Ransomware Nitrogen (Actualización)
El grupo Nitrogen apareció por primera vez en 2023, comenzando como un cargador de otras familias de malware (entre ellas, el ransomware BlackCat) y posteriormente como stealer, para después comenzar sus operaciones independientes como ransomware, a partir de lo que se cree fue el código fuente de Conti 2; Nitrogen también tiene algunas similitudes con el ransomware LukaLocker. En septiembre de 2024 publicaron sus primeras víctimas, la mayoría estadounidenses, pero sin un enfoque en algún sector en específico, y dejaron de ofrecer sus servicios como cargador de malware para terceros.
Nitrogen emplea anuncios, URLs engañosas y software disfrazado (especialmente controladores como “truesight.sys”) para obtener acceso con su propio cargador (el cual dejaron de ofrecer a terceros). Este cargador emplea DLL Sideloading y establece conexión con el servidor de Comando y Control (C2), para después establecer persistencia a través de llaves de registro y tareas programadas; también emplea “bcdedit.exe” para deshabilitar el Inicio Seguro (“Safe Boot”). Una vez establecido, se ejecuta el “NitrogenStager”, el cual se comunica con el servidor C2 para obtener y desplegar herramientas adicionales que faciliten el movimiento lateral, exfiltración de información o un ataque de ransomware.
Como es común entre grupos de ransomware, antes de encriptar archivos, exfiltran información sensible hacia su propia infraestructura para poder emplear la doble extorsión (secuestro de información e interrupción de servicios).
Imagen 1. Nota de rescate dejada por Nitrogen.
Recientemente, Nitrogen volvió a llamar la atención debido a un ataque exitoso contra la empresa Foxconn, declarando que habían logrado exfiltrar más de 11 millones de archivos desde múltiples instalaciones de la empresa. Entre los archivos se incluían instrucciones confidenciales, documentación de proyectos internos y diagramas técnicos relacionados con Intel, Apple, Google, Dell y Nvidia.
Imagen 2. Publicación de víctima (Foxconn).
El grupo se ha estado enfocando cada vez más en empresas del sector de manufactura y logística, los cuales son sectores atractivos para los actores de amenaza.
Taxonomía
| Tactic | ID | Name |
| T1113 | Collection | Screen Capture |
| T1027.013 | Defense Evasion | Obfuscated Files or Information: Encrypted/Encoded file |
| T1055 | Defense evasion | Process Injection |
| T1055.001 | Defense evasion | Process Injection: Dynamic link Library Injection |
| T1055.004 | Defense evasion | Process Injection: Asynchronus Procedure Call |
| T1106 | Defense Evasion | Direct volume access |
| T1134 | Defense evasion | Access token manipulation |
| T1140 | Defense Evasion | Deobfuscate/decode files or information |
| T1497.001 | Defense Evasion | Virtualization/Sandbox Evasion |
| T1497.003 | Defense Evasion | Virtualization/Sandbox Evasion: Time based evasion |
| T1564.001 | Defense evasion | Hide Artifacts: Hidden Files and Directories |
| T1574.002 | Defense evasion | Hide Artifacts: Hidden Users, Sub-technique |
| T1620 | Defense evasion | Reflective Code Loading |
| T1622 | Defense evasion | Debugger evasion |
| T1012 | Discovery | Query registry |
| T1033 | Discovery | System Owner/User discovery |
| T1049 | Discovery | System network Connections |
| T1057 | Discovery | Process Discovery |
| T1082 | Discovery | System Information Discovery |
| T1083 | Discovery | File and Directory Discovery |
| T1120 | Discovery | Peripheral discovery |
| T1614 | Discovery | System Location Discovery |
| T1124 | Discovery | System Time Discovery |
| T1547.001 | Persistence | Registry Run Keys / Startup Folder |
| T1547.014 | Persistence | Active Setup |
| T1053.005 | Persistence | Scheduled Task |
| T1068 | Privilege Escalation | Exploitation for Privilege Escalation |
| T1543.003 | Persistence | Windows Service |
| T1059.006 | Execution | Command and Scripting interpreter: Python |
| T1489 | Impact | Service Stop |
Indicadores de compromiso
| IOC | Tipo |
| f32c61ebde695d06cd1764c58f209d60 | md5 |
| d5aa41e1c40dd5fea93db920292829ba | md5 |
| e2117bc07b94af5db09d1e8139b9774a | md5 |
| a90c3969bcd05e191205da92fd43c88f | md5 |
| 67bc6e3b82515dffeb04328c7f8a1322 | md5 |
| 97c636d3ec31cd21e118284c4c92e5bb | md5 |
| ad61b949f2c3d8a8936305da847f2ab6 | md5 |
| 150a0d59b5c6e86985b3315e1aaa103e | md5 |
| e14d7baf640bfb479e186d0281a27179 | md5 |
| 7482d1cece44511ee978f8d418040867 | md5 |
| 88826c773788a68300b0dd78a92af12a | md5 |
| 3dbd3c04b1acab0b70546e48d39247b7 | md5 |
| 834d94cf35d9417aa93a5cb350a756e9 | md5 |
| 7e043d880dcf7889c6767ab97764769c | md5 |
| 6d8f70bda63f1ced222715dbf92a025a | md5 |
| 31df49092ddf396610481e390f663671 | md5 |
| f65a194814d4e0b8fdcf74f523e06ddf | md5 |
| b58538519a98938aace17451f14007f6 | md5 |
Recomendaciones
- Establecer reglas de Firewall que bloqueen el acceso a sitios web maliciosos.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- 4OURUP. (2025, Mayo 7). Nitrogen Ransomware Exposed: How ANY.RUN Helps Uncover Threats to Finance. ANY.RUN’s Cybersecurity Blog. Recuperado el 15 de mayo de 2026, en: https://any.run/cybersecurity-blog/nitrogen-ransomware-report/
- Baran, G. (2026, Mayo 13). Foxconn Confirms Cyberattack After Nitrogen Ransomware Gang Claim. Cyber Security News. Recuperado el 15 de mayo de 2026, en: https://cybersecuritynews.com/foxconn-confirms-cyberattack/
- Barry, C. (2025, Noviembre 7). Nitrogen ransomware: From staged loader to full-scale extortion. Barrcuda Blog. Recuperado el 15 de mayo de 2026, en: https://blog.barracuda.com/2025/11/07/nitrogen-ransomware--from-staged-loader-to-full-scale-extortion
- Walia, G. (2026, Mayo 14). Who is Nitrogen group, what does Foxconn do and what data was hacked? Ransomware hackers claim breach at Foxconn. The Economic Times. Recuperado el 15 de mayo de 2026, en: https://economictimes.indiatimes.com/news/international/us/who-is-nitrogen-group-what-does-foxconn-do-and-what-data-was-hacked-ransomware-hackers-claim-breach-at-foxconn/articleshow/131087936.cms
