ESET, siber güvenlik alanında dünya lideri olarak, fidye yazılımı olarak bilinen RaaS çetesi Gentlemen'in etkileyici EDR (Uç Nokta Tespit ve Müdahale) engelleme araç setini analiz etti. Gentlemen, 2026 yılının başından bu yana fidye yazılımı ekosistemindeki en aktif çetelerden biri olarak öne çıkmaktadır.
Grup, olgun ve operatörler tarafından yönetilen bir EDR devre dışı bırakma araçları seti ile dikkat çekmektedir. Çetenin kurban profili, çoğu üst düzey çetenin aksine, ABD merkezli değil; Güneydoğu Asya, Güney Amerika ve Batı Avrupa'daki kurbanları hedef almaktadır. Tayland, Brezilya ve Fransa gibi nadiren hedef alınan ülkeler de çetenin hedefleri arasında yer almaktadır.
ESET araştırmacısı Jakub Soucek, Gentlemen ile ilgili daha önce birçok rapor yayımlanmış olmasına rağmen, bu raporların grubun EDR katillerinin detaylı analizine odaklanmadığını belirtti. ESET’in olay düzeyinde sağladığı sürekli görünürlük sayesinde Gentlemen’in EDR engelleyici gelişim uygulamalarına dair benzersiz ve derinlemesine bir bakış sunabiliyoruz. Mayıs 2026’da yaşanan iç veri sızıntısı, grubun iç işleyişi hakkında ek bilgiler sağlayarak, Gentlemen operatörlerinin kendi iç çerçevelerini merkez alarak geliştirdikleri bir EDR katilleri portföyünü aktif olarak sürdürdüklerini doğrulamamıza yardımcı oldu.
Gentlemen ayrıca HexKiller, ThrottleBlood ve HavocKiller gibi üçüncü taraf veya sızdırılmış araçları da kullanmaktadır. Bu araçlar, standartlaştırılmış bir savunma atlatma katmanı aracılığıyla kimlik değiştirerek, sahte sürüm bilgileri ve kopyalanmış meşru sertifikalar ve simgeler kullanarak güvenlik sağlayıcılarının kimliğine bürünmektedir. Ayrıca Gentlemen, "Bring Your Own Vulnerable Driver" (Kendi Güvenlik Açığı Olan Sürücünü Getir) kavramını, kamuya açıklanmasından yalnızca birkaç gün sonra hızla işlevsel hale getirme yeteneği göstermektedir. Grubun geliştirdiği OxideHarvest isimli bir kimlik bilgisi hırsızını da tespit ettik.
Gentlemen, 2025 yılının sonlarında bir RaaS operasyonu olarak ortaya çıktı ve 2026'nın ilk çeyreğinde gözlemlenen en aktif fidye yazılımı çetelerinden biri hâline geldi. Çete, iş ortaklarına cömert bir şekilde yüzde 90'lık bir pay sunarak dikkat çekmektedir. Çifte şantaj yöntemini kullanan Gentlemen, kurban verilerini şifrelemenin yanı sıra, fidye ödenmezse verilerin sızdırılacağı tehdidinde bulunmaktadır.
Gentlemen'i diğer fidye yazılımı çetelerinden ayıran bir özelliği, iş ortaklarına sadece şifreleyiciler değil, aynı zamanda EDR engelleyicileri de sunmasıdır. Bu durum, Gentlemen’ın daha önceden raporlanmamış bir yaklaşım sergilemesine olanak tanımaktadır. İş ortaklarının kendi EDR katillerini temin etmelerine güvenmek yerine, Gentlemen operatörleri için bir EDR katilleri portföyü geliştirip sürdürmektedir.
Büyük RaaS operasyonlarının kurban profili genellikle operatörlerin yönlendirdiği stratejiden ziyade, bağlı üyelerin tercihlerine göre şekillenmekte olup belirli bir örüntüye sahip olma eğilimindedir. Çoğu büyük fidye yazılımı çetesi, açığa çıkan tüm kurbanların yaklaşık yarısını oluşturan ABD’ye güçlü bir odaklanma gösterirken, Gentlemen bu eğilimin dikkate değer bir istisnası olarak öne çıkmaktadır. 2026'nın ilk çeyreğinde en aktif beş fidye yazılımı çetesi arasında yer almasına rağmen, kurban profili ABD’ye benzer bir odaklanma sergilememektedir. Bunun yerine, Gentlemen iş ortakları, coğrafi olarak geniş bir ülke yelpazesinde bulunan kurbanları tutarlı bir şekilde hedeflemektedir.
Gentlemen operatörleri, çetenin çeşitli EDR katillerine yönelik belirli bir dizi savunma atlatma tekniği uygulamaktadır. Bu teknikler, kaynak kod yerine derlenmiş örnekler üzerinde kullanılmakta olup, Gentlemen’a kaynak koduna sahip olmadığı EDR engelleyicilerini de koruma imkânı tanımaktadır. GentleKiller, Gentlemen ekosisteminde gözlemlenen en yaygın EDR engelleyicisidir. ESET Research, şu ana kadar farklı bir güvenlik açığı bulunan ya da kötü amaçlı sürücüleri kötüye kullanan sekiz farklı varyant keşfetmiştir.
Jakub Soucek, GentleKiller'ın nasıl çalıştığını anlamanın, uzmanların savunma stratejilerini daha iyi tasarlayabilmelerini sağlayacağını ve aynı zamanda Gentlemen’ın EDR devre dışı bırakma cephaneliğine henüz eklenmemiş yeni unsurlar karşısında da savunma yapmalarını mümkün kılacağını belirtti.
