自 2025 年 2 月出现以来，NightSpire 勒索软件团伙凭借结合 “定向加密” 与 “公开数据泄露” 的复杂双重勒索策略，迅速崭露头角。 该团伙最初在韩国出现，通过利用企业网络中的漏洞获取初始访问权限，其常用手段包括攻击过时的 VPN 设备以及未打补丁的远程桌面协议（RDP）服务。 一旦入侵系统，NightSpire 会部署定制化的恶意有效载荷，扫描相连的文件共享服务器和数据库，并优先针对高价值资产发起攻击，以实现最大攻击影响。 该团伙在其专属泄露网站（Dedicated Leak Site）上印有标志性 logo，这一细节凸显了其在网络勒索活动中专业化的运作模式。

NightSpire 团队 logo（来源：ASEC）

在首次公开活动后的几周内，NightSpire 便对北美、亚洲和欧洲多地的企业发起攻击，受影响行业包括美国的零售批发业、日本的化工制造业以及泰国的海运物流业。 据受害者反馈，受感染文件的扩展名被修改为 “.nspire”，且每个受攻陷的目录中都会出现一个名为 “readme.txt” 的勒索通知文件。 ASEC（安全研究机构）的分析师指出，这些勒索通知采用极具威胁性的措辞，并包含数据发布倒计时，通过这种方式加大对受害者的压力，迫使他们在敏感信息被公开前进行谈判。 随着 NightSpire 影响范围的扩大，安全研究人员开始深入剖析其底层基础设施。 分析发现，该勒索软件的二进制文件采用模块化架构，可根据文件类型在 “块加密” 和 “全文件加密” 两种模式间切换。 ASEC 研究人员通过逆向工程发现，对于虚拟磁盘镜像（.vhdx、.vmdk）和压缩包（.zip）等大型文件，勒索软件会采用 AES-CBC 块加密算法，以 1MB 为单位分块处理；而对于文档及其他小型文件，则会使用相同的加密算法对文件进行完整加密。

加密文件结构（来源：ASEC）

NightSpire 会将 AES 密钥插入每个加密文件的末尾，随后用 RSA 算法对该密钥进行加密并附加到文件尾部 —— 这种设计使得受害者在不支付赎金的情况下，无论是通过自动化工具还是人工方式，几乎都无法恢复文件。

感染分析

NightSpire 的感染机制依赖于一个多阶段加载器，该加载器首先会禁用 Windows Defender（Windows 防御者）并删除卷影副本（用于系统恢复的备份文件），以阻止受害者轻易恢复数据。 加载器通过调用_Stat()函数查询操作系统，枚举可访问的文件和目录，并过滤掉系统关键路径，避免破坏主机系统稳定性。

被 NightSpire 勒索软件感染的文件夹（来源：ASEC）

构建完文件系统映射后，加密决策逻辑可通过以下伪代码概括： plaintext

if (文件扩展名属于 {".iso", ".vhdx", ".vmdk", ".zip", ".vib", ".bak", ".mdf", ".flt", ".ldf"}) {
    main_EncryptFilev2(文件路径, aes密钥, rsa公钥, 分块大小 = 1MB);  // 块加密模式
} else {
    main_EncryptFilev1(文件路径, aes密钥, rsa公钥);  // 全文件加密模式
}

对每个目标文件完成加密后，加载器会在同一文件夹中写入 “readme.txt” 勒索通知，随后通过加密的 Telegram（电报）频道向该团伙的命令与控制（C2）服务器发送 “攻击成功” 的反馈信息。 在此阶段，勒索软件还会对桌面进行截图，并将截图与关键文档一同窃取 —— 这一操作进一步增强了团伙对受害者的威慑力。最终，这种快速且隐蔽的入侵方式，往往让传统检测机制陷入被动应对的局面。