文章总结： ESET报告揭示TheGentlemen勒索团伙通过集中管控EDR破坏工具GentleKiller降低攻击门槛，该工具利用BYOVD技术伪装合法软件并调用漏洞驱动攻击48款安全产品，团伙能快速集成新披露漏洞POC，防御方可基于公开的扫描进程清单构建检测策略。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞分析,红队,安全运营

深度解析 GentleKiller：支撑 “The Gentlemen” 勒索团伙的 EDR 查杀工具

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月22日 09:15 湖北

在小说阅读器读本章

去阅读

2026 年 6 月 18 日，ESET 发布了针对 The Gentlemen 全套技术基础设施的深度拆解报告。这份报告依托历时数月的事件级溯源调查，并结合该团伙 2026 年 5 月自身内部数据泄露的情报交叉印证。自 2025 年末出现以来，The Gentlemen 已宣称拿下 504 家受害单位，跻身 2026 年一季度活跃度前五的勒索攻击团伙。该团伙的差异化优势不在于勒索载荷本身，而是在载荷执行前，交付给下线代理的全套前置对抗工具。

绝大多数勒索软件即服务（RaaS）运营方，都会让下线代理自行寻找关停终端安全防护的工具，The Gentlemen 则采用了截然不同的模式。

ESET 报告原文记载：“The Gentlemen 采用一套极具特色的运作模式：由运营方统一管控 EDR 破坏工具，下线代理可直接使用。多数勒索团伙将 EDR 绕过工作全权交由下线自行处理，而 The Gentlemen 选择集中管控该能力，向下线提供一套标准化、开箱即用的 EDR 破坏工具套件。该模式大幅降低下线的入局门槛，显著简化其渗透作业流程，对下线具备极强吸引力。”

2026 年 2 月 ESET 便提出相关推测，本次泄露的团伙内部数据证实了该判断：团伙头目代号 zeta88，曾在内部公开讨论维护、分发 EDR 破坏工具包给全体下线。

整套工具套件的核心是自研框架 GentleKiller，至少存在 8 个独立变种。每个变种都会伪装不同合法软件，并借助BYOVD（自带漏洞驱动攻击） 技术，滥用各类存在漏洞或恶意的内核驱动实现安全绕过。

ESET 表示：“GentleKiller 是 The Gentlemen 体系内使用最普遍的 EDR 破坏工具。截至报告成文时，研究人员已识别至少 8 个不同变种，各变种分别伪装一款正规软件，并调用专属漏洞驱动完成对抗操作。”

“剥离伪装层与配套驱动后，底层代码存在大量架构、行为层面的共性特征，充分说明所有变种基于同一套自研模板开发；开发人员仅需少量修改，即可快速产出新版本。”

八大变种可调用卡巴斯基、FACEIT 反作弊、Valorant、Javelin、Safetica、Zemana、奇安 360、IObit 驱动以及 PoisonX 内核木马驱动。所有版本的 GentleKiller 会扫描 48 款主流安全产品的 400 余个防护进程，涵盖 CrowdStrike、SentinelOne、Microsoft Defender、Sophos、Carbon Black 以及 ESET 自身终端防护软件。

研究人员指出，能够快速适配新型对抗手段，是该工具另一核心特征。

报告继续写道：“这套方案优先保障下线快速部署、灵活开展攻击，同时减少运营方的开发维护成本。一旦新型 EDR 对抗 PoC 代码对外披露，运营方就能迅速将漏洞驱动整合至工具集，UnknownKiller、PoisonKiller 两款工具均在相关技术公开数日内就被纳入使用。”

ESET 通过实测验证了迭代速度：UnknownKiller 与 PoisonKiller 的公开利用代码发布仅数日，该团伙就完成集成并投入实战。

除自研 GentleKiller 外，工具套件还整合了三款第三方对抗工具：

1. HexKiller：此前仅与 Warlock 勒索团伙关联，滥用百度杀毒驱动，在 The Gentlemen 的攻击流程中，与 GentleKiller 存放于同一 GentlemenCollection 目录；
2. ThrottleBlood：常见于 MedusaLocker、DragonForce 下线的攻击活动，调用 TechPowerUp 驱动；
3. HavocKiller：2026 年 3 月由 Huntress 对外披露，而 The Gentlemen 早在 1 月 23 日的攻击中就已启用该工具。

ESET 研判，三款工具均由运营方从外部采购获取，并统一加装和 GentleKiller 相同的伪装对抗层：采用 Enigma 或 Themida 对程序加壳、文件名仿冒正规安全厂商程序、伪造版本信息、盗用合法数字签名、匹配正版软件图标。

该团伙的受害目标分布特征，与其余主流勒索团伙截然不同。Qilin、DragonForce、Akira 的受害者近半数集中在美国，而 The Gentlemen 的受害企业集中在东南亚、南美与西欧。泄露的内部数据显示该分布并非随机：团伙筛选目标不以地域为核心标准，优先搜寻存在错误配置 FortiGate 的企业，由核心统一向下线分配目标，而非让下线自主搜寻目标，整套目标筛选流程高度标准化。

ESET 还溯源到一款基于 Rust 开发的凭证窃取工具 OxideHarvest（追踪编号 buildx641），归属该团伙一名下线代理。该工具支持 Chrome、Edge、Firefox、Brave、Opera、OperaGX、Vivaldi、Waterfox 等十余款浏览器，利用获取的登录凭证接入指定主机，窃取浏览器账号密码并导出至输出文件。GentleKiller 具备清晰自研特征，而 OxideHarvest 由代号 quant 的下线开发，并非核心运营团队产物。

6 月 10 日知名安全记者 Brian Krebs 发布线索，曝光团伙创始人 hastalamuerte 的真实身份：36 岁俄罗斯公民 Alexander Andreevich Yapaev，曾先后担任 Qilin、Embargo、LockBit、Medusa、BlackLock 勒索团伙下线。

Krebs 原文写道：“数据泄露溯源平台 Constella Intelligence 显示，hastalamuerte 的 Telegram 账号关联另一用户名 bu4vs，绑定俄罗斯手机号 79127650004。通过该手机号检索俄罗斯泄露政务数据库，匹配到登记人 Alexander Andreevich Yapaev，36 岁，常住伊热夫斯克市。”

报告提到，The Gentlemen 会快速武器化各类新披露的 BYOVD 概念验证代码，多数漏洞驱动利用程序公开短短数天内，就会被整合进攻击链路。

对于防御侧，ESET 这份报告具备明确落地价值：GentleKiller 扫描的全部防护进程清单现已公开，运维人员可依托该清单搭建监控与检测策略，即便面对尚未开发的全新变种，防护规则依旧生效。

报告结尾总结：“The Gentlemen 采用一套极具特色的运作模式：由运营方统一管控 EDR 破坏工具，下线代理可直接使用。多数勒索团伙将 EDR 绕过工作全权交由下线自行处理，而 The Gentlemen 选择集中管控该能力，向下线提供一套标准化、开箱即用的 EDR 破坏工具套件。该模式大幅降低下线的入局门槛，显著简化其渗透作业流程，对下线具备极强吸引力。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《深度解析 GentleKiller：支撑 “The Gentlemen” 勒索团伙的 EDR 查杀工具》