Pourquoi c’est important pour votre entreprise
- Gentlemen fournit directement à ses affiliés des outils pour désactiver les antivirus et logiciels de détection (EDR) — les entreprises ne peuvent plus compter uniquement sur ces outils.
- Le groupe pratique la double extorsion : chiffrement des données ET menace de publication en cas de non-paiement.
- Aucune zone géographique n’est épargnée : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest sont particulièrement ciblées.
- Le modèle économique du groupe (jusqu’à 90 % des revenus reversés aux affiliés) attire un nombre croissant d’attaquants.
Un fournisseur de rançongiciel qui pense comme une entreprise technologique
Apparu fin 2025, le groupe de ransomware-as-a-service (RaaS) Gentlemen s’est imposé en quelques mois comme l’un des acteurs les plus actifs de la cybercriminalité mondiale. Une nouvelle analyse publiée par les chercheurs d’ESET Research révèle ce qui distingue ce groupe de ses concurrents : au lieu de laisser ses affiliés se débrouiller pour contourner les logiciels de sécurité des entreprises visées, Gentlemen développe et fournit lui-même un arsenal complet d’outils dédiés à cette tâche.
Cette approche, inhabituelle dans l’écosystème des rançongiciels, s’accompagne d’un modèle de rémunération particulièrement attractif pour les affiliés, qui peuvent percevoir jusqu’à 90 % des revenus générés par une attaque réussie. Résultat : un flux constant de nouveaux attaquants équipés d’outils prêts à l’emploi, capables de désactiver les solutions de détection et de réponse aux incidents (EDR) que de nombreuses entreprises considèrent comme leur dernière ligne de défense.
GentleKiller : la clé de voûte technique de l’arsenal
Au cœur de cet arsenal figure GentleKiller, un outil propriétaire dont ESET a recensé huit variantes. Chacune se fait passer pour un logiciel légitime et exploite un pilote système vulnérable pour désactiver les protections en place — une technique connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD). Le groupe complète cet arsenal maison par plusieurs outils tiers, HexKiller, ThrottleBlood et HavocKiller, le tout harmonisé pour uniformiser les techniques de contournement.
« Grâce à notre visibilité continue sur les incidents impliquant ce groupe, nous sommes en mesure d’apporter un éclairage inédit sur les pratiques de développement mises en œuvre par ses opérateurs », indique Jakub Souček, chercheur chez ESET spécialisé dans l’étude des outils de contournement des EDR. Une fuite de données internes survenue en mai 2026 a par ailleurs confirmé qu’un véritable portefeuille d’outils est développé et maintenu en continu pour les affiliés du groupe.
Une menace mondiale, sans zone de confort géographique
Contrairement à la plupart des grands groupes de ransomware, dont les victimes revendiquées se concentrent à près de 50 % aux États-Unis, Gentlemen adopte une stratégie résolument internationale. Ses affiliés ont particulièrement ciblé l’Asie du Sud-Est, l’Amérique du Sud et l’Europe de l’Ouest, avec un intérêt marqué pour des pays habituellement moins exposés comme la Thaïlande, le Brésil ou la France. Déjà classé parmi les cinq groupes de ransomware les plus actifs du premier trimestre 2026, Gentlemen pratique en outre la double extorsion : chiffrement des systèmes et menace de publication des données volées en cas de refus de payer.
Cette dispersion géographique constitue un signal d’alerte pour les directions d’entreprise et les responsables de la sécurité des systèmes d’information, y compris dans des régions qui ne figurent pas historiquement parmi les cibles prioritaires des grands groupes RaaS.
Ce que les dirigeants doivent en retenir
Pour les directions générales et les responsables de la conformité, l’enseignement principal est clair : les défenses fondées exclusivement sur des solutions EDR ne suffisent plus face à des groupes disposant de capacités d’ingénierie dédiées à leur contournement. Selon Jakub Souček, comprendre les mécanismes internes de GentleKiller permet aux équipes de sécurité d’anticiper et d’adapter leurs stratégies de défense, renforçant ainsi la résilience des organisations face aux évolutions futures de cet arsenal.
L’analyse technique complète des chercheurs d’ESET Research, « Killing me gently: Inside Gentlemen’s EDR killer framework », est disponible sur WeLiveSecurity.com.
