Un opérateur qui arme ses revendeurs
Apparu à la fin de l'année 2025, le groupe Gentlemen s'est rapidement imposé comme l'une des menaces les plus actives du premier trimestre 2026. Il fonctionne sur le modèle du ransomware-as-a-service (RaaS), un schéma dans lequel les opérateurs développent et maintiennent la plateforme de rançonnage tandis que des affiliés – des pirates indépendants – louent cet accès pour mener leurs attaques. Comme d'autres groupes pratiquant la double extorsion, Gentlemen chiffre les données de ses victimes et menace de les divulguer si aucune rançon n'est versée.
Mais ce qui distingue particulièrement Gentlemen de ses concurrents, c'est la stratégie adoptée pour contourner les défenses des cibles. Là où la plupart des RaaS laissent chaque affilié se procurer ses propres outils de neutralisation, les opérateurs de Gentlemen ont développé et fournissent directement à leurs partenaires un arsenal dédié à la désactivation des solutions de sécurité – notamment les EDR (Endpoint Detection and Response). Selon les travaux des chercheurs d'ESET, qui ont enquêté durant plusieurs mois sur ce gang, cette approche centralisée permet d'abaisser la barrière technique pour les affiliés et d'accroître l'efficacité des intrusions.
GentleKiller, un framework maison ciblant des centaines de processus
Le cœur de cette offre est un outil développé en interne par le gang, baptisé GentleKiller. Ce framework est conçu pour repérer et interrompre les processus associés à plus de 400 produits de sécurité différents. Il se présente comme une solution prête à l'emploi que les affiliés peuvent intégrer dans leur chaîne d'attaque. Les premières analyses montrent qu'il peut cibler un large éventail d'EDR, d'antivirus et d'autres agents de surveillance.
Mais GentleKiller n'est pas le seul outil mis à disposition. Les opérateurs de Gentlemen ont également constitué un catalogue comprenant plusieurs autres EDR killers, dont certains existants sur le marché noir ou issus d'outils open source détournés. Cette panoplie permet aux affiliés de disposer de plusieurs vecteurs pour neutraliser les défenses, augmentant ainsi les chances de succès de l'opération. Les chercheurs d'ESET soulignent que cette démarche, qui va au-delà de ce que proposait auparavant le groupe RansomHub avec son outil EDRKillShifter, fait de Gentlemen une menace particulièrement organisée.
Une plateforme multiplateforme
Le ransomware Gentlemen lui-même n'est pas en reste. Il propose plusieurs modules de chiffrement adaptés à différents environnements. Une variante écrite en langage Go peut chiffrer les données sur les systèmes Windows, Linux et d'autres plateformes. Une autre, développée en C, cible spécifiquement les hyperviseurs VMware ESXi, une cible de choix pour les groupes de rançonnage cherchant à paralyser l'infrastructure virtualisée des entreprises. Cette diversité de variantes permet aux affiliés de choisir l'outil le mieux adapté à l'environnement de leur victime.
Une menace grandissante
L'ascension rapide de Gentlemen dans le paysage des ransomwares – déjà l'un des plus actifs au premier trimestre 2026 – inquiète les experts. La combinaison d'un RaaS performant et d'un arsenal complet de neutralisation des défenses pourrait rendre les attaques plus faciles à mener pour des pirates moins expérimentés, tout en augmentant le taux de réussite des intrusions. Les organisations sont incitées à renforcer leurs mesures de sécurité, notamment en durcissant la configuration de leurs EDR, en surveillant les tentatives de désactivation de ces outils et en maintenant une hygiène rigoureuse des accès et des mises à jour.
