Source : Blog Barracuda (article du 07/11/2025). Contexte : présentation du groupe Nitrogen et de son évolution, basée sur observations ouvertes et analyses internes, avec un focus sur l’identité, l’implant technique et les méthodes de distribution.

L’article décrit Nitrogen comme un acteur de ransomware à motivation financière, identifié depuis 2023, passé d’un rôle de développeur/opérateur de loader à une opération d’extorsion plus complète. Le branding du groupe est minimaliste et peu révélateur, suggérant un manque d’intérêt pour la notoriété publique ou une facilité de rebranding, mais ces éléments demeurent spéculatifs.

Sur l’attribution, il n’existe pas d’éléments publics concluants liant Nitrogen à un pays précis. Des signaux en sources ouvertes enracinent l’activité dans une zone Europe de l’Est, avec des serveurs de commande et contrôle en Bulgarie et aux Pays-Bas. Aucune identité individuelle n’est confirmée, bien que des liens supposés avec d’anciens opérateurs BlackCat soient mentionnés.

Côté origine et chaîne d’infection, l’activité malware de Nitrogen a été détectée à l’été 2023. Le loader visait à obtenir l’accès et la persistance pour des attaques furtives. Le groupe développait et vendait ce loader et pouvait gérer des campagnes de malvertising pour ses clients/acheteurs. La distribution s’appuyait sur des installateurs piégés d’outils susceptibles d’être téléchargés par des équipes IT, notamment : Advanced IP Scanner, Slack, WinSCP, AnyDesk, Cisco AnyConnect, PuTTY, entre autres.

TTPs observés/rapportés :

  • Malvertising menant à des installateurs trojanisés de logiciels légitimes 🎯
  • Loader en plusieurs étapes (« staged loader ») pour accès initial et persistance
  • C2 géographiquement situés en Bulgarie et Pays-Bas
  • Ciblage d’outils populaires auprès des équipes IT pour maximiser l’accès

Conclusion : il s’agit d’une analyse de menace visant à documenter l’identité floue, l’évolution opérationnelle et les techniques de diffusion/commandement de Nitrogen.

🧠 TTPs et IOCs détectés

TTP

Malvertising menant à des installateurs trojanisés de logiciels légitimes, Loader en plusieurs étapes pour accès initial et persistance, C2 géographiquement situés en Bulgarie et Pays-Bas, Ciblage d’outils populaires auprès des équipes IT

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://blog.barracuda.com/2025/11/07/nitrogen-ransomware–from-staged-loader-to-full-scale-extortion