18 czerwca ESET opublikował analizę GentleKiller — wewnętrznego frameworka do zabijania EDR, którego używa gang ransomware Gentlemen, jeden z pięciu najaktywniejszych w pierwszym kwartale 2026. Framework systematycznie wyłącza narzędzia bezpieczeństwa endpointów, zanim ransomware zaszyfruje dane. Celuje w ponad 400 procesów przypisanych do 48 produktów bezpieczeństwa — w tym liderów branży: Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Palo Alto Networks, ESET, Bitdefender, Kaspersky i McAfee/Trellix. Działa w pętli, skanując i zabijając wybrane procesy co dwie sekundy.
Ale najważniejsza w tej historii nie jest sama liczba zabijanych procesów. Najważniejsze jest jak szybko Gentlemen zamienia publicznie ujawniony kod ataku w działające narzędzie — bo to jest dokładnie ten wątek, który prowadzimy od tygodni, tylko po drugiej stronie.
Narzędzie bezpieczeństwa jako broń — znów, ale odwrotnie
Przez ostatnie tygodnie opisywaliśmy wzorzec „narzędzie bezpieczeństwa jako wektor": FortiClient EMS, Apex One, FortiSandbox — gdzie atakujący przejmował narzędzie obronne, by rozprowadzić malware. GentleKiller to ten sam motyw obrócony o 180 stopni: tu narzędzie bezpieczeństwa nie jest wektorem, jest celem do zabicia. A bronią, którą się je zabija, jest inny legalnie podpisany sterownik.
Technika to BYOVD — Bring Your Own Vulnerable Driver. Atakujący ładuje legalnie podpisany, ale podatny sterownik jądra, by terminować procesy bezpieczeństwa na poziomie kernela, omijając ochrony przestrzeni użytkownika. To jest ten sam poziom — jądro systemu — który opisywaliśmy przy SprySOCKS i jego sterowniku WIN_DRV. Sterownik działa poniżej tego, co widzi EDR, więc EDR nie może się obronić przed czymś, co operuje głębiej niż on sam. Antywirus zostaje zabity przez sterownik antycheata do gry albo przez sterownik innego antywirusa.
Osiem wariantów GentleKiller nadużywa sterowników od: Kaspersky (eb.sys), antycheata FACEIT (nseckrnl.sys), Valoranta (GameDriverX64.sys), Javelin/Safetica (stpm), Zemana WatchDog (dmx.sys), Qihoo 360, IObit oraz rootkita PoisonX. Każdy wariant podszywa się przy tym pod inny legalny produkt bezpieczeństwa — co jest osobną warstwą maskowania, do której zaraz wrócimy.
Sednem: operacjonalizacja PoC w dni, nie tygodnie
Tu jest cecha, która wyróżnia Gentlemen i która jest dla nas najważniejsza.
Definiującą zdolnością Gentlemen jest umiejętność operacjonalizowania świeżo opublikowanych PoC exploitów BYOVD w ciągu dni od ich publicznego ujawnienia. Narzędzia takie jak UnknownKiller i PoisonKiller zostały wcielone do arsenału GentleKiller w ciągu dni od ich ujawnienia na GitHubie. To odróżnia Gentlemen od większości operatorów RaaS, którzy zwykle czekają tygodnie albo miesiące, zanim zaadaptują publicznie wydane exploity do gotowych do użycia narzędzi.
To jest dokładnie odbicie wątku, który prowadzimy od HTTP/2 Bomb, PAN-OS i FortiSandbox: czas między publicznym ujawnieniem kodu a jego użyciem w ataku skurczył się do dni. Tam chodziło o exploity na podatności — łatka albo PoC stawały się sygnałem startowym. Tutaj chodzi o PoC techniki BYOVD — ktoś publikuje na GitHubie narzędzie demonstrujące, jak wykorzystać dany podatny sterownik, a Gentlemen w kilka dni wpina je do produkcyjnego frameworka dystrybuowanego afiliantom.
Przy FortiSandbox pisaliśmy, że AI obniża barierę pisania exploitów. GentleKiller pokazuje drugą stronę tego samego zjawiska: nie chodzi tylko o to, że pisanie exploita jest łatwiejsze, ale o to, że istnieje dojrzały, dobrze finansowany pipeline, który przemysłowo przetwarza publiczne PoC w gotowe narzędzia. Publiczny kod demonstracyjny nie jest już końcem — jest wsadem do fabryki.
Warstwa evasion, która rujnuje atrybucję
Jest w analizie ESET szczegół, który ma konsekwencje wykraczające poza sam GentleKiller — i wiąże się z czymś, co opisywaliśmy przy Miasmie.
Poza własnym GentleKiller, Gentlemen integruje też trzy zewnętrzne EDR-killery: HexKiller (wcześniej przypisywany wyłącznie gangowi Warlock, nadużywa sterownika Baidu Antivirus), ThrottleBlood (widziany wcześniej w atakach MedusaLocker i DragonForce, nadużywa sterownika TechPowerUp) oraz HavocKiller (ujawniony przez Huntress 19 marca 2026, nadużywa sterownika Huawei Audio). Wszystkie trzy są standaryzowane przez wspólną warstwę unikania wykrycia — packery Enigma lub Themida, sfałszowane informacje o wersji, skopiowane podpisy cyfrowe i pasujące ikony.
I tu jest sedno: Gentlemen stosuje swoją strategię evasion na poziomie skompilowanej binarki, co pozwala chronić nawet te EDR-killery, których kodu źródłowego nie posiada. To tworzy poważne problemy z atrybucją — narzędzia różnych grup ransomware wyglądają niemal identycznie po przejściu przez pipeline standaryzacji Gentlemen.
To jest ten sam efekt, który opisywaliśmy przy Miasmie i open-source'owaniu Shai-Huluda: gdy narzędzia są współdzielone i standaryzowane, atrybucja staje się strukturalnie niemożliwa. Tam grupy dzieliły kod źródłowy. Tutaj Gentlemen bierze narzędzia różnego pochodzenia i przepuszcza je przez wspólną „pralnię", po której wszystkie wyglądają tak samo. Analityk patrzący na zabite EDR nie wie już, czy to Warlock, MedusaLocker, czy Gentlemen — bo wszystkie noszą ten sam, ujednolicony kostium.
To jest też kontynuacja motywu podszywania się pod zaufane podpisy, który widzieliśmy przy ShinyHunters maskujących MeshCentral pod Azure i FortiClient EMS udającym aktualizację Fortinet. Skopiowany podpis cyfrowy i ikona prawdziwego antywirusa sprawiają, że narzędzie zabijające EDR samo wygląda jak produkt bezpieczeństwa.
Kim są Gentlemen
Kontekst grupy pomaga zrozumieć, czemu ten framework jest tak dopracowany. Gentlemen pojawili się pod koniec 2025 jako operacja RaaS założona przez aktora hastalamuerte — byłego afilianta Qilin — i szybko stali się jednym z pięciu najaktywniejszych gangów ransomware w pierwszym kwartale 2026.
W odróżnieniu od większości dużych grup, które celują głównie w USA, Gentlemen świadomie atakują ofiary w Azji Południowo-Wschodniej, Ameryce Południowej i Europie Zachodniej, dobierając cele przede wszystkim na podstawie błędnych konfiguracji FortiGate, nie kryteriów geograficznych. To znaczące w świetle wczorajszego FortiBleed — Gentlemen polują na te same źle skonfigurowane urządzenia Fortinet, które FortiBleed pokazał jako masowo wystawione. Źle skonfigurowany FortiGate jest drzwiami; GentleKiller jest tym, co dzieje się po wejściu.
Model dystrybucji jest tym, co czyni GentleKiller groźnym w skali: Gentlemen udostępniają afiliantom scentralizowany, utrzymywany przez operatora zestaw EDR-killerów — model rzadki nawet wśród najlepszych operacji ransomware. Zwykle afilianci radzą sobie sami z omijaniem EDR. Tu dostają gotowe, profesjonalnie utrzymywane narzędzie, aktualizowane o najnowsze PoC. Do tego niezwykle hojny podział zysków 90% dla afilianta — co obniża barierę wejścia i przyspiesza rekrutację. Gang używa też OxideHarvest, stealera poświadczeń napisanego w Rust, zbierającego dane logowania z przeglądarek. Sama istnienie operatorskiego zespołu rozwijającego GentleKiller potwierdził wewnętrzny wyciek danych z maja 2026.
Co zrobić
Priorytetem jest blokowanie podatnych sterowników, bo cała technika BYOVD opiera się na załadowaniu legalnie podpisanego, ale dziurawego sterownika.
Wdróż allowlisting sterowników i wymuś Microsoft Vulnerable Driver Blocklist. To jest pierwsza linia obrony przeciw BYOVD — jeśli system nie pozwoli załadować znanego podatnego sterownika, cały mechanizm GentleKiller się nie uruchomi. Blocklist Microsoftu pokrywa wiele sterowników z arsenału Gentlemen, ale trzeba go faktycznie włączyć i utrzymywać aktualnym.
Monitoruj ładowanie sterowników jądra jako zdarzenie. Anomalne załadowanie sterownika — szczególnie sterownika gry, antycheata albo obcego antywirusa na maszynie, która ich nie używa — to sygnał do natychmiastowego zbadania. Sterownik Valoranta na serwerze produkcyjnym nie ma legalnego powodu, by tam być.
Koreluj terminację procesów z instalacją sterowników. ESET wskazuje to jako najpewniejszy sygnał behawioralny: wzorzec, w którym tuż po załadowaniu nowego sterownika zaczynają masowo ginąć procesy oprogramowania bezpieczeństwa, jest sygnaturą GentleKiller i jego wariantów. Pojedynczo te zdarzenia mogą umknąć; w korelacji są jednoznaczne.
Szukaj katalogu staging GentlemenCollection. ESET wskazuje go jako konkretny wskaźnik obecności frameworka na hoście.
Napraw konfiguracje FortiGate. Skoro Gentlemen dobierają cele po błędnych konfiguracjach FortiGate, a FortiBleed pokazał, jak wiele urządzeń jest wystawionych, audyt i utwardzenie urządzeń Fortinet to nie jest osobny problem — to zamknięcie drzwi, przez które GentleKiller wchodzi.
Źródła
ESET / WeLiveSecurity — oryginalny research „Killing Me Gently: Inside Gentlemen's EDR-killer framework" z pełną analizą ośmiu wariantów i sterowników: https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/
Cyber Security News — omówienie z listą celowanych produktów i kontekstem grupy Gentlemen: https://cybersecuritynews.com/gentlekiller-ransomware-edr-processes/
Huntress — pierwotne ujawnienie HavocKiller (19 marca 2026): https://www.huntress.com/blog/havockiller-edr-killer-analysis
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł