Desde su surgimiento en febrero de 2025, el grupo de ransomware Nightspire se ha distinguido rápidamente a través de una estrategia de doble extensión sofisticada que combina el cifrado dirigido con fugas de datos públicos.
Inicialmente, apareciendo en Corea del Sur, el grupo aprovechó las vulnerabilidades en las redes corporativas para obtener acceso inicial, a menudo explotando electrodomésticos VPN obsoletos y servicios de protocolo de escritorio remoto sin parpadear.
Una vez dentro, Nightspire implementa cargas útiles personalizadas que escanean acciones de archivos y bases de datos conectadas, asegurando el máximo impacto al priorizar los activos de alto valor.
El logotipo emblemático del grupo, estampado en su sitio de fuga dedicado, subraya su enfoque profesionalizado para la extorsión cibernética.
Logotipo del equipo Nightspire (fuente – ASEC)
A las pocas semanas de su primera divulgación pública, Nightspire orquestó ataques contra organizaciones en América del Norte, Asia y Europa, llegando a sectores como minoristas y mayoristas en los Estados Unidos, la fabricación de productos químicos en Japón y la logística marítima en Tailandia.
Las víctimas informan extensiones encriptadas renombradas a “.nspire”, acompañadas de una nota de rescate llamada ReadMe.txt en cada directorio comprometido.
Analistas de ASEC anotado que estas notas emplean un lenguaje altamente amenazante e incluyen temporizadores de cuenta regresiva para la liberación de datos, aumentando la presión sobre las víctimas para negociar antes de que se haga público información confidencial.
A medida que se expandió la huella de Nightspire, los investigadores de seguridad comenzaron a diseccionar su infraestructura subyacente.
Los binarios de ransomware revelan una arquitectura modular capaz de cambiar entre el cifrado de bloque y las rutinas de cifrado completas dependiendo del tipo de archivo.
Según la ingeniería inversa por parte de los investigadores de ASEC, los archivos grandes como las imágenes de disco virtual (.vhdx, .vmdk) y los archivos (.zip) se procesan en fragmentos de 1 mb utilizando una función de cifrado de bloque AES-CBC, mientras que los documentos y los archivos más pequeños se someten a un cifrado de archivo completo con el mismo cifre.
Estructura de archivos cifrado (fuente – ASEC)
Al insertar la clave AES al final de cada archivo encriptado, luego asegurarlo con RSA y agregarla a la cola del archivo, Nightspire asegura que la recuperación automatizada y manual sin pago siga siendo prácticamente imposible.
Análisis de infección
El mecanismo de infección de Nightspire depende de un cargador de varias etapas que primero desactiva el defensor de Windows y elimina las copias de la sombra de volumen para evitar una reversión fácil.
El cargador inicia consultando el sistema operativo con la función _stat () para enumerar archivos y directorios accesibles, filtrando rutas críticas del sistema para evitar desestabilizar el host.
Carpeta infectada por ransomware nocturno (fuente – ASEC)
Una vez que se crea el mapa del sistema de archivos, el siguiente pseudocódigo describe la lógica de decisión de cifrado:-
if (ext en {“.iso”, “.vhdx”, “.vmdk”, “.zip”, “.vib”, “.bak”, “.mdf”, “.flt”, “.df”}) {main_enCryptFileV2 (filepath, aeskey, rsapubkey, chounksize = 1mb); } else {main_encryptFilev1 (filepath, aeskey, rsapubkey); }
Después de encriptar cada objetivo, el cargador escribe una nota de rescate readMe.txt en la misma carpeta, luego comunica el éxito al servidor de comando y control del grupo a través de un canal de telegrama cifrado.
Durante esta fase, el ransomware también captura el escritorio y los exfiltra junto con documentos críticos, reforzando su apalancamiento. El resultado es un compromiso rápido y sigiloso que deja mecanismos de detección tradicionales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
