🕵️ Contexte

Source : Picus Security (blog), publié le 23 mai 2026. L’article présente une analyse technique de la chaîne d’attaque, des outils et des tactiques du groupe ransomware NightSpire, identifié pour la première fois début 2025.

🎯 Campagne et victimologie

NightSpire a frappé au moins 64 organisations dans 33 pays entre mars et juin 2025. Les États-Unis arrivent en tête des victimes, suivis par la Turquie, Hong Kong, le Japon, Taïwan, le Mexique, l’Espagne et l’Égypte.

🔒 Mécanisme de double extorsion

Le groupe pratique la double extorsion :

  • Exfiltration des données avant chiffrement
  • Menace de publication sur un site Tor en cas de refus de paiement

🛠️ Composants techniques

Encrypteur :

  • Exécutable écrit en Go
  • Scanne les répertoires et ajoute l’extension .nspire aux fichiers chiffrés
  • Dépose une note de rançon dans chaque dossier contenant du contenu chiffré

Outils légitimes détournés pour la furtivité :

  • Chrome Remote Desktop et AnyDesk — persistance et accès à distance
  • Everything — découverte de fichiers
  • 7-Zip — archivage avant exfiltration
  • MEGAsync — exfiltration vers le stockage cloud MEGA

📋 Type d’article

Il s’agit d’une analyse de menace publiée par un éditeur de cybersécurité, visant à documenter les tactiques, techniques et procédures (TTPs) du groupe NightSpire à des fins de threat intelligence.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • NightSpire (cybercriminal) —

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1567.002 — Exfiltration to Cloud Storage (Exfiltration)
  • T1537 — Transfer Data to Cloud Account (Exfiltration)
  • T1083 — File and Directory Discovery (Discovery)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1219 — Remote Access Software (Command and Control)
  • T1657 — Financial Theft (Impact)

Malware / Outils

  • NightSpire (ransomware)
  • AnyDesk (tool)
  • Chrome Remote Desktop (tool)
  • Everything (tool)
  • 7-Zip (tool)
  • MEGAsync (tool)

🔴 Indice de vérification factuelle : 25/100 (basse)

  • ⬜ picussecurity.com — source non référencée (0pts)
  • ✅ 783 chars — extrait court (5pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : NightSpire (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.picussecurity.com/resource/blog/nightspire-ransomware-attack-chain-tools-and-tactics

🖴 Archive : https://web.archive.org/web/20260528071338/https://www.picussecurity.com/resource/blog/nightspire-ransomware-attack-chain-tools-and-tactics