Investigadores de ESET han realizado un análisis exhaustivo del conjunto de herramientas de eliminación de EDR del grupo de ransomware Gentlemen, que ha surgido como una de las bandas más activas en el ecosistema de ransomware desde principios de 2026. Este grupo se distingue por su sofisticado conjunto de herramientas de eliminación de respuesta y detección de endpoints (EDR), mediante el cual puede interrumpir software de seguridad. A diferencia de muchas otras bandas de alto perfil, Gentlemen no se concentra en víctimas estadounidenses, sino que dirige sus ataques hacia regiones de Asia Sudoriental, América del Sur y Europa Occidental.
A pesar de que ha habido numerosos informes sobre Gentlemen en los últimos meses, pocos se han centrado en un análisis detallado de sus herramientas de eliminación de EDR. Gracias a la visibilidad continua de los incidentes, ESET ha podido ofrecer una visión profunda sobre las prácticas de desarrollo de estas herramientas. Además, una filtración de datos internos del grupo en mayo de 2026 ha proporcionado información valiosa sobre su funcionamiento interno.
La filtración confirmó la hipótesis que ESET había formulado a principios de 2026, en la que se indicaba que los operadores de Gentlemen desarrollan y mantienen una cartera de herramientas de eliminación de EDR que ofrecen a sus afiliados. Esta cartera se centra en un marco interno que han nombrado GentleKiller, y también incluye herramientas de terceros o filtradas, como HexKiller, ThrottleBlood y HavocKiller. Estas herramientas están estandarizadas mediante una capa de evasión de defensa compartida, que imita principalmente a proveedores de seguridad mediante información de versión falsa y certificados e íconos legítimos copiados.
Además, Gentlemen exhibe la capacidad de operacionalizar rápidamente pruebas de concepto de Controlador de Vulnerabilidad Traído por el Usuario (BYOVD) recién divulgadas, a menudo en cuestión de días después de su publicación.
Los operadores de Gentlemen diseñan y mantienen un conjunto de herramientas para eliminar EDR que se ofrecen directamente a los afiliados. GentleKiller es un marco interno que tiene al menos ocho variantes que abusan de diferentes controladores vulnerables o maliciosos. La estrategia de evasión unificada del grupo a través de estas herramientas estandariza la impersonación y la protección.
El modelo de Gentlemen, que centraliza la eliminación de EDR, reduce significativamente la barrera de entrada para los afiliados, permitiéndoles realizar sus actividades con mayor facilidad. Este enfoque es notablemente diferente del que adoptan otras operaciones de ransomware, donde los afiliados son responsables de encontrar sus propias herramientas de eliminación de EDR.
Mientras que muchos grupos de ransomware tienden a concentrarse en víctimas de Estados Unidos, Gentlemen apunta en cambio a una diversidad geográfica más amplia. Analizando la filtración de datos recientes, se evidencia que al elegir sus víctimas, Gentlemen utiliza un enfoque centralizado, priorizando la configuración errónea del firewall de las potenciales víctimas.
En su conjunto, las prácticas operativas de Gentlemen y su cartera de herramientas EDR indican que están entre las bandas de ransomware más técnicamente ágiles y avanzadas que operan en el 2026. Con el crecimiento de las técnicas de eliminación de EDR dentro de comunidades subterráneas, la investigación de ESET resalta la importancia de un análisis orientado al incidente para entender la verdadera magnitud de la participación de este grupo en el ecosistema del ransomware global.
Fuente: WeLiveSecurity by eSet.
