Barracuda full logo

Ransomware Nitrogen: De cargador escalonado a extorsión a gran escala

Temas:
7 nov 2025
|
Christine Barry

El grupo Nitrogen es un grupo de amenazas sofisticado con motivaciones financieras que se observó por primera vez como desarrollador y operador de malware en 2023. Desde su descubrimiento, Nitrogen se ha transformado en una operación completa de ransomware de doble extorsión. La ubicación del grupo, las identidades/linaje de sus miembros y las relaciones con otros actores de amenazas no están bien documentadas.

Antes de entrar en el perfil completo, aquí tiene un vistazo rápido al grupo:

 

Característica

Descripción

Tipo de amenaza

Ransomware / grupo de amenazas de doble extorsión. Los investigadores están divididos sobre si Nitrogen opera como un grupo de ransomware como servicio (RaaS).

Rasgo único

Uso agresivo de publicidad maliciosa (malvertising) e instaladores con troyanos dirigidos a profesionales de TI y otros usuarios técnicos.

Objetivos

Empresas de todos los tamaños en finanzas, fabricación, servicios profesionales y negocios regionales (EE.UU./Reino Unido/Canadá y varias víctimas internacionales).

Acceso inicial

Anuncios maliciosos / anuncios envenenados que llevan a las víctimas a instaladores maliciosos o troyanizados para aplicaciones legítimas como WinSCP y Advanced IP Scanner.

Método de extorsión

Exfiltración de datos y cifrado.

Sitio de filtración

‘NitroBlog’ – Logo con enlace de ‘contact us’ y lista de víctimas

 

Captura parcial de pantalla de NitroBlog que muestra el logotipo y la lista de víctimas. Vía Ransom.live

¿Qué hay en un nombre?

Los nombres y logotipos de los grupos no siempre son significativos, pero a veces la marca puede ofrecer pistas sobre las intenciones, ubicaciones e identidades de los miembros del grupo. Nitrogen no nos da mucho con lo que trabajar aquí.

Es difícil decir por qué el grupo eligió el nombre Nitrogen. No parece haber nada divertido o interesante detrás de este nombre. Puede que esté destinado a proyectar una imagen de ser invisible y estar en todas partes, o frío y metódico, o algo más. Quizás no signifique nada.

El logotipo minimalista parece una imagen de stock con algunos elementos de diseño, y podemos especular sobre lo que esto significa. Otros grupos que hemos perfilado tienen diseños de marca alucinantes con bichos y criaturas míticas y diversión retro genial. Lockbit pagó a personas para tatuarse su logotipo (asqueroso). Parece que a Nitrogen no le importan cosas como esa, lo que podría significar que el grupo no prioriza el reconocimiento de marca a largo plazo. Tal vez el grupo tenga una estrategia de salida planificada, o reconoce que las marcas de ransomware no duran mucho. Cambiar de marca y de dominios es más fácil con una imagen de logotipo simple porque no tienes un montón de elementos de estilo que limpiar y/o poner en un nuevo servidor.

Un diseño simple también podría ser una declaración intencional de que el grupo no está interesado en el marketing. Quiere operar discretamente y no ser molestado mostrando su marca. Si el grupo está operando como un RaaS, ¿por qué no están tratando de llamar la atención?

Como recordatorio, todo esto son especulaciones.

Ubicación e identidades

No hay una atribución pública y autorizada de Nitrogen a un país o región específicos. Los informes de código abierto vinculan la actividad de Nitrogen con el área más amplia de Europa del Este, pero los investigadores no pudieron confirmar una ubicación. La mayoría de los servidores de comando y control de ransomware Nitrogen están en Bulgaria y los Países Bajos, pero el grupo podría estar descentralizado y atacando desde diferentes ubicaciones.

Tampoco hay evidencia directa que vincule a Nitrogen con personas específicas, aunque los investigadores sospechan que el grupo actual puede incluir a antiguos operadores de Blackcat.

Historia de origen

Desarrollador de malware y operador de cargadores

La actividad del malware Nitrogen fue detectada por primera vez por investigadores en el verano de 2023. El malware fue diseñado para acceder a un sistema y establecer persistencia para que un atacante pudiera llevar a cabo un ataque sigiloso. El grupo Nitrogen desarrolló y vendió el malware, y a veces ayudaba a gestionar las campañas de publicidad maliciosa para los compradores.

El malware Nitrogen loader es un pequeño fragmento de código que se incluía con los instaladores de aplicaciones para utilidades como Advanced IP Scanner, Slack, WinSCP, AnyDesk, Cisco AnyConnect, PuTTY y otras aplicaciones. Estas aplicaciones fueron seleccionadas porque es más probable que sean descargadas por equipos de TI y otros usuarios técnicos.

 

Captura parcial de pantalla del ataque de malvertising Nitrogen, a través de Bleeping Computer

Anuncio malicioso para Advanced IP Scanner, que conduce al dominio www[.]advanCCed-ip-scaNer[.]com. Observe la ortografía incorrecta en el sitio de descarga falso. El dominio legítimo es www.advanced-ip-scanner.com. Vía Trustwave

Cuando los usuarios comienzan a instalar la descarga comprometida, el código de Nitrogen empieza a cargar de manera lateral un dynamic link library, o dll malicioso. Las aplicaciones de Microsoft Windows utilizan archivos dll para proporcionar código y datos bajo demanda. La carga lateral de un dll es una técnica de ataque que provoca que una aplicación cargue un dll malicioso en lugar del archivo legítimo del sistema.

El malware Nitrogen es un 'cargador escalonado', lo que significa que desempaqueta, descifra y descarga el resto del ataque en múltiples pasos. A continuación se muestra cómo se relaciona Nitrogen con las etapas más comunes encontradas en estos cargadores:

Etapa 0: Atracción / Entrega: Nitrogen entrega su malware utilizando publicidad maliciosa para engañar a las víctimas y hacer que descarguen e instalen una aplicación comprometida/troyanizada.

Etapa 1: Dropper / Instalador en disco: La víctima ejecuta el instalador de la aplicación y crea el dll malicioso.

Etapa 2: Cargador / Carga lateral de DLL: La dll maliciosa es cargada por la aplicación troyanizada durante la instalación. Esta dll prepara el entorno y desempaqueta o recupera la siguiente etapa.

Etapa 3: Preparación en memoria & señalización: El preparador desempaqueta o descarga la siguiente parte del ataque, que suele ser un script de Python y balizas de comando y control (C2) como Cobalt Strike o Sliver. Estas balizas establecen comunicaciones casi de inmediato.

Etapa 4: Acciones sobre el objetivo: El sistema está comprometido, y los operadores comienzan ahora el resto de las operaciones del ataque. Esto frecuentemente lleva a infecciones de ransomware Blackcat.

Para ser claro, Nitrogen no era un intermediario de acceso inicial (IAB) y nunca estuvo involucrado en la venta de acceso. Su función era desarrollar malware para facilitar el acceso inicial para otros.

Evolución a grupo de ransomware

No está claro cuándo comenzó Nitrogen sus operaciones de extorsión, pero septiembre de 2024 es la fecha comúnmente aceptada. Fue cuando Nitrogen reclamó públicamente sus primeras víctimas.

 

Publicación de X anunciando el descubrimiento del grupo de ransomware Nitrogen, a través de Hackmanac

A finales de 2023, los investigadores observaron campañas del cargador Nitrogen que llevaron al despliegue del ransomware Blackcat. Esto estableció el papel de Nitrogen como facilitador de acceso inicial para la operación de ransomware como servicio (RaaS) de Blackcat. Lo que no está claro es si o cuándo Nitrogen se convirtió en un operador de ransomware como afiliado de Blackcat RaaS. Sin embargo, sí sabemos que Nitrogen era un operador de ransomware completamente independiente con su propia cepa de ransomware a mediados de 2024. En algún momento de esta transición, Nitrogen dejó de vender su popular malware cargador a otros.

Cadena de ataques

Nitrogen sigue utilizando su propio malware de carga para el acceso inicial, por lo que podemos acortar los dos primeros:

Acceso Inicial: El ataque comienza cuando los usuarios hacen clic en anuncios maliciosos que los redirigen a sitios falsos de descarga de software.​

Captura de pantalla de una página similar a Filezilla diseñada para engañar a las víctimas, a través de Threatdown

Entrega y ejecución de malware: El instalador comienza la carga lateral de dll y establece una conexión con el servidor C2.

Persistencia y movimiento lateral: El malware crea mecanismos de persistencia, como claves de ejecución del registro o tareas programadas, para asegurarse de que se ejecute al iniciar el sistema o periódicamente.​ Este sistema es la 'plataforma de lanzamiento' para los siguientes pasos.

Comando y Control (C2) y Entrega de Carga Útil: El componente persistente ejecuta NitrogenStager, que se comunica con los servidores de Comando y Control (C2) del actor de la amenaza y despliega herramientas adicionales para facilitar el movimiento lateral, la exfiltración de datos o un ataque de ransomware.

Despliegue de ransomware y post-explotación: Antes de cifrar los archivos, los operadores de Nitrogen exfiltran datos sensibles a su propia infraestructura, que generalmente son los servidores del grupo en Bulgaria. Cuando este proceso termina, el archivo binario del ransomware se ejecutará y comenzará el cifrado. El proceso de cifrado añade la extensión ‘.nba’ a los archivos afectados. Se deja una nota de rescate, generalmente llamada "readme.txt", en el escritorio y en cada carpeta donde se han cifrado archivos.

Evasión y ofuscación: Los actores de Nitrogen pueden borrar los registros de eventos del sistema y utilizar otras técnicas de ocultación para eliminar artefactos forenses que puedan ayudar a los investigadores y a las fuerzas del orden.

Rescate y negociaciones

La nota de rescate de Nitrogen es como la mayoría de las otras. Tiene una introducción que explica lo que sucedió:

 

Nota de rescate de Nitrogen parte 1, a través de Ransom.Live

Concluye con instrucciones sobre cómo pagar y detalles de lo que la víctima obtiene a cambio.

Nota de rescate de Nitrogen parte 2, a través de Ransom.Live

Hay mucho más en la nota de rescate, pero nada de sustancia. Puede ver todo aquí.

Conclusión

Los ataques de Nitrogen casi siempre comienzan con malvertising y una descarga maliciosa. El dominio del grupo en malvertising, técnicas de sigilo y capacidades de ataque integrales lo convierte en una amenaza persistente y creciente para empresas de todo el mundo.

BarracudaONE

Maximice su protección y ciberresiliencia con la plataforma de ciberseguridad impulsada por IA BarracudaONE . La plataforma protege su correo electrónico, datos, aplicaciones y redes, y se fortalece con un servicio XDR gestionado 24 horas al día, 7 días a la semana, unificando sus defensas de seguridad y proporcionando detección y respuesta ante amenazas profunda e inteligente. Gestione la postura de seguridad de su organización con confianza, aprovechando la protección avanzada, análisis en tiempo real y capacidades de respuesta proactiva. Las robustas herramientas de informes proporcionan información clara y procesable, ayudándole a monitorear riesgos, medir el ROI y demostrar el impacto operativo. No pierda la oportunidad de obtener una demostración de la plataforma por parte de nuestros expertos en ciberseguridad.

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Sinobi: El grupo de ransomware exclusivo y sofisticado que quiere ser un ninja
Sinobi: El grupo de ransomware exclusivo y sofisticado que quiere ser un ninja
 Lazarus Group: Un sindicato criminal con una bandera
Lazarus Group: Un sindicato criminal con una bandera
 SafePay: bombas de correo electrónico, estafas telefónicas y rescates muy elevados
SafePay: bombas de correo electrónico, estafas telefónicas y rescates muy elevados
 El ransomware Qilin está creciendo, pero ¿cuánto tiempo durará?
El ransomware Qilin está creciendo, pero ¿cuánto tiempo durará?
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.