Barracuda full logo

Ransomware Nitrogen : du déploiement progressif à une extorsion à grande échelle

Thèmes:
7 nov. 2025
|
Christine Barry

Le groupe Nitrogen est un groupe de menace sophistiqué et motivé par des raisons financières, qui a été observé pour la première fois en tant que développeur et opérateur de malware en 2023. Depuis sa découverte, Nitrogen s’est transformé en une opération de ransomware à double extorsion de bout en bout. La localisation du groupe, l’identité et l’origine de ses membres et les relations avec d’autres acteurs malveillants ne sont pas bien documentées.

Avant de passer au profil complet, voici un aperçu rapide du groupe :

 

FONCTIONNALITÉ

Description

Type de menace

Groupe de menaces de type ransomware/double extorsion. Les chercheurs sont partagés quant à savoir si Nitrogen fonctionne comme un groupe de ransomware en tant que service (RaaS).

Caractéristique unique

Utilisation agressive de publicités malveillantes (malvertising) et de programmes d’installation infectés par des chevaux de Troie destinés aux professionnels de l’informatique et à d’autres utilisateurs techniques.

Cibles

Des entreprises de toutes tailles dans les domaines de la finance, de l’industrie, des services professionnels et des entreprises régionales (États-Unis, Royaume-Uni, Canada et diverses victimes internationales).

Accès initial

Publicités malveillantes/piégées qui conduisent les victimes à des installateurs malveillants ou infectés par des chevaux de Troie pour des applications légitimes comme WinSCP et Advanced IP Scanner.

Méthode d’extorsion

Exfiltration et chiffrement des données.

Site de divulgation

Logo « NitroBlog » avec lien « Contactez-nous » et liste des victimes

 

Capture d’écran partielle de NitroBlog montrant le logo et la liste des victimes. Via Ransom.live

Qu'y a-t-il dans un nom ?

Les noms et logos des groupes ne sont pas toujours significatifs, mais parfois l’image de marque donne des indices sur les intentions, la localisation et l’identité des membres du groupe. Nitrogen ne nous donne pas beaucoup d’éléments ici.

Il est difficile de dire pourquoi le groupe a choisi le nom Nitrogen. Il n’y a rien d’amusant ou d’intéressant derrière ce nom. Ce nom est peut-être censé projeter une image d’invisibilité et d’omniprésence, ou de froideur et de méthodologie, ou bien autre chose. Peut-être que ça ne veut rien dire.

Le logo minimaliste ressemble à une image de stock avec quelques éléments de design, et nous pouvons spéculer sur ce que cela signifie. D’autres groupes dont nous avons dressé le profil ont des marques au design délirant, avec des insectes, des créatures mythiques et une ambiance rétro. Lockbit a payé des gens pour qu’ils se tatouent son logo (répugnant). Nitrogen ne semble pas se soucier de ce genre de choses, ce qui pourrait signifier que le groupe ne donne pas la priorité à la reconnaissance de sa marque à long terme. Peut-être que le groupe a une stratégie de sortie planifiée ou qu’il reconnaît que les marques de ransomware ne durent pas longtemps. Il est plus facile de changer de marque et de domaine avec une simple image de logo, car vous n’avez pas un tas d’éléments de style à nettoyer et/ou à placer sur un nouveau serveur.

La simplicité de son design pourrait aussi être un signe que le groupe ne cherche pas à faire du marketing. Il souhaite opérer en toute discrétion et ne pas se préoccuper de mettre en avant sa marque. Si le groupe fonctionne comme un RaaS, pourquoi n’essaie-t-il pas d’attirer l’attention ? 

Pour rappel, tout ceci n’est que spéculation.

Localisation et identités

Nitrogen n’est officiellement attribué à aucun pays ou région spécifique. Des rapports open-source établissent un lien entre l’activité de Nitrogen et la région de l’Europe de l’Est, mais les chercheurs n’ont pas pu confirmer l’emplacement. La plupart des serveurs de commande et de contrôle du ransomware Nitrogen se trouvent en Bulgarie et aux Pays-Bas, mais le groupe pourrait être décentralisé et attaquer depuis différents endroits.

Il n'existe pas non plus de preuve directe établissant un lien entre Nitrogen et des individus en particulier, bien que les chercheurs pensent que le groupe actuel comprend peut-être d'anciens opérateurs de Blackcat.

Naissance

Développeur de malware et opérateur de loader

L’activité des malwares Nitrogen a été détectée pour la première fois par des chercheurs durant l’été 2023. Le malware était conçu pour accéder à un système et s’y installer durablement afin de permettre à un acteur malveillant de mener une attaque furtive. Le groupe Nitrogen a développé et vendu le malware, et a parfois aidé à gérer les campagnes de publicité malveillante des acheteurs.

Le malware de Nitrogen est un petit bout de code intégré aux programmes d’installation d’applications d’utilitaires tels qu’Advanced IP Scanner, Slack, WinSCP, AnyDesk, Cisco AnyConnect, PuTTY et d’autres applications. Ces applications ont été choisies parce qu’elles sont plus susceptibles d’être téléchargées par les équipes informatiques et d’autres utilisateurs techniques. 

 

Capture d’écran partielle de l’attaque par publicité malveillante de Nitrogen, via Bleeping Computer

Publicité malveillante pour Advanced IP Scanner, menant au domaine www[.]advanCCed-ip-scaNer[.]com. Remarquez l’orthographe incorrecte du faux site de téléchargement. Le domaine légitime est www.advanced-ip-scanner.com. Via Trustwave

Lorsque les utilisateurs commencent à installer le fichier téléchargé et compromis, le code Nitrogen commence à charger une bibliothèque de liens dynamiques malicieuse ou DLL. Les applications Microsoft Windows utilisent des fichiers dll pour fournir du code et des données à la demande. Le parachargement d’une DLL est une technique d’attaque qui consiste à faire charger par une application une DLL malveillante au lieu du fichier système légitime.

Le malware Nitrogen est un « loader progressif », ce qui signifie qu’il décompresse, déchiffre et télécharge le reste de l’attaque en plusieurs étapes. Voici comment Nitrogen s’aligne sur les étapes les plus fréquemment observées dans ces loaders :

Étape 0 – Appât/Livraison : Nitrogen diffuse son malware en utilisant la publicité malveillante pour inciter les victimes à télécharger et à installer une application compromise ou infectée par uncheval de Troie.

Étape 1 : Dropper / Installer sur disque : La victime exécute le programme d'installation de l'application et crée la DLL malicieuse.

Étape 2 – Chargeur/parachargement de DLL : la DLL malveillante est chargée par l’application infectée par un cheval de Troie lors de son installation. Cette DLL prépare l’environnement et décompresse ou récupère l’étape suivante.

Étape 3 – Transfert et balisage en mémoire : le stager, ou chargeur intermédiaire, décompresse ou télécharge la prochaine partie de l’attaque, qui est généralement un script Python et des balises de commande et de contrôle (C2) comme Cobalt Strike ou Sliver. Ces balises établissent des communications presque immédiatement.

Étape 4 – Actions sur l’objectif : le système est compromis et les opérateurs commencent maintenant le reste des opérations d’attaque. Cela conduisait souvent à des infections par le ransomware Blackcat.

Pour être clair, Nitrogen n’était pas un courtier d’accès initial (IAB) et n’a jamais été impliqué dans la vente d’accès. Sa fonction était de développer des malwares afin de faciliter l’accès initial aux autres.

Évolution vers un groupe de ransomware

On ne sait pas exactement quand Nitrogen a commencé ses opérations d’extorsion, mais septembre 2024 est la date communément admise. C’est à ce moment-là que Nitrogen a fait publiquement ses premières victimes

 

X annonce la découverte du groupe de ransomware Nitrogen, via Hackmanac

Fin 2023, des chercheurs ont observé des campagnes de chargement de Nitrogen qui menant au déploiement du ransomware Blackcat, confirmant ainsi le rôle de Nitrogen comme vecteur d’accès initial pour l’opération de ransomware en tant que service (RaaS) Blackcat. Ce qui n’est pas clair, c’est si et quand Nitrogen est devenu un opérateur de ransomware en tant qu’affilié du RaaS Blackcat. Nous savons toutefois que Nitrogen était un opérateur de ransomware totalement indépendant, possédant sa propre souche de ransomware, dès le milieu de l’année 2024. Au cours de cette transition, Nitrogen a cessé de vendre son populaire malware à des tiers.

Chaîne d’attaque

Nitrogen continue d’utiliser son propre malware de chargement pour l’accès initial, ce qui nous permet de raccourcir les deux premières étapes :

Accès initial : l’attaque commence lorsque les utilisateurs cliquent sur des publicités malveillantes qui les redirigent vers de faux sites de téléchargement de logiciels.​

Capture d’écran d’une page ressemblant à Filezilla, conçue pour tromper les victimes, via Threatdown

Diffusion et exécution du malware : le programme d’installation commence le parachargement des DLL et établit une connexion au serveur C2.

Persistance et mouvement latéral: Le malware crée des mécanismes de persistance, tels que des clés d'exécution du registre ou des tâches planifiées, afin de s'assurer qu'il s'exécute au démarrage du système ou périodiquement.​ Ce système est la « rampe de lancement » pour les prochaines étapes.

Commande et contrôle (C2) et livraison de la charge utile : le composant persistant exécute NitrogenStager, qui communique avec les serveurs de commande et de contrôle (C2) de l’acteur malveillant et déploie des outils supplémentaires pour faciliter les mouvements latéraux, l’exfiltration de données ou une attaque par ransomware.

Post-exploitation et déploiement de ransomware : avant de chiffrer les fichiers, les opérateurs de Nitrogen exfiltrent les données sensibles vers leur propre infrastructure, qui se trouve généralement sur les serveurs du groupe en Bulgarie. Une fois ce processus terminé, le fichier binaire du ransomware s’exécute et commence le chiffrement. Le processus de chiffrement ajoute l’extension « .nba » aux fichiers concernés. Une demande de rançon, généralement nommée « readme.txt » est laissé sur le bureau et dans chaque dossier où les fichiers ont été chiffrés.

Évasion et obfuscation : les acteurs malveillants peuvent effacer les journaux des événements du système et utiliser d’autres techniques de dissimulation pour supprimer les traces susceptibles d’aider les chercheurs et les forces de l’ordre.

Rançon et négociations

La demande de rançon de Nitrogen ressemble à la plupart des autres. Elle contient une introduction qui explique ce qui s’est passé :

 

Note de rançon de Nitrogen, partie 1, via Ransom.Live

Elle se termine par des instructions sur la façon de payer et des détails sur ce que la victime reçoit en retour. 

Note de rançon de Nitrogen, partie 2, via Ransom.Live

La demande de rançon contient beaucoup plus d’informations, mais rien d’important. Vous pouvez voir l’intégralité de la note ici.

Conclusion

Les attaques Nitrogen commencent presque toujours par de la publicité malveillante et un téléchargement malveillant. La maîtrise par le groupe de la publicité malveillante, des techniques furtives et des capacités d’attaque complètes en font une menace persistante et croissante pour les entreprises du monde entier.

BarracudaONE

Optimisez votre protection et votre cyber-résilience grâce à la plateforme de cybersécurité BarracudaOne basée sur l’IA. La plateforme protège vos e-mails, vos données, vos applications et vos réseaux. Elle est renforcée par un service XDR géré 24/7, qui unifie vos défenses de sécurité et fournit une détection et une réponse intelligentes et approfondies aux menaces. Gérez la posture de sécurité de votre organisation en toute confiance, en tirant parti de la protection avancée, des analyses en temps réel et des capacités de réponse proactive. Des outils de reporting performants vous fournissent des informations claires et exploitables, vous aidant à surveiller les risques, à mesurer le retour sur investissement et à démontrer l’impact opérationnel. Ne manquez pas d’obtenir une démo de la plateforme en vous adressant à nos experts en cybersécurité. 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Sinobi : le groupe de ransomware huppé qui aspire à être un ninja
Sinobi : le groupe de ransomware huppé qui aspire à être un ninja
 Lazarus Group : Un syndicat criminel avec un drapeau
Lazarus Group : Un syndicat criminel avec un drapeau
 SafePay : bombes par e-mail, scams téléphoniques et rançons très élevées
SafePay : bombes par e-mail, scams téléphoniques et rançons très élevées
 Le ransomware Qilin est en pleine expansion… mais pour combien de temps ?
Le ransomware Qilin est en pleine expansion… mais pour combien de temps ?
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.