Siber güvenlik alanında faaliyet gösteren ESET, hizmet olarak fidye yazılımı (RaaS) modeliyle çalışan Gentlemen çetesinin uç nokta tespit ve müdahale (EDR) engelleme araç setini inceleme altına aldı. Grup, 2026 yılının başından itibaren fidye yazılımı ekosisteminde teknik faaliyetleriyle dikkat çekiyor.
Güvenlik yazılımlarını devre dışı bırakma amacıyla operatörler tarafından yönetilen bir araç setine sahip olan çete, kurban profiliyle de bilinen siber suç gruplarından ayrılıyor. Çoğu fidye yazılımı organizasyonu rotasını ABD merkezli kuruluşlara çevirirken, Gentlemen siber suçluları Güneydoğu Asya, Güney Amerika ve Batı Avrupa'daki yapıları hedef almış durumda. Grubun operasyon yürüttüğü ülkeler arasında Tayland, Brezilya ve Fransa gibi siber saldırılara nadiren maruz kalan bölgeler var.
EDR engelleme araçlarını takip eden ESET araştırmacısı Jakub Souček, konuya dair yaptığı açıklamada Gentlemen ile ilgili geçmiş raporların grubun teknik araç analizine odaklanmadığını belirtti. Olay düzeyinde sağlanan sürekli görünürlük, çetenin siber araç geliştirme uygulamalarına ışık tutuyor. Mayıs 2026'da yaşanan bir iç veri sızıntısı ise grubun operasyonel yapısı hakkındaki verileri doğruladı. Elde edilen bulgular, siber suçluların "GentleKiller" adı verilen bir iç çerçeveyi merkez alarak iş ortaklarına geniş bir EDR katili portföyü sunduğunu gösteriyor.
Grup, kendi sistemlerinin yanı sıra HexKiller, ThrottleBlood ve HavocKiller gibi sızdırılmış ya da üçüncü taraflarca geliştirilmiş araçları da operasyonlarında kullanıyor. Güvenlik yazılımlarının kimliğine bürünerek sahte sürüm bilgileri ve kopyalanmış meşru sertifikalar içeren bu araçlar, ortak bir savunma atlatma katmanı üzerinden standart hale getiriliyor. Çete, kamuya açıklanan "Kendi Güvenlik Açığı Olan Sürücünü Getir" (BYOVD) yöntemlerini birkaç gün içinde işlevsel hale getirme kabiliyetine sahip. Sistemlerde ayrıca siber suç ortaklarından birinin geliştirdiği düşünülen "OxideHarvest" adlı kimlik bilgisi hırsızı da tespit edilen yazılımlar arasında yer alıyor.
Geleneksel RaaS modellerinden farklı strateji
Gentlemen, 2025 yılının sonlarında bir RaaS operasyonu olarak kuruldu. Kısa sürede 2026'nın ilk çeyreğindeki aktif fidye yazılımı yapıları arasına giren grup, iş ortaklarına yüzde 90 oranında pay hakkı tanıyor. Çifte şantaj yöntemiyle çalışan siber suçlular, verileri şifrelemenin yanında ödeme yapılmaması durumunda bilgileri sızdırma tehdidinde bulunuyor. İş ortaklarına sadece şifreleyici sağlamakla kalmayan operatörler, doğrudan EDR engelleyicileri de sürece dahil ediyor. Bu durum, siber suç ortaklarının kendi araçlarını temin etme zorunluluğunu ortadan kaldırıyor.
Büyük fidye yazılımı operasyonlarında kurban profili genellikle bağlı üyelerin tercihlerine göre şekillense de belirli bir coğrafi dağılım kaçınılmaz. Birçok çete kurbanlarının yarısını ABD odaklı seçerken, Gentlemen bu dağılımın dışında kalmayı tercih etmiş. Geniş coğrafi çeşitlilik gösteren grup, kaynak kod yerine derlenmiş örnekler üzerinde savunma atlatma teknikleri uyguluyor.
ESET araştırmacıları, GentleKiller çatısı altında toplanan ve meşru ürünleri taklit eden sekiz farklı varyant keşfetti. Uzmanlar, bu mekanizmaların çalışma prensiplerini çözmenin gelecekteki yeni siber tehditlere karşı daha güçlü savunma stratejileri geliştirmeye olanak tanıyacağını vurguluyor.