文章总结： 该文档深度解析了TheGentlemen勒索软件团伙的EDR清除工具GentleKiller，其采用BYOVD技术伪装成合法产品攻击安全软件。报告指出该团伙通过标准化工具降低攻击门槛，能快速整合新漏洞，受害者选择偏向东南亚等地且基于FortiGate配置错误。防御者可利用公开的进程列表设计监控策略。 综合评分： 82 文章分类： 恶意软件,漏洞分析,威胁情报,红队,内网渗透

GentleKiller 深度解析：The Gentlemen 团伙的 EDR 杀手工具

FreeBuf FreeBuf

FreeBuf

2026年6月21日 18:00 上海

在小说阅读器读本章

去阅读

The Gentlemen为旗下分支机构提供了一套集中化的EDR（终端检测与响应）清除工具套件，能够快速利用BYOVD（自带漏洞驱动程序）攻击手段在勒索软件攻击前禁用安全防护工具。2026年6月18日，ESET发布了对该团伙技术基础设施的详细分析报告，这份报告基于数月的事件级调查，并得到了该团伙2026年5月内部数据泄露的佐证。自2025年底出现以来，The Gentlemen已宣称攻击了504个受害者，成为2026年第一季度最活跃的五大勒索软件组织之一。其独特之处不在于勒索软件本身，而在于执行勒索前提供给分支机构的工具。

Part01

标准化攻击框架

大多数勒索软件即服务（RaaS）运营商让分支机构自行寻找禁用终端安全工具的方法，而The Gentlemen采取了不同策略。ESET报告指出：”该团伙展示了一种有趣的做法：由运营商统一管理的EDR杀手工具，供分支机构直接使用。当大多数勒索软件团伙仍将EDR清除任务下放给分支机构时，The Gentlemen选择通过提供即用型标准化EDR清除套件来集中这一功能。这一决策使其成为对分支机构极具吸引力的运营商，因为实质上降低了准入门槛，使他们的工作更加轻松。”

泄露的内部数据证实了ESET自2026年2月以来的推测：该团伙首领zeta88曾公开讨论向分支机构维护和分发EDR清除工具包。

Part02

GentleKiller 核心组件

该套件的核心是GentleKiller，一个包含至少八个不同变种的内部框架。每个变种都伪装成不同的合法产品，并通过BYOVD技术滥用不同的漏洞或恶意内核驱动程序。ESET表示：”GentleKiller是目前在The Gentlemen生态系统中观察到的最普遍的EDR清除工具。截至本文撰写时，我们已发现至少八个不同变种，每个都伪装成不同的合法产品并滥用不同的漏洞或恶意驱动程序。当剥离伪装层和使用的特定驱动程序后，底层代码显示出众多结构和行为上的共性，强烈表明使用了共享开发模板。该模板在各变种间重复使用，仅做最小修改。”

这八个变种针对的驱动程序来自卡巴斯基、FACEIT反作弊系统、Valorant、Javelin、Safetica、Zemana、奇虎360、IObit以及PoisonX rootkit。所有变种的GentleKiller会搜寻超过400个进程，涉及48种不同的安全产品，包括CrowdStrike、SentinelOne、Microsoft Defender、Sophos、Carbon Black和ESET自身。

Part03

快速适应能力

研究人员指出，快速适应能力是其另一显著特征。报告继续说明：”这种设计优先考虑分支机构的部署便捷性和操作灵活性，同时最小化运营商开发工作量。它使The Gentlemen运营商能够在EDR清除PoC公开后很快将滥用的驱动程序集成到工具集中。UnknownKiller和PoisonKiller就是这种情况，它们在公开几天内就被采用。”ESET以天为单位测量了这一速度——UnknownKiller和PoisonKiller的概念验证都在公开发布后数日内被采用。

除GentleKiller外，该套件还包含三个第三方工具。HexKiller曾仅与Warlock勒索软件团伙关联，使用百度杀毒驱动程序，出现在与GentleKiller相同的GentlemenCollection目录下的入侵活动中。ThrottleBlood更常见于MedusaLocker和DragonForce分支机构攻击，使用TechPowerUp驱动程序。HavocKiller由Huntress在2026年3月公开披露，但早在1月23日就已在The Gentlemen入侵活动中活跃。ESET评估认为，这三个工具均由运营商从外部获取，然后采用与GentleKiller相同的防御规避层进行标准化处理：通过Enigma或Themida进行二进制保护、模仿安全厂商的文件名、伪造版本信息、复制数字签名以及匹配图标。

Part04

独特的受害者选择模式

受害者分布打破了大多数主要勒索软件运营的固有模式。与Qilin、DragonForce和Akira主要集中在美国（通常占受害者半数左右）不同，The Gentlemen的名单偏向东南亚、南美和西欧。泄露数据表明这并非偶然：该团伙主要根据FortiGate配置错误而非地理位置选择受害者，并集中向分支机构分发目标。这是一种结构化选择过程，而非由各分支机构自行选择目标。

ESET还发现了一个名为OxideHarvest（也被追踪为buildx641）的基于Rust的凭证窃取程序，与其中一个分支机构关联。它针对Chrome、Edge、Firefox、Brave、Opera、OperaGX、Vivaldi、Waterfox等十余种浏览器，使用提供的凭证登录指定主机，提取浏览器凭证并写入输出文件。与有明显内部开发证据的GentleKiller不同，OxideHarvest被归因于名为quant的分支机构而非核心运营商。

Part05

团伙头目身份曝光

2026年6月10日，Brian Krebs发布了关于该团伙创始人hastalamuerte真实身份的证据，确认为36岁的俄罗斯公民Alexander Andreevich Yapaev，曾是Qilin、Embargo、LockBit、Medusa和BlackLock的分支机构成员。Krebs写道：”数据泄露追踪服务Constella Intelligence报告称，Hastalamuerte的Telegram ID关联到另一个用户名’bu4vs’以及俄罗斯电话号码79127650004。在Constella中查询该电话号码可获取来自被黑俄罗斯政府数据库的多条记录，显示其归属于一位来自伊热夫斯克的36岁男子Alexander Andreevich Yapaev。”

报告显示，The Gentlemen能快速将新披露的BYOVD概念验证武器化，通常在公开后数日内就将漏洞驱动程序攻击整合到运营中。对防御者而言，ESET报告的实际意义在于：GentleKiller的进程目标列表现已公开，这意味着防御者可以利用它设计监控和检测策略，即使对尚未构建的变种也能保持有效性。

参考来源：

Inside GentleKiller: The EDR-Killer Powering The Gentlemen

Inside GentleKiller: The EDR-Killer Powering The Gentlemen

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf FreeBuf FreeBuf《GentleKiller 深度解析：The Gentlemen 团伙的 EDR 杀手工具》