cambio, mantiene un portafolio diverso de EDR killers, combinando desarrollo propio (GentleKiller) con herramientas de terceros o divulgadas públicamente adaptadas rápidamente (HexKiller, ThrottleBlood y HavocKiller). La aplicación consistente de técnicas de evasión de defensas en estas herramientas también dificulta la atribución directa cuando las muestras se analizan de forma aislada.

Dado que las técnicas de EDR killing continúan comoditizándose y circulando en comunidades clandestinas, esta publicación subraya la necesidad de realizar investigaciones y análisis a nivel de incidente. Sin este contexto, es probable que los EDR killers de Gentlemen sean mal atribuidos o no atribuidos en absoluto, ocultando el verdadero alcance de la participación de este operador. Gracias a nuestra visibilidad continua sobre intrusiones de Gentlemen, pudimos ofrecer protección frente a los ataques del grupo meses antes de que la reciente filtración confirmara nuestras hipótesis de alta confianza sobre su suite de EDR killers.

El framework GentleKiller ilustra un equilibrio deliberado entre desarrollo interno y reutilización pragmática de investigación externa. Si bien algunos componentes muestran signos de implementación apresurada o falta de uniformidad, el conjunto de herramientas en su totalidad demuestra una alta efectividad operativa y una integración estrecha dentro del flujo de trabajo de ransomware de Gentlemen. La capacidad del grupo para adaptar PoCs BYOVD recién publicados en cuestión de días refuerza aún más su agilidad.

Desde la perspectiva defensiva, comprender el funcionamiento de GentleKiller permite a los defensores diseñar mejores estrategias de protección y prepararse incluso frente a futuras incorporaciones aún no desarrolladas dentro del arsenal de EDR killing de Gentlemen.

Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, ponte en contacto con nosotros en threatintel@eset.com.
ESET Research ofrece informes privados de inteligencia sobre APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.

IoCs

Archivos

SHA-1 Filename Detection Description
8AE6BD18B129061F63642531F1B684CF0383C75D Kasps.exe Win64/KillAV.EA GentleKiller (Kaspersky variant).
BA914FE77B177B45799403B16DD14765C510A074 eb.sys Win64/Agent.ITG A custom rootkit used by the Kaspersky variant of GentleKiller.
D605994FC72A2BB59B5CFB1624A1B9170ECA73A2 FaceIT1.exe Win64/KillAV.EA GentleKiller (FACEIT Anti-Cheat variant, Enigma-protected).
B0B912A3FD1C05D72080848EC4C92880004021A1 nseckrnl.sys Win64/VulnDriver.NSecsoft.A NSecsoft NSecKrnl driver abused by the FACEIT Anti-Cheat variant of GentleKiller.
5AA3124E5C4921E5EDFC60133B5D71DA21B07DA3 Valorant2.exe Win64/KillAV.EA GentleKiller (Valorant variant, Themida-protected).
7556AE58C215B8245A43F764F0676C7A8F0FDD1A vgk.sys Win64/VulnDriver.PerfectWorld.A Tower of Fantasy AntiCheat driver abused by the Valorant variant of GentleKiller.
331879F5EEC8892BBD896F90BDBB1BAD0BF63BD6 EASolo2Light.exe Win64/KillAV.EA GentleKiller (Javelin variant abusing Safetica’s newer driver).
F11AEBCCB9A86A7E2E653F90BAEC697F233C255F EASOLO1clear.exe Win64/KillAV.EA GentleKiller (Javelin variant abusing Safetica’s older driver).
EF9CD06683159397F099CAA244E94E6EAAD96EBA EAAntiCheatLight.exe Win64/KillAV.EA GentleKiller (Javelin variant abusing both drivers).
711EF221526997039E804A18DB9647C91680BBE2 stpm_old.sys Win64/VulnDriver.Safetica.A Safetica’s Process Monitor Driver (older) abused by the Javelin variant of GentleKiller.
68FEC379F2AE76C3D2CE913F7BE650CEA1D06990 stpm_new.sys Win64/VulnDriver.Safetica.H Safetica’s Process Monitor Driver (newer) abused by the Javelin variant of GentleKiller.
A11EE9CDC59E5CAA59AEFD27B30D104F3AD68E62 BitD1.exe Win64/KillAV.EA GentleKiller (WatchDog variant, Themida-protected).
96F0DBF52AED0AFD43E44500116B04B674F7358E dmx.sys Win64/VulnDriver.WatchDogDev.C Zemana’s WatchDog Antimalware Driver abused by the WatchDog variant of GentleKiller.
2F86898528C6CAB3540C486A9BFAA0C029B73950 MB2.exe Win64/KillAV.EA GentleKiller (Network Blocker variant, Themida-protected).
9AD51AD97C01E97AB59214116740785E0F6320A8 360netmon_wfp.sys Win64/VulnDriver.Qihoo360.A 360netmon.sys driver abused by the Network Blocker variant of GentleKiller.
A19117175DBC9BA4D23B5DCE8415E299A2E32192 Deletor.exe Win64/KillAV.EA GentleKiller (Cleaner variant).
12500F6C87CE62712A0ED6652C57468D15C14223 IMFForceDelete Win64/VulnDriver.IObit.D.gen IMF ForceDelete filter driver abused by the Cleaner variant of GentleKiller.
D29670E684E40DDC89B47010C37CBC96737035B6 Symantec.exe Win64/KillAV.EA GentleKiller (G11 variant).
56BEE9DF5833A637F5C54D5911DF98B0812FE643 G11.sys Win64/Agent.IYQ PoisonX rootkit used by the G11 variant of GentleKiller.
CF4D74DF17A91B4A36A2911B22AFEC5D8FA93A01 Avast.exe Win32/KillAV.NVL HexKiller incorporated into Gentlemen modus operandi by adding the evasion layer.
EC296F9501AD71E430810CB5CDC38D954D4BA536 googleApiUtil64.sys Win64/VulnDriver.Baidu.B Baidu Antivirus BdApi driver abused by HexKiller.
7131B377E96016DC1911020C9F95B1B4D042D7B4 Sent.exe Win64/KillAV.AT ThrottleBlood incorporated into Gentlemen modus operandi by adding the evasion layer.
82ED942A52CDCF120A8919730E00BA37619661A3 ThrottleBlood.sys Win64/VulnDriver.GPUZ.B ThrottleStop.sys driver abused by ThrottleBlood.
F0537CBB773AE12100B36731E7C39F5A9D852B14 Sophos.exe Win64/KillAV.DE HavocKiller incorporated into Gentlemen modus operandi by adding the evasion layer.
1FA071303FB846308571E64727501FB98B1C2BE6 havoc.sys Win64/VulnDriver.Huawei.D Vulnerable driver abused by HavocKiller.
A5CF917EC4A7DFBDFA43621398604805D860C718 buildx641.exe Win64/Spy.Agent.AGC OxideHarvest.
D4B19141102015D436321E6F26976E98183CFD27 buildx64.exe Win64/Spy.Agent.AGC OxideHarvest.

Técnicas de MITRE ATT&CK

Esta tabla se ha elaborado utilizando la versión 19 del marco MITRE ATT&CK.

Tactic ID Name Description
Execution T1059.003 Command and Scripting Interpreter: Windows Command Shell GentleKiller and related tools are console-based executables that run visibly and emit debug strings during execution.
T1106 Native API User-mode components interact directly with kernel drivers via DeviceIoControl and other native Windows APIs to perform privileged actions.
Persistence T1543.003 Create or Modify System Process: Windows Service The EDR killers install and start vulnerable or malicious drivers as services prior to exploitation.
Stealth T1036 Masquerading Gentlemen’s EDR killers are protected by impersonating legitimate vendors through filenames, version information, icons, and copied digital certificates.
T1036.001 Masquerading: Invalid Code Signature The protection applied to Gentlemen’s EDR killers adds an invalid code signature as part of the impersonation strategy.
T1027 Obfuscated Files or Information Some executables are protected with packers (e.g., Enigma, Themida) and custom control-flow obfuscation.
Defense Impairment T1685 Disable or Modify Tools GentleKiller and other EDR killers that Gentlemen is in possession of aim to bypass security products such as EDRs.