Siber güvenlik alanında dünya lideri olan ESET, bir hizmet olarak fidye yazılımı (RaaS) çetesi olan ve 2026 yılının başından bu yana fidye yazılımı ekosistemindeki en aktif çetelerden biri olarak öne çıkan Gentlemen’in sağlam EDR engelleme araç setini analiz etti.
Grup, güvenlik yazılımlarını devre dışı bırakmaya yarayan, olgun ve operatörler tarafından yönetilen bir uç nokta tespit ve müdahale (EDR) devre dışı bırakma araçları setiyle öne çıkıyor. Çoğu üst düzey çetenin aksine, Gentlemen’in kurban profili ABD merkezli değil; bunun yerine Güneydoğu Asya, Güney Amerika ve Batı Avrupa’daki kurbanları hedef alıyor. Çetenin hedefleri arasında Tayland, Brezilya ve Fransa gibi normalde nadiren hedef alınan bazı ülkeler de bulunuyor.
EDR katillerini takip eden ESET araştırmacısı Jakub Souček yaptığı açıklamada şunları söyledi:
“Son aylarda Gentlemen ile ilgili çok sayıda rapor yayımlanmış olsa da bu raporlar grubun EDR katillerinin ayrıntılı bir analizine odaklanmamıştı. ESET’in olay düzeyinde sağladığı sürekli görünürlük sayesinde, Gentlemen’in EDR engelleyici geliştirme uygulamalarına ilişkin benzersiz ve derinlemesine bir bakış sunabiliyoruz. Gentlemen’in Mayıs 2026’da maruz kaldığı iç veri sızıntısı, grubun iç işleyişi hakkında bize daha fazla bilgi sağladı. Bu sızıntı, Şubat 2026’da oluşturduğumuz hipotezi de doğrulamamızı sağladı: Gentlemen operatörleri, GentleKiller adını verdiğimiz kendi iç çerçevelerini merkez alarak, bağlı kuruluşlarına sundukları bir EDR katilleri portföyünü aktif olarak geliştiriyor ve sürdürüyorlar.
Buna ek olarak, grup HexKiller, ThrottleBlood ve HavocKiller gibi üçüncü taraf veya sızdırılmış araçları da kullanıyor. Bu araçlar, ortak bir savunma atlatma katmanı aracılığıyla standartlaştırılmakta ve sahte sürüm bilgileri ile kopyalanmış meşru sertifikalar ve simgeler kullanılarak ağırlıklı olarak güvenlik sağlayıcılarının kimliğine bürünüyor. Gentlemen ayrıca yeni açıklanan “Bring Your Own Vulnerable Driver” (Kendi Güvenlik Açığı Olan Sürücünü Getir) kavram kanıtlarını, genellikle kamuya açıklanmasından birkaç gün sonra, alışılmadık derecede hızlı bir şekilde işlevsel hâle getirme yeteneği sergilemektedir. EDR katillerinin yanı sıra OxideHarvest adını verdiğimiz bir kimlik bilgisi hırsızı da tespit ettik; bu araç, Gentlemen’in bağlı kuruluşlarından biri tarafından geliştirilmiş.
Bağlam olarak belirtmek gerekirse Gentlemen 2025 yılının sonlarında bir RaaS operasyonu olarak ortaya çıktı ve hızla 2026’nın ilk çeyreğinde gözlemlenen en aktif fidye yazılımı çetelerinden biri hâline geldi. Çete, iş ortaklarına cömert bir şekilde yüzde 90’lık bir pay sunuyor. Gentlemen, çifte şantaj yöntemini kullanıyor — kurbanın verilerini şifrelemenin yanı sıra fidye ödenmezse verileri sızdırmakla da tehdit ediyor.
Gentlemen’i diğerlerinden ayıran özelliklerden biri, çetenin iş ortaklarına sadece şifreleyicilerden fazlasını sunmaya istekli olması — özellikle de çete, EDR engelleyicileri de sağlıyor. Gentlemen, farklı ve şu ana kadar yeterince raporlanmamış bir yaklaşımı temsil ediyor. İş ortaklarının kendi EDR katillerini temin etmelerine güvenmek yerine, Gentlemen operatörleri iş ortakları için bir EDR katilleri portföyünü aktif olarak geliştirip sürdürüyor.
Büyük RaaS operasyonlarının kurban profili, genellikle operatörlerin yönlendirdiği stratejiden çok, bağlı üyelerin tercihlerine göre şekillenmekle birlikte yine de belirli bir örüntü ortaya çıkma eğiliminde. Çoğu büyük fidye yazılımı çetesi, açıklanan tüm kurbanların yaklaşık yarısını oluşturan ABD’ye güçlü ve kalıcı bir odaklanma sergiliyor. Gentlemen, bu eğilime karşı dikkate değer bir istisna olarak öne çıkıyor. 2026’nın ilk çeyreğinde en aktif beş fidye yazılımı çetesi arasında yer almasına rağmen kurban profili ABD’ye benzer bir odaklanma sergilemiyor. Bunun yerine, Gentlemen iş ortakları, coğrafi olarak geniş ve çeşitli bir ülke yelpazesindeki kurbanları tutarlı bir şekilde hedeflemektedir; kurbanların önemli bir kısmı Güneydoğu Asya, Güney Amerika ve Batı Avrupa gibi bölgelerden geliyor.
Gentlemen operatörleri, çetenin çeşitli EDR katillerine belirli bir dizi savunma atlatma tekniği uyguluyor. Bu teknikler, kaynak kod yerine derlenmiş örnekler üzerinde uygulanıyor. Bu, Gentlemen’e, çetenin kaynak koduna sahip olmadığı EDR engelleyicilerini de koruma seçeneği sunuyor. GentleKiller, Gentlemen ekosisteminde gözlemlenen en yaygın EDR engelleyicisi. Bugüne kadar ESET Research, her biri farklı bir meşru ürünü taklit eden ve farklı bir güvenlik açığı bulunan veya kötü amaçlı sürücüyü kötüye kullanan sekiz farklı varyant keşfetti. Bu yüzeysel farklılıklara rağmen ESET, yüksek derecede ortak iç özelliklere sahip olmaları nedeniyle tüm bu örnekleri GentleKiller çatısı altında sınıflandırıyor. .
ESET araştırmacısı Jakub Souček açıklamalarına şu eklemeyi yaptı:
“Savunma açısından bakıldığında, GentleKiller’ın nasıl çalıştığını anlamak, uzmanların savunma stratejilerini daha iyi tasarlayabilmelerini ve Gentlemen’in EDR devre dışı bırakma cephaneliğine henüz eklenmemiş yeni unsurlara karşı bile savunma yapabilmelerini sağlar.”
Kaynak : 