Opisaliśmy GentleKiller — framework do zabijania EDR, który terminuje ponad 400 procesów 48 produktów bezpieczeństwa. Ale GentleKiller to narzędzie. Ciekawsza jest organizacja, która je zbudowała, utrzymuje i rozdaje afiliantom — bo to ona, nie pojedyncze narzędzie, jest tym, co czyni Gentlemen groźnymi.
Po TeamPCP i Handali to trzeci profil grupy w naszej serii. I jak przy tamtych, opisywanie Gentlemen przez pryzmat pojedynczego ataku mija się z celem. Trzeba pokazać model.
Nie kolejny gang ransomware — operacja, która uprzemysłowiła omijanie EDR
Klasyczny gang ransomware ma payload szyfrujący, stronę wycieków i afiliantów, którzy sami radzą sobie z wejściem do sieci i ominięciem zabezpieczeń. Każdy afiliant kombinuje na własną rękę, jak wyłączyć antywirusa ofiary. To jest wąskie gardło i źródło niespójności.
Gentlemen zrobili coś, co ESET nazywa rzadkim nawet wśród najlepszych operacji ransomware: zbudowali scentralizowany, utrzymywany przez operatora zestaw narzędzi do zabijania EDR i udostępniają go afiliantom jako gotową usługę. To jest sedno tego, czym ta grupa jest — nie „kolejny RaaS", ale operacja, która wzięła najtrudniejszy techniczny etap ataku ransomware (ominięcie nowoczesnego EDR działającego na poziomie jądra) i zamieniła go w produkt z centralnym wsparciem.
To ta sama logika „od grupy do platformy", którą opisywaliśmy przy TeamPCP — tyle że TeamPCP uprzemysłowił generowanie dostępu, a Gentlemen uprzemysłowili omijanie obrony. Afiliant Gentlemen nie musi umieć pokonać CrowdStrike'a ani SentinelOne. Dostaje narzędzie, które robi to za niego, aktualizowane przez operatorów o najnowsze techniki.
Skąd przyszli: Qilin i narodziny pod koniec 2025
Gentlemen pojawili się pod koniec 2025 roku jako operacja ransomware-as-a-service założona przez aktora o pseudonimie hastalamuerte — byłego afilianta Qilin, jednej z bardziej aktywnych grup ransomware poprzedniej generacji.
To jest istotny rodowód. hastalamuerte nie zaczynał od zera — wyszedł ze sprawnej operacji RaaS, znał model afiliancki od środka, wiedział, czego afiliantom brakuje. I zbudował operację, która adresuje dokładnie tę lukę: scentralizowane omijanie EDR. Wiedza wyniesiona z Qilin stała się fundamentem konkurencyjnej przewagi Gentlemen.
Tempo wzrostu było uderzające. Grupa, która wystartowała pod koniec 2025, w pierwszym kwartale 2026 była już jedną z pięciu najaktywniejszych operacji ransomware na świecie. To nie jest organiczny wzrost gangu budującego reputację latami — to jest skok, który tłumaczy się modelem biznesowym.
Model biznesowy: 90% dla afilianta
Tu jest liczba, która wyjaśnia tempo. Gentlemen oferują afiliantom niezwykle hojny podział zysków — 90% dla afilianta.
Żeby docenić, jak to nietypowe: standard w branży RaaS to zwykle 70–80% dla afilianta, a operator zatrzymuje 20–30% za dostarczenie payloadu, infrastruktury i wsparcia. Gentlemen zostawiają sobie 10%. To jest agresywna strategia akwizycji — operatorzy świadomie rezygnują z marży, żeby przyciągnąć jak najwięcej afiliantów jak najszybciej.
Logika jest spójna z modelem platformowym. Jeśli twoją przewagą jest scentralizowane narzędzie (GentleKiller i cały EDR-killer suite), to im więcej afiliantów go używa, tym więcej ataków, tym więcej danych o tym, które techniki działają, i tym szybciej narzędzie się rozwija. 90% revenue share obniża barierę wejścia i przyspiesza rekrutację — a każdy nowy afiliant zasila operację doświadczeniem bojowym. To jest growth hacking zastosowany do ransomware.
Dobór celów: konfiguracja, nie geografia
Jest w sposobie, w jaki Gentlemen wybierają ofiary, szczegół, który mówi o nich więcej niż lista zaatakowanych firm.
W odróżnieniu od większości dużych grup ransomware, które koncentrują się na celach w USA, Gentlemen świadomie celują w ofiary w Azji Południowo-Wschodniej, Ameryce Południowej i Europie Zachodniej. Ale kryterium geograficzne jest wtórne — grupa dobiera cele przede wszystkim na podstawie błędnych konfiguracji FortiGate, nie położenia.
To jest filozofia „atakuj słabość, nie region". Gentlemen nie mówią „chcemy uderzyć w kraj X". Mówią „pokażcie nam każdy źle skonfigurowany firewall FortiGate, a tam wejdziemy". Geografia ofiar jest skutkiem ubocznym tego, gdzie akurat są podatne urządzenia — nie celem samym w sobie.
Ten szczegół łączy Gentlemen wprost z wczorajszym FortiBleed — kampanią, która zebrała 86 tysięcy działających poświadczeń do firewalli Fortinet. Te dwa zjawiska to dwie strony tego samego rynku: jedni gromadzą dostęp do źle zabezpieczonych FortiGate, drudzy go wykorzystują. Źle skonfigurowany FortiGate jest drzwiami; GentleKiller jest tym, co dzieje się po wejściu; ransomware jest finałem.
Arsenał: własny, pożyczony i wyprany
Gentlemen nie polegają na jednym narzędziu. Ich zestaw dla afiliantów to dojrzałe portfolio, które warto rozpisać, bo pokazuje skalę operacji.
GentleKiller — własny framework EDR-killer w co najmniej ośmiu wariantach, każdy nadużywa innego podatnego sterownika jądra metodą BYOVD (Bring Your Own Vulnerable Driver), co opisaliśmy szczegółowo wczoraj.
Trzy zewnętrzne EDR-killery wcielone do suite: HexKiller (wcześniej przypisywany wyłącznie gangowi Warlock), ThrottleBlood (widziany w atakach MedusaLocker i DragonForce) oraz HavocKiller (ujawniony przez Huntress w marcu 2026). Gentlemen biorą narzędzia innych grup i integrują je do własnego zestawu.
OxideHarvest — stealer poświadczeń napisany w języku Rust, utrzymywany przez afilianta Gentlemen, zbierający dane logowania z przeglądarek opartych na Chromium i Gecko.
To, co spina ten arsenał, jest najciekawsze. Gentlemen stosują wspólną warstwę unikania wykrycia na poziomie skompilowanej binarki — packery Enigma lub Themida, sfałszowane informacje o wersji, skopiowane podpisy cyfrowe i ikony podszywające się pod producentów bezpieczeństwa. Robią to nawet z narzędziami, których kodu źródłowego nie posiadają. Efekt: narzędzia różnych grup ransomware wyglądają niemal identycznie po przejściu przez pipeline standaryzacji Gentlemen — co tworzy poważne problemy z atrybucją.
To jest ten sam efekt zacierania atrybucji, który opisywaliśmy przy Miasmie — tyle że tam wynikał z open-source'owania kodu, a tu z przemysłowego „prania" binariów. Analityk patrzący na zabite EDR nie wie, czy to Warlock, MedusaLocker, czy Gentlemen, bo wszystkie noszą ten sam, ujednolicony kostium.
Zdolność, która naprawdę ich wyróżnia: operacjonalizacja PoC w dni
Jest jedna cecha, którą ESET wskazuje jako definiującą Gentlemen — i która jest najważniejsza dla zrozumienia, dlaczego są groźni nie tylko dziś, ale i jutro.
Gentlemen potrafią operacjonalizować świeżo opublikowane PoC exploity BYOVD w ciągu dni od ich publicznego ujawnienia. Narzędzia takie jak UnknownKiller i PoisonKiller zostały wcielone do GentleKiller w ciągu dni od ujawnienia na GitHubie. To odróżnia ich od większości operatorów RaaS, którzy zwykle czekają tygodnie albo miesiące, zanim zaadaptują publiczny exploit do gotowego narzędzia.
To jest ten sam wątek „łatka i PoC to sygnał startowy", który prowadzimy od HTTP/2 Bomb i FortiSandbox — ale tu widać go jako stałą, instytucjonalną zdolność grupy. Gentlemen mają dojrzały, dobrze finansowany pipeline rozwojowy, który przemysłowo przetwarza publiczne PoC w gotowe do użycia narzędzia. Publiczny kod demonstracyjny techniki BYOVD nie jest dla nich końcem badania — jest wsadem do fabryki, z której w kilka dni wychodzi gotowy wariant dla afiliantów.
Jak ich zdemaskowano: wyciek wewnętrzny z maja 2026
Jest ironia w tym, jak wiele wiemy o Gentlemen — i skąd to wiemy.
Grupę dodatkowo obnażył wewnętrzny wyciek danych w maju 2026, który potwierdził, że jej operatorzy aktywnie rozwijają, utrzymują i dystrybuują GentleKiller oraz szerszy zestaw EDR-killerów zaufanym afiliantom. Gang, którego model biznesowy opiera się na kradzieży i wymuszeniu, sam padł ofiarą wycieku własnych danych.
Ten wyciek jest powodem, dla którego analiza ESET mogła być tak szczegółowa — potwierdził strukturę operacji, rolę operatorów i sposób dystrybucji narzędzi. To jest przypomnienie, że grupy przestępcze są organizacjami jak każde inne: mają wewnętrzne dane, infrastrukturę i — jak się okazuje — własne problemy z bezpieczeństwem. Wyciek od środka bywa dla badaczy cenniejszy niż miesiące analizy z zewnątrz.
Co to oznacza dla obrońcy
Gentlemen są groźni nie dlatego, że mają jedno świetne narzędzie, ale dlatego, że zbudowali model, który skaluje omijanie obrony. To zmienia priorytety obrony.
Po pierwsze — blokowanie podatnych sterowników jest teraz pierwszą linią, nie dodatkiem. Cała przewaga Gentlemen opiera się na BYOVD. Wymuszenie Microsoft Vulnerable Driver Blocklist i allowlisting sterowników łamie fundament ich modelu. Jeśli system nie pozwoli załadować podatnego sterownika, najlepszy nawet EDR-killer się nie uruchomi. To jest obrona, którą opisywaliśmy szczegółowo wczoraj.
Po drugie — naprawa konfiguracji FortiGate to nie osobny problem, to zamknięcie głównych drzwi Gentlemen. Skoro dobierają cele po błędnych konfiguracjach FortiGate, a FortiBleed pokazał skalę wystawienia, audyt urządzeń Fortinet odcina grupę od jej preferowanego wektora wejścia.
Po trzecie — model afiliancki oznacza, że nie ma „profilu typowego ataku Gentlemen". Różni afilianci, różne TTP wejścia, jeden wspólny zestaw narzędzi po wejściu. Detekcja musi więc celować w to, co wspólne: korelację instalacji sterownika z masową terminacją procesów bezpieczeństwa, katalog staging GentlemenCollection, anomalne ładowanie sterowników jądra. To są sygnatury narzędzi, nie konkretnego afilianta — i dlatego są najpewniejszym sygnałem.
Gentlemen nie są grupą, która zniknie, gdy zatrzymany zostanie hastalamuerte. Są modelem operacyjnym: scentralizowane omijanie EDR jako usługa, agresywny podział zysków, szybka operacjonalizacja publicznych PoC, dobór celów po słabości nie geografii. Tak jak przy TeamPCP — model będzie kontynuowany niezależnie od tego, kto go prowadzi, bo model działa.
Źródła
ESET / WeLiveSecurity — szczegółowa analiza GentleKiller, struktury operacji i wycieku wewnętrznego: https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/
Cyber Security News — profil grupy Gentlemen, model 90% revenue share i dobór celów po FortiGate: https://cybersecuritynews.com/gentlekiller-ransomware-edr-processes/
Huntress — pierwotne ujawnienie HavocKiller i kontekst EDR-killerów: https://www.huntress.com/blog/havockiller-edr-killer-analysis
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł