Resumen semanal de Google Workspace: 19 de junio de 2026
Junio 19, 2026
Investigadores de ESET analizaron el robusto conjunto de herramientas EDR killer de la banda de ransomware como servicio (RaaS) Gentlemen. Desde comienzos de 2026, Gentlemen se ha consolidado como una de las bandas más activas dentro del ecosistema del ransomware. El grupo se distingue por contar con un conjunto maduro de herramientas EDR killer mantenido por sus operadores, es decir, herramientas diseñadas para interrumpir el funcionamiento del software de seguridad. Además, a diferencia de la mayoría de las bandas de primer nivel, Gentlemen no presenta una victimología centrada en Estados Unidos, sino que apunta a víctimas en el sudeste asiático, Sudamérica y Europa occidental.
Si bien en los últimos meses se han publicado múltiples informes sobre Gentlemen, estos no se han centrado en un análisis detallado de sus herramientas EDR killer. Gracias a la visibilidad continua de ESET a nivel de incidentes, podemos ofrecer una visión excepcionalmente profunda de las prácticas de desarrollo de estos EDR killer. La filtración de datos interna que sufrió Gentlemen en mayo de 2026 nos permitió obtener aún más información sobre el funcionamiento interno del grupo.
La filtración también nos permitió confirmar nuestra hipótesis de febrero de 2026 de que los operadores de Gentlemen desarrollan y mantienen activamente un portafolio de herramientas EDR killer que ofrecen a sus afiliados, centrado en su framework interno al que denominamos GentleKiller. Asimismo, incorporan herramientas de terceros o filtradas, como HexKiller, ThrottleBlood y HavocKiller. Estas herramientas se estandarizan mediante una capa compartida de evasión de defensas, que impersona principalmente a proveedores de seguridad utilizando información de versión falsa, así como certificados e íconos legítimos copiados. Gentlemen también demuestra una capacidad inusualmente rápida para operacionalizar pruebas de concepto (proofs-of-concept, PoC) de la técnica Bring Your Own Vulnerable Driver (BYOVD) recién divulgadas, a menudo en cuestión de días desde su publicación.
En esta entrada de blog compartimos nuestros hallazgos sobre la suite de herramientas EDR killer de Gentlemen, obtenidos a través de una investigación exhaustiva y corroborados con la reciente filtración. Buscamos aportar conocimiento accionable al vincular los paquetes de EDR killer con muestras reales y relacionar los datos filtrados con tácticas, técnicas y procedimientos (TTPs). Nuestros hallazgos posicionan a Gentlemen como una de las bandas RaaS más ágiles desde el punto de vista técnico en 2026.
Puntos clave de la entrada del blog:
- Los operadores de Gentlemen desarrollan y mantienen una suite de EDR killer que se proporciona directamente a los afiliados.
- GentleKiller es un framework interno con al menos ocho variantes que abusan de distintos drivers vulnerables o maliciosos.
- Los operadores de Gentlemen aplican una estrategia de evasión unificada en todas sus herramientas, que estandariza mecanismos de suplantación y protección.
- Los EDR killer de terceros (HexKiller, ThrottleBlood y HavocKiller) se integran operativamente.
- Gentlemen puede adaptar rápidamente nuevas pruebas de concepto (PoC) de EDR killer tras su publicación.
- La victimología de la banda es global y notablemente no está centrada en EE. UU.
- «Gentlemen» también utiliza OxideHarvest, un ladrón de credenciales mantenido por uno de los afiliados del grupo.
A lo largo de esta publicación, nos referimos a los operadores y afiliados de RaaS.
Los operadores son responsables de desarrollar el payload del ransomware, gestionar las claves de descifrado, mantener el sitio de filtraciones, negociar a menudo el pago del rescate con las víctimas y ofrecer herramientas y servicios adicionales mediante una tarifa mensual o un porcentaje del rescate (normalmente entre el 5 % y el 20 %).
Los afiliados contratan los servicios de ransomware a los operadores, despliegan los cifradores en las redes de las víctimas y también se encargan de la exfiltración de datos.
Perfil de los «Gentlemen»
Gentlemen surgió a finales de 2025 como una operación de ransomware como servicio (RaaS) y rápidamente se consolidó como una de las bandas de ransomware más activas observadas en el primer trimestre de 2026. La banda ofrece una participación del 90 % a los afiliados. Group-IB reveló que Gentlemen fue fundada por hastalamuerte, un exafiliado de Qilin descontento. PRODAFT publicó en X (antes Twitter) el 17 de octubre de 2025 que los operadores de Gentlemen habían sido previamente afiliados de Qilin, Embargo, LockBit, Medusa y BlackLock. El 10 de junio de 2026, Brian Krebs compartió evidencia sobre la verdadera identidad de hastalamuerte.
Gentlemen emplea doble extorsión: además de cifrar los datos de la víctima, el grupo también amenaza con filtrarlos si no se paga el rescate. Para el cifrado, los operadores ofrecen una variante escrita en Go dirigida a Windows, Linux y otras plataformas, así como una variante para ESXi escrita en C.
Uno de los aspectos que distingue a Gentlemen es su disposición a ofrecer más que solo cifradores a sus afiliados; en particular, la banda también proporciona EDR killers. Investigaciones recientes de ESET han demostrado que, en la mayoría de las intrusiones de ransomware, la responsabilidad de encontrar un EDR killer confiable suele recaer en los afiliados individuales, y no en los operadores de RaaS. Solo se han documentado un pequeño número de excepciones a este modelo. Un caso notable es RansomHub, que invirtió en desarrollar su propio EDR killer desde cero, EDRKillShifter, y luego lo ofreció a los afiliados a través del panel de afiliados.
Gentlemen representa un enfoque diferente, y hasta ahora poco documentado. En lugar de depender de que los afiliados obtengan sus propios EDR killers, los operadores de Gentlemen desarrollan y mantienen activamente un portafolio de EDR killers para sus afiliados. Este portafolio combina una herramienta desarrollada internamente —a la que denominamos GentleKiller— junto con herramientas externas o filtradas, estandarizadas mediante una capa compartida de evasión y desplegadas de manera consistente.
Investigadores de ESET plantearon la hipótesis de que GentleKiller era una herramienta interna ya en febrero de 2026, lo que posteriormente fue respaldado por informes de Group-IB y Check Point, ambos señalando que la banda proporciona capacidades de EDR killing a sus afiliados (verificados). La reciente filtración de datos internos del grupo proporcionó la evidencia definitiva: en los datos filtrados, zeta88 (otro alias utilizado por hastalamuerte), líder de la banda, menciona abiertamente el mantenimiento y provisión de paquetes de EDR killer.
Además de confirmar nuestra hipótesis sobre GentleKiller, los datos filtrados también nos permitieron vincular un credential stealer al que denominamos OxideHarvest con Gentlemen, específicamente con uno de sus afiliados.
Víctimas
Si bien la victimología de las grandes operaciones RaaS suele estar más influenciada por las decisiones de los afiliados que por una estrategia impulsada por los operadores, existe un patrón particular que tiende a repetirse. La mayoría de las principales bandas de ransomware muestran un enfoque fuerte y persistente en Estados Unidos, que con frecuencia representa aproximadamente la mitad de todas las víctimas anunciadas. Este sesgo centrado en EE. UU. es evidente en varios grupos prominentes, incluidos Qilin, DragonForce y Akira, y se ha convertido efectivamente en la norma entre las operaciones de ransomware de primer nivel.
Gentlemen destaca como una excepción notable a esta tendencia. A pesar de ubicarse entre las cinco bandas de ransomware más activas en el primer trimestre de 2026, su victimología no presenta un enfoque comparable en EE. UU. En su lugar, los afiliados de Gentlemen apuntan de manera consistente a víctimas en una amplia y geográficamente diversa variedad de países, con un número significativo de víctimas en regiones como el sudeste asiático, Sudamérica y Europa occidental. De hecho, los objetivos de la banda incluyen algunos países relativamente poco habituales, como Tailandia, Brasil y Francia.
Los datos filtrados recientemente aportan evidencia de que, en lo que respecta a la selección de víctimas, Gentlemen utiliza un enfoque centralizado que consiste en clasificar candidatos viables y luego asignarlos a los afiliados. Las víctimas se seleccionan principalmente en función de la (mala) configuración de FortiGate, más que de su ubicación geográfica.
EDR Killers
En febrero de 2026 observamos un EDR killer previamente no documentado desplegado por un afiliado de Gentlemen y preparado en un directorio denominado «GentlemenCollection». A esta herramienta la denominamos GentleKiller. En ese momento, planteamos la hipótesis de que no se trataba de un artefacto específico de un afiliado, sino de una herramienta proporcionada a los afiliados por los operadores de Gentlemen. Desde entonces, hemos observado el mismo patrón de despliegue (la descarga de GentleKiller y otros EDR killers en el directorio GentlemenCollection) en múltiples intrusiones no relacionadas que investigamos, que involucraban de forma consistente a afiliados de Gentlemen. En paralelo, dos informes publicados de manera independiente por Group-IB y Check Point evaluaron que los operadores de Gentlemen ofrecen explícitamente capacidades para desactivar EDR como parte de su programa RaaS.
En conjunto, estas observaciones nos permitieron concluir que GentleKiller es un componente de una suite de EDR killers mantenida por los operadores de Gentlemen. Esto fue posteriormente confirmado en los datos filtrados del grupo.
Además de GentleKiller, la suite también incluye HexKiller, HavocKiller y ThrottleBlood; todos nombres asignados por ESET a EDR killers utilizados también por afiliados de bandas rivales y obtenidos por Gentlemen por medios desconocidos. También observamos DemoKiller en varias intrusiones, pero este EDR killer no mostró vínculos con Gentlemen, por lo que lo excluimos de la suite de la banda y lo consideramos específico de afiliados. La siguiente parte de la publicación aborda estas herramientas con mayor nivel de detalle y las sitúa dentro del ecosistema más amplio de EDR killers. Si bien estas herramientas están integradas operativamente en las intrusiones de Gentlemen, evaluamos con un alto grado de confianza que únicamente GentleKiller es desarrollado internamente por los operadores de Gentlemen, mientras que los demás EDR killers probablemente fueron obtenidos externamente y posteriormente modificados y estandarizados para ajustarse al conjunto de herramientas del grupo. Nuestra evaluación se basa en:
- la aparición de GentleKiller principalmente en intrusiones relacionadas con Gentlemen, a menudo desplegado en el directorio «GentlemenCollection»;
- el desarrollo continuo con acceso evidente al código fuente, lo que permite crear nuevas variantes y dar soporte a PoCs recientemente publicados;
- informes de terceros que mencionan que Gentlemen ofrece capacidades de EDR killing a afiliados de confianza.
Estrategia de evasión de la defensa
Los operadores de Gentlemen aplican un conjunto específico de técnicas de evasión de defensas a los distintos EDR killers de la banda. Estas técnicas se aplican sobre muestras compiladas y no sobre el código fuente. Esto le permite a Gentlemen proteger incluso aquellos EDR killers cuyo código fuente no posee.
Todos los «EDR killers» que forman parte del repertorio de Gentlemen siguen estos patrones de evasión de defensas, lo que apunta a una estrategia estandarizada, a saber:
- Se aplica protección binaria avanzada (Enigma o Themida) a una proporción significativa de las muestras detectadas. El sufijo del nombre del archivo suele identificar el método utilizado (Enigma, Themida o ninguno).
- Los nombres de archivo se eligen para parecerse estrechamente a los de proveedores de software conocidos, en particular empresas del ámbito de la ciberseguridad.
- Los ejecutables suplantan a los proveedores mediante los siguientes atributos, todos correspondientes al mismo proveedor o producto:
○ información de versión falsificada,
○ firmas digitales no válidas copiadas de archivos ejecutables legítimos, y
○ iconos que coinciden con los de los proveedores suplantados.
Aunque un número reducido de muestras se desvía de este enfoque —probablemente debido a prácticas de desarrollo inconsistentes—, la gran mayoría de los EDR killers observados se ajusta a este patrón. En la Tabla 1 mostramos cómo funcionan los sufijos. Más adelante en la publicación explicamos cómo se añaden estos sufijos a los nombres de archivo.
Tabla 1. Patrón de nomenclatura de los «EDR killers» mantenidos por Gentlemen
| Suffix | Protection | Fake signature | Fake version information |
| 1 | Enigma | Yes | Yes |
| 2 | Themida | Yes | Yes |
| Light | None | Yes | Yes |
| Clear | None | No | No |
GentleKiller
GentleKiller es, con diferencia, el EDR killer más prevalente observado en el ecosistema de Gentlemen. Al momento de redacción, tenemos conocimiento de al menos ocho variantes distintas, cada una suplantando un producto legítimo diferente y abusando de un driver vulnerable o malicioso distinto. A pesar de estas diferencias a nivel superficial, clasificamos todas estas muestras bajo el paraguas de GentleKiller debido al alto grado de características internas compartidas.
Al abstraer la capa de suplantación y los drivers específicos utilizados, el código subyacente revela numerosas similitudes estructurales y de comportamiento que sugieren fuertemente el uso de una plantilla de desarrollo compartida. Esta plantilla se reutiliza entre variantes con modificaciones mínimas. Las características definitorias de esta plantilla incluyen:
- cadenas de texto consistentes entre variantes,
- la finalización periódica de procesos en un bucle,
- targeting de un amplio conjunto de soluciones de seguridad, y
- el uso de técnicas de ofuscación de código idéntica.
En la figura 1 se muestra un ejemplo de la salida de GentleKiller, y en la figura 2 se presenta un fragmento de código que ilustra la ofuscación del código.
Este diseño prioriza la facilidad de despliegue y la flexibilidad operativa para los afiliados, al tiempo que minimiza el esfuerzo de desarrollo para los operadores. Permite a los operadores de Gentlemen integrar drivers abusados en su conjunto de herramientas poco tiempo después de que se publique un PoC de EDR killer. Este fue el caso con UnknownKiller y PoisonKiller, que fueron adoptados en cuestión de días.
Si bien algunas builds no apuntan a todos los procesos conocidos por GentleKiller, el conjunto general —presentado en la Tabla 2— se mantiene consistente. Utilizamos IA para mapear los nombres de los procesos a sus proveedores correspondientes, y reconocemos que pueden existir pequeñas inconsistencias. En términos generales, GentleKiller apunta a más de 400 procesos que la IA asoció con 48 productos.
Tabla 2. Lista completa de los nombres de procesos a los que se dirige GentleKiller, asignados a sus respectivos proveedores
| Vendor | Targeted processes |
| Acronis | acronis_agent.exe, BackupAndRecoveryAgent.exe, managementagenthost.exe, mms.exe |
| AlienVault | alienvault-agent.exe, osqueryd.exe |
| Avast | afwServ.exe, aswEngSrv.exe, aswidsagent.exe, aswToolsSvc.exe, AvastSvc.exe, AvastUI.exe, avastsvc.exe, avastui.exe, bccavsvc.exe, wsc_proxy.exe |
| AVG | AVGUI.exe, AVGSvc.exe, avgnt.exe, avgsvca.exe, avgToolsSvc.exe |
| Binary Defense | BinaryDefenseAgent.exe |
| Bitdefender | Arrakis3.exe, BDAvScanner.exe, BDFsTray.exe, BDFileServer.exe, BDLived2.exe, BDLogger.exe, BDScheduler.exe, BDStatistics.exe, bdagent.exe, bdemsrv.exe, bdntwrk.exe, bdredline.exe, bdregsvr2.exe, bdservicehost.exe |
| Blumira | BlumiraAgent.exe |
| Bromium | BromiumDaemon.exe, BrDifxapi.exe |
| Carbon Black | cb.exe, cbcomms.exe, cbdefense.exe, carbonsensor.exe, RepMgr.exe |
| Cisco Talos | cfrutil.exe, CiscoAMPCEFWDriver.exe, cisco_amp_connector.exe, immunet.exe |
| CrowdStrike | ARWSRVC.EXE, ARCUpdate.exe, CSFalconContainer.exe, CSFalconService.exe, CSFalconUI.exe, csfalcondataprotect.exe, csfalcondaterepair.exe, REPRSVC.EXE |
| Cynet | CynetEPS.exe, CynetMS.exe, CynetSvc.exe |
| Cybereason | ActiveConsole.exe, cybereason.exe, CybereasonActiveProbe.exe, CybereasonCR.exe |
| Cyvera | CyveraConsole.exe, CyveraService.exe, CyvrAgentSvc.exe, CyvrFsFlt.exe, cyvrfsflt.exe |
| Cylance/BlackBerry | CylanceSvc.exe |
| Darktrace | DarktraceTSA.exe |
| Deep Instinct | DeepInstinct.exe, DeepInstinctService.exe, DIAgentService.exe |
| Elastic | a2guard.exe, a2service.exe |
| ESET | eamonm.exe, eamsi.exe, ecls.exe, efwd.exe, egui.exe, eguiProxy.exe, ekrn.exe, ekrnEpfw.exe, ERAAgent.exe, EraAgentSvc.exe |
| Fortinet | firesvc.exe, firetray.exe, FortiTray.exe, fortiedr.exe, fw.exe |
| G DATA | GDDServer.exe, QHPISVR.EXE, QUHLPSVC.EXE, SAPISSVC.EXE |
| Heimdal | HeimdalsecurityAgent.exe |
| Huntress | HuntressAgent.exe, HuntressRMM.exe |
| Kaspersky | avp.exe, avpsus.exe, avpui.exe, kavfs.exe, kavfsscs.exe, kavfswh.exe, kavfswp.exe, kavtray.exe, klactprx.exe, klcsldcl.exe, klcsweb.exe, klnagent.exe, klnagchk.exe, klscctl.exe, klserver.exe, klwtblfs.exe, kpf4ss.exe, ksde.exe, ksdeui.exe, vapm.exe |
| LogRhythm | LogProcessorService.exe |
| McAfee/Trellix | AGMService.exe, AGSService.exe, masvc.exe, macmnsvc.exe, McAfeeAgent.exe, mcshield.exe, mfeann.exe, mfevtps.exe, mfetp.exe, mfeepehost.exe, mfefire.exe, mfemactl.exe, mfemacsvc.exe, mfemgr.exe, mfemms.exe, MgntSvc.exe, ModuleCoreService.exe, tepfsvc.exe |
| Microsoft Defender | MSASCui.exe, MSASCuiL.exe, MpDefenderCoreService.exe, MsMpEng.exe, MsMpSvc.exe, MsSense.exe, msascuil.exe, msseces.exe, NisSrv.exe, nissrv.exe, SecurityHealthService.exe, SecurityHealthSystray.exe, SenseCncProxy.exe, SenseIR.exe, SenseNdr.exe, SenseSampleUploader.exe, smartscreen.exe, windefend.exe |
| Morphisec | MorphisecService.exe |
| Norton/Symantec | ccApp.exe, ccSvcHst.exe, ccsvchst.exe, ns.exe, nsservice.exe, nortonsecurity.exe, rtvscan.exe, SepMasterService.exe, sepWscSvc64.exe, smc.exe, SmcGui.exe, snac.exe, SymCorpUI.exe, SymWSC.exe |
| OSSEC/Wazuh | ossec-agent.exe, wazuh-agent.exe |
| Palo Alto Networks (Traps/Cortex) | cortexService.exe, trapsagent.exe, trapsd.exe, Traps.exe |
| Panda Security | panda_url_filtering.exe, pavfnsvr.exe, pavsrv.exe, psanhost.exe, PSANHost.EXE, pselamsvc.EXE, PSUAMain.EXE, PSUAService.EXE, pangps.exe |
| Qualys | qualys-cloud-agent.exe, QualysAgent.exe |
| Rapid7 | ir_agent.exe, rapid7_endpoint.exe |
| Red Canary | RedCanaryAgent.exe |
| Sangfor | CSAAgent.exe, CSAService.exe, SangforAgent.exe, SangforCSA.exe, SangforEDR.exe, SangforInterface.exe, SangforMonitor.exe, SangforProtect.exe, SangforService.exe, SangforTray.exe, SangforUD.exe |
| SentinelOne | Sentinel.exe, SentinelAgent.exe, SentinelAgentWorker.exe, SentinelCtl.exe, SentinelHelperService.exe, SentinelMemoryScanner.exe, SentinelPowerShellExtension.exe, SentinelRanger.exe, SentinelServiceHost.exe, SentinelStaticEngine.exe, SentinelStaticEngineScanner.exe, SentinelUI.exe |
| SonicWall | SonicWallClientProtectionService.exe, swc_service.exe |
| Sophos | hmpalert.exe, McsAgent.exe, McsClient.exe, SavApi.exe, SAVAdminService.exe, SAVService.exe, SEDService.exe, SophosADSyncService.exe, SophosClean.exe, SophosCleanM64.exe, SophosFIMService.exe, SophosFS.exe, SophosHealth.exe, SophosLiveQueryService.exe, SophosMTR.exe, SophosMTRExtension.exe, SophosNetFilter.exe, SophosNtpService.exe, SophosOsquery.exe, SophosOsqueryExtension.exe, Sophos.PolicyEvaluation.Service.exe, SophosSafestore64.exe, SophosUI.exe, SophosUpdateMgr.exe, sophosav.exe, sophossps.exe, SSPService.exe |
| Tanium | TaniumClient.exe, TaniumCX.exe, tanclient.exe |
| ThreatLocker | ThreatLockerConsent.exe, threatlockerservice.exe, threatlockertray.exe |
| TrendAI | coreFrameworkHost.exe, coreServiceShell.exe, NTRTScan.exe, ntrtscan.exe, Ntrtscan.exe, OfcService.exe, ofcDdaSvr.exe, PccNTMon.exe, PccNt.exe, TISafe.exe, TISafeSvc.exe, TmCCSF.exe, tmicAgentSetting.exe, TMBMSRV.exe, Tmbmsrv.exe, tm_netsrv.exe, TmListen.exe, tmntsrv.exe, TmPfw.exe, tmproxy.exe, TmProxy.exe, TmPreFilter.exe, TmSSClient.exe, TmsaInstance64.exe, TmWscSvc.exe, VOneAgentConsole.exe, VOneAgentConsoleTray.exe |
| Uptycs | VectorAgent.exe, UptycsAgent.exe |
| Varonis | DatAdvantage.exe, VaronisAgent.exe |
| WatchGuard | wlcsservice.exe |
| Webroot | WRSA.exe, WRSkyClient.exe, WRSVC.exe, wrsa.exe |
| Windows Sysinternals | Sysmon.exe, Sysmon64.exe |
| Zscaler | zlclient.exe |
Variantes de GentleKiller
Cada variante de GentleKiller suplanta un producto diferente y abusa de un driver malicioso o vulnerable distinto. La Tabla 3 presenta una lista de las ocho variantes de GentleKiller que hemos observado hasta el momento. El <suffix> hace referencia al patrón de nomenclatura explicado en la Tabla 1. Los nombres de los drivers corresponden a cómo GentleKiller los descarga en disco.
Tabla 3. Lista de variantes de GentleKiller
| Variant name | Filenames | Abused driver |
| Kaspersky | Kasp | eb.sys, a rootkit (PoC) |
| FACEIT Anti-Cheat | FaceIT | nseckrnl.sys, NSecsoft NSecKrnl driver (PoC) |
| Valorant | Valorant | GameDriverX64.sys, an anti-cheat driver (PoC) |
| Javelin | EAAntiCheat EASolo | stpm_(old|new).sys, two vulnerable ProcessMonitor Driver samples by Safetica (PoC) |
| WatchDog | BitD | dmx.sys, Zemana’s WatchDog Antimalware Driver (PoC) |
| Network Blocker | MB | 360netmon_wfp.sys, a vulnerable driver by Qihoo 360 Technology (PoC) |
| Cleaner | Deletor.exe | IMFForceDelete, IObit’s IMF ForceDelete filter driver (PoC); the driver is dropped without the trailing .sys extension |
| G11 | G11 Symantec | PoisonX, a rootkit (PoC) |
EDR killers de terceros
Además de GentleKiller, desarrollado internamente, Gentlemen ha incorporado múltiples soluciones de terceros a su suite, resumidas en la Tabla 4 y descritas en las siguientes secciones. El <suffix> hace referencia al patrón de nomenclatura explicado en la Tabla 1. Los nombres de los drivers corresponden a cómo los EDR killers asociados los descargan en disco.
Tabla 4. Lista de programas de desactivación de EDR de terceros ofrecidos por Gentlemen
| ESET name for the EDR killer | Filenames | Abused driver |
| HexKiller | Avast | googleApiUtil64.sys, Baidu Antivirus BdApi driver |
| ThrottleBlood | Sent | ThrottleBlood.sys, driver by TechPowerUp LLC |
| HavocKiller | HwAudKiller.exe Sophos | havoc.sys, Huawei Audio driver |
HexKiller
HexKiller es un EDR killer que previamente habíamos evaluado como exclusivo de la banda Warlock. Por lo tanto, su aparición en intrusiones de Gentlemen resulta inesperada y relevante.
Detectamos HexKiller desplegado junto con binarios de GentleKiller dentro del directorio GentlemenCollection. No obstante, su presencia en intrusiones de Gentlemen no implica, por sí sola, una colaboración directa o una superposición operativa entre las bandas Gentlemen y Warlock. Es plausible que los operadores de Gentlemen hayan obtenido HexKiller por vías indirectas, como intercambios privados, canales secundarios de distribución o filtraciones de muestras, sin necesidad de interacción directa con Warlock. Por lo tanto, no consideramos esto evidencia de una relación más profunda entre ambos grupos.
ThrottleBlood
Este EDR killer ha sido observado repetidamente en intrusiones llevadas a cabo por afiliados de MedusaLocker y, con menor frecuencia, por afiliados de DragonForce. Además, fue relacionó a Gentlemen por Trend Micro en septiembre de 2025.
Actualmente, no contamos con evidencia suficiente para determinar de forma concluyente el origen de ThrottleBlood. En nuestra telemetría, aparece desplegado de manera destacada en múltiples intrusiones de MedusaLocker y de forma ocasional en actividad relacionada con DragonForce. Estos incidentes muestran poca superposición operativa más allá del uso de ThrottleBlood en sí. Una posible explicación es que ThrottleBlood se distribuya comercialmente en mercados clandestinos o, alternativamente, que sea una herramienta desarrollada por los operadores de MedusaLocker y compartida con sus afiliados, algunos de los cuales podrían también tener vínculos con DragonForce.
Sin embargo, ninguna de estas hipótesis explica completamente cómo una muestra de ThrottleBlood llegó a manos de Gentlemen. En consecuencia, no podemos descartar la posibilidad de que Gentlemen haya adquirido la herramienta a través de una filtración fuera de su contexto original. Lo que sí afirmamos con alto grado de certeza es que Gentlemen no desarrolló este EDR killer internamente.
HavocKiller
HavocKiller es la última incorporación al arsenal de EDR killers de Gentlemen. Si bien la herramienta fue divulgada públicamente por Huntress el 19 de marzo de 2026, la telemetría de ESET confirma su uso en intrusiones reales al menos desde el 23 de enero de 2026, lo que indica que estuvo operativa durante semanas antes de su reporte público. También podemos corroborar la evaluación de Huntress respecto de su propósito: en todos los casos observados por ESET, el despliegue de HavocKiller formaba parte de actividad relacionada con ransomware.
En función de sus características técnicas, evaluamos que HavocKiller no fue desarrollado por los operadores de Gentlemen, sino que fue obtenido por medios externos. Aunque las muestras fueron desplegadas dentro del directorio GentlemenCollection y se les aplicaron las técnicas estándar de evasión de defensas de Gentlemen, la implementación subyacente difiere significativamente de GentleKiller. Esto sugiere fuertemente que HavocKiller es un EDR killer de terceros adaptado a nivel operativo, pero cuya arquitectura no encaja dentro del framework de Gentlemen.
OxideHarvest
También detectamos varios despliegues de una herramienta a la que denominamos OxideHarvest, un credential stealer escrito en Rust. Dado que Rust no es el lenguaje de programación habitual de Gentlemen, no atribuimos esta herramienta al grupo. Sin embargo, como señaló Check Point, un afiliado de Gentlemen llamado quant mantiene una herramienta denominada buildx641, cuyo nombre y funcionalidad nos remitieron inmediatamente a OxideHarvest. De hecho, tras una investigación adicional, encontramos una muestra de OxideHarvest denominada buildx641.exe subida a VirusTotal; concluimos que buildx641 y OxideHarvest son la misma herramienta.
OxideHarvest se distribuye empaquetado con distintos packers, a menudo imitando software legítimo en la información de versión y el ícono (de forma similar, aunque no idéntica, a lo que hace Gentlemen con GentleKiller). El payload protegido es un credential stealer simple y directo. Para funcionar, OxideHarvest requiere que el usuario especifique, como opciones de línea de comandos, la lista de hosts (-i), el nombre de usuario (-u), la contraseña (-u), el número de hilos (-t) y un archivo de salida (-o). La herramienta utiliza luego las credenciales proporcionadas para iniciar sesión en los hosts especificados (indicados en un archivo de texto delimitado por saltos de línea), emplea multithreading y exfiltra las credenciales en el archivo de salida indicado. La Figura 9 muestra el resultado del comando –help OxideHarvest, y la Tabla 5 presenta su configuración, que determina qué credenciales son objetivo.
Tabla 5. Configuración integrada de OxideHarvest
{
"chronium_browsers": [
[
"Google Chrome",
"\\Google\\Chrome\\User Data",
true
],
[
"Google Chrome Beta",
"\\Google\\Chrome Beta\\User Data",
true
],
[
"ChromeBeta",
"\\Google\\Chrome SxS\\User Data",
true
],
[
"Chromium",
"\\Chromium\\User Data",
true
],
[
"Microsoft Edge",
"\\Microsoft\\Edge\\User Data",
true
],
[
"Torch",
"\\Torch\\User Data",
true
],
[
"Comodo",
"\\Comodo\\Dragon\\User Data",
true
],
[
"Nichrome",
"\\Nichrome\\User Data",
true
],
[
"Maxthon5",
"\\Maxthon5\\Users",
true
],
[
"Epic Privacy Browser",
"\\Epic Privacy Browser\\User Data",
true
],
[
"Vivaldi",
"\\Vivaldi\\User Data",
true
],
[
"QIP",
"\\QIP Surf\\User Data",
true
],
[
"Cent",
"\\CentBrowser\\User Data",
true
],
[
"Elements",
"\\Elements Browser\\User Data",
true
],
[
"TorBro",
"\\TorBro\\Profile",
true
],
[
"CryptoTab",
"\\CryptoTab Browser\\User Data",
true
],
[
"Brave",
"\\BraveSoftware\\Brave-Browser\\User Data",
true
],
[
"Opera",
"\\Opera Software\\Opera Stable\\",
false
],
[
"OperaGX",
"\\Opera Software\\Opera GX Stable\\",
false
],
[
"Opera Neon",
"\\Opera Software\\Opera Neon\\User Data",
false
]
],
"gecko_browsers": [
[
"Mozila Firefox",
"\\Mozilla\\Firefox\\Profiles\\",
false
],
[
"Slim",
"\\FlashPeak\\SlimBrowser\\Profiles\\",
false
],
[
"PaleMoon",
"\\Moonchild Productions\\Pale Moon\\Profiles\\",
false
],
[
"Waterfox",
"\\Waterfox\\Profiles\\",
false
],
[
"Cyberfox",
"\\8pecxstudios\\Cyberfox\\Profiles\\",
false
],
[
"BlackHawk",
"\\NETGATE Technologies\\BlackHawk\\Profiles\\",
false
],
[
"IceCat",
"\\Mozilla\\icecat\\Profiles\\",
false
],
[
"KMeleon",
"\\K-Meleon\\",
false
]
]
}Conclusión
Gentlemen demuestra un enfoque interesante: EDR killers gestionados por los operadores, listos para ser utilizados por los afiliados. Mientras que la mayoría de las bandas de ransomware continúan delegando el EDR killing en los afiliados, Gentlemen optó por centralizar esta función ofreciendo a los afiliados una suite de EDR killers estandarizada y lista para usar. Esta decisión convierte a Gentlemen en un operador atractivo para los afiliados, ya que reduce significativamente la barrera de entrada y, en consecuencia, simplifica su trabajo.
Este modelo difiere incluso de las pocas excepciones conocidas dentro del ecosistema. En el caso de RansomHub, los operadores invirtieron en un único EDR killer, EDRKillShifter, desarrollado completamente in‑house. Gentlemen, en cambio, mantiene un portafolio diverso de EDR killers, combinando desarrollo propio (GentleKiller) con herramientas de terceros o divulgadas públicamente adaptadas rápidamente (HexKiller, ThrottleBlood y HavocKiller). La aplicación consistente de técnicas de evasión de defensas en estas herramientas también dificulta la atribución directa cuando las muestras se analizan de forma aislada.
Dado que las técnicas de EDR killing continúan comoditizándose y circulando en comunidades clandestinas, esta publicación subraya la necesidad de realizar investigaciones y análisis a nivel de incidente. Sin este contexto, es probable que los EDR killers de Gentlemen sean mal atribuidos o no atribuidos en absoluto, ocultando el verdadero alcance de la participación de este operador. Gracias a nuestra visibilidad continua sobre intrusiones de Gentlemen, pudimos ofrecer protección frente a los ataques del grupo meses antes de que la reciente filtración confirmara nuestras hipótesis de alta confianza sobre su suite de EDR killers.
El framework GentleKiller ilustra un equilibrio deliberado entre desarrollo interno y reutilización pragmática de investigación externa. Si bien algunos componentes muestran signos de implementación apresurada o falta de uniformidad, el conjunto de herramientas en su totalidad demuestra una alta efectividad operativa y una integración estrecha dentro del flujo de trabajo de ransomware de Gentlemen. La capacidad del grupo para adaptar PoCs BYOVD recién publicados en cuestión de días refuerza aún más su agilidad.
Desde la perspectiva defensiva, comprender el funcionamiento de GentleKiller permite a los defensores diseñar mejores estrategias de protección y prepararse incluso frente a futuras incorporaciones aún no desarrolladas dentro del arsenal de EDR killing de Gentlemen.
Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, ponte en contacto con nosotros en threatintel@eset.com.ESET Research ofrece informes privados de inteligencia sobre APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.
IoCs
Archivos
| SHA-1 | Filename | Detection | Description |
| 8AE6BD18B129061F6364 | Kasps.exe | Win64/KillAV.EA | GentleKiller (Kaspersky variant). |
| BA914FE77B177B457994 | eb.sys | Win64/Agent.ITG | A custom rootkit used by the Kaspersky variant of GentleKiller. |
| D605994FC72A2BB59B5C | FaceIT1.exe | Win64/KillAV.EA | GentleKiller (FACEIT Anti-Cheat variant, Enigma-protected). |
| B0B912A3FD1C05D72080 | nseckrnl.sys | Win64/VulnDriver | NSecsoft NSecKrnl driver abused by the FACEIT Anti-Cheat variant of GentleKiller. |
| 5AA3124E5C4921E5EDFC | Valorant2.exe | Win64/KillAV.EA | GentleKiller (Valorant variant, Themida-protected). |
| 7556AE58C215B8245A43 | vgk.sys | Win64/VulnDriver | Tower of Fantasy AntiCheat driver abused by the Valorant variant of GentleKiller. |
| 331879F5EEC8892BBD89 | EASolo2Light.exe | Win64/KillAV.EA | GentleKiller (Javelin variant abusing Safetica’s newer driver). |
| F11AEBCCB9A86A7E2E65 | EASOLO1clear.exe | Win64/KillAV.EA | GentleKiller (Javelin variant abusing Safetica’s older driver). |
| EF9CD06683159397F099 | EAAntiCheatLight | Win64/KillAV.EA | GentleKiller (Javelin variant abusing both drivers). |
| 711EF221526997039E80 | stpm_old.sys | Win64/VulnDrive | Safetica’s Process Monitor Driver (older) abused by the Javelin variant of GentleKiller. |
| 68FEC379F2AE76C3D2CE | stpm_new.sys | Win64/VulnDrive | Safetica’s Process Monitor Driver (newer) abused by the Javelin variant of GentleKiller. |
| A11EE9CDC59E5CAA59AE | BitD1.exe | Win64/KillAV.EA | GentleKiller (WatchDog variant, Themida-protected). |
| 96F0DBF52AED0AFD43E4 | dmx.sys | Win64/VulnDrive | Zemana’s WatchDog Antimalware Driver abused by the WatchDog variant of GentleKiller. |
| 2F86898528C6CAB3540C | MB2.exe | Win64/KillAV.EA | GentleKiller (Network Blocker variant, Themida-protected). |
| 9AD51AD97C01E97AB592 | 360netmon_wfp.sys | Win64/VulnDrive | 360netmon.sys driver abused by the Network Blocker variant of GentleKiller. |
| A19117175DBC9BA4D23B | Deletor.exe | Win64/KillAV.EA | GentleKiller (Cleaner variant). |
| 12500F6C87CE62712A0E | IMFForceDelete | Win64/VulnDrive | IMF ForceDelete filter driver abused by the Cleaner variant of GentleKiller. |
| D29670E684E40DDC89B4 | Symantec.exe | Win64/KillAV.EA | GentleKiller (G11 variant). |
| 56BEE9DF5833A637F5C5 | G11.sys | Win64/Agent.IYQ | PoisonX rootkit used by the G11 variant of GentleKiller. |
| CF4D74DF17A91B4A36A2 | Avast.exe | Win32/KillAV.NVL | HexKiller incorporated into Gentlemen modus operandi by adding the evasion layer. |
| EC296F9501AD71E43081 | googleApiUtil64 | Win64/VulnDrive | Baidu Antivirus BdApi driver abused by HexKiller. |
| 7131B377E96016DC1911 | Sent.exe | Win64/KillAV.AT | ThrottleBlood incorporated into Gentlemen modus operandi by adding the evasion layer. |
| 82ED942A52CDCF120A89 | ThrottleBlood.sys | Win64/VulnDrive | ThrottleStop.sys driver abused by ThrottleBlood. |
| F0537CBB773AE12100B3 | Sophos.exe | Win64/KillAV.DE | HavocKiller incorporated into Gentlemen modus operandi by adding the evasion layer. |
| 1FA071303FB846308571 | havoc.sys | Win64/VulnDrive | Vulnerable driver abused by HavocKiller. |
| A5CF917EC4A7DFBDFA43 | buildx641.exe | Win64/Spy.Agent.AGC | OxideHarvest. |
| D4B19141102015D43632 | buildx64.exe | Win64/Spy.Agent.AGC | OxideHarvest. |
Técnicas de MITRE ATT&CK
Esta tabla se ha elaborado utilizando la versión 19 del marco MITRE ATT&CK.
| Tactic | ID | Name | Description |
| Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell | GentleKiller and related tools are console-based executables that run visibly and emit debug strings during execution. |
| T1106 | Native API | User-mode components interact directly with kernel drivers via DeviceIoControl and other native Windows APIs to perform privileged actions. | |
| Persistence | T1543.003 | Create or Modify System Process: Windows Service | The EDR killers install and start vulnerable or malicious drivers as services prior to exploitation. |
| Stealth | T1036 | Masquerading | Gentlemen’s EDR killers are protected by impersonating legitimate vendors through filenames, version information, icons, and copied digital certificates. |
| T1036.001 | Masquerading: Invalid Code Signature | The protection applied to Gentlemen’s EDR killers adds an invalid code signature as part of the impersonation strategy. | |
| T1027 | Obfuscated Files or Information | Some executables are protected with packers (e.g., Enigma, Themida) and custom control-flow obfuscation. | |
| Defense Impairment | T1685 | Disable or Modify Tools | GentleKiller and other EDR killers that Gentlemen is in possession of aim to bypass security products such as EDRs. |
¡Para todos nuestros lectores!
Aprovechen esta oportunidad de obtener un trial gratuito de 30 días para Google Workspace, la mejor solución para tu empresa. Disfruta de todas sus funcionalidades, como correo electrónico personalizado, almacenamiento en la nube y herramientas de colaboración.
