Gentlemen RaaS Çetesinin EDR Engelleyici Portföyü ve Küresel Hedef Profili Analizi

EDR engelleme yetenekleriyle öne çıkan Gentlemen adlı fidye yazılımı çetesi, 2026 başında fidye yazılımı ekosisteminin en hareketli aktörlerinden biri olarak dikkat çekiyor. ESET, bu çetenin uç nokta güvenlik yazılımlarını devre dışı bırakmaya odaklanan gelişmiş araç setlerini inceleyerek, operasyonlarının operasyonel derinliğini gözler önüne serdi.

Grubun amacı, yalnızca dosyaları şifrelemekle sınırlı kalmayıp güvenlik çözümlerini etkisiz hâle getirmek için özel olarak tasarlanmış EDR katillerini de barındırmaktır. Gentlemene ait kurban profili, alışılmışın dışında biçimde ABD odaklı olmaktan çıkıp Güneydoğu Asya, Güney Amerika ve Batı Avrupa’ya uzanan geniş bir coğrafyaya yayılıyor. Tayland, Brezilya ve Fransa gibi ülkeler de listeye dahil oluyor; burada genellikle beklenmedik hedefler seçiliyor.

ESET araştırmacısı Jakub Souček, Gentlemen’in EDR katillerini takip eden derin analizlerin eksik kaldığını belirterek, olay düzeyi görünürlüğü sayesinde grubun EDR engelleme taktiklerini ayrıntılı biçimde ortaya koyabildiklerini vurguluyor. Mayıs 2026’da yaşanan iç veri sızıntısı, grubun iç işleyişini ve GentleKiller adı verilen iç çerçeveyi merkeze alan yaklaşımını daha net ortaya koydu. Bu bulgular, Şubat 2026’da kurulan hipotezleri güçlendirdi: operatörler, bağlı kuruluşları için EDR katilleri portföyünü aktif olarak geliştirip sürdürmektedirler. Bununla birlikte HexKiller, ThrottleBlood ve HavocKiller gibi üçüncü taraf veya sızdırılmış araçlar da ağırlıkla kullanılıyor ve sahte sürüm bilgileri ile meşru sertifikaların kopyalanmasıyla güvenlik çözümlerinin kimliğine bürünülüyor.

Gentlemen ayrıca yeni kavramları da test etme kapasitesine sahip: Bring Your Own Vulnerable Driver (Kendi Güvenlik Açığı Olan Sürücünü Getir) yaklaşımı, kamuya açıklanmasından kısa bir süre sonra işlevsel hâle getirilebiliyor. EDR katillerinin yanı sıra bir kimlik bilgisi hırsızı olan OxideHarvest’in de grubun bağlı kuruluşları tarafından geliştirildiği tespit edildi.

Çete, 2025 sonlarında ortaya çıkışını bir RaaS operasyonu olarak gerçekleştirdi ve 2026’nın ilk çeyreğinde en aktif fidye yazılımı ekipleri arasına girdi. İş ortaklarına cömertçe yüzde 90 pay vadeden Gentlemen, çift taraflı hareket stratejisiyle fidye ödemesi yapılmazsa verilerin sızdırılacağını da tehdit ediyor. Kendilerini farklı kurgulama boyutunda, yalnızca şifreleme araçları sunmakla kalmayıp EDR engelleme yeteneklerini de sağlayarak rakiplerden ayrışıyorlar.

Operasyonel yapıları, ortakların kendi EDR katillerini temin etmek yerine, bu portföyü direkt olarak operatörlerin geliştirdiği ve sürdürdüğü biçimde inşa edilmesi üzerine kurulu. Bu da kurban profili ile operasyonel odaklar arasında ciddi bir çeşitlilik yaratıyor: ABD dışındaki bölgelerde varlık gösteren geniş bir coğrafyada kurbanlar bulunuyor. 2026 ilk çeyrekte bu çetenin, diğer bazı büyük gruplardan farklı olarak, ABD odaklılık dışında hareket ettiği görülüyor.

Gentlemen’in savunmasını zayıflatmaya dönük teknikler ise derlenen kodlar üzerinde uygulanıyor; bu, güvenlik çözümlerinin kaynağına bağlı olmaksızın etkili savunma odaklarını zorlayabiliyor. En sık karşılaşılan EDR engelleyicisi olan GentleKiller, çeşitli meşru ürünleri taklit eden sürümler aracılığıyla tespit edilmeden çalışma eğilimini sürdürüyor. ESET’in yaptığı incelemeler, yedi farklı varyantın ortak iç özelliklerini vurgulayarak bu geniş ağa GentleKiller çatısı altında gruplaşmayı sağlıyor. Ayrıca, savunma stratejileri geliştirilirken bu varyantların ortak kalıplarına odaklanmanın önemini gösteriyor.

Not: Kaynak olarak BYZHA Beyaz Haber Ajansı gösteriliyor ve bulgular, Gentlemen’in iç dinamiklerini ortaya koymaya yönelik derinlemesine analizlere dayanıyor.