Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » nemd.com

nemd.com

dragonforce ransomware

nemd.com

nemd.com - Ransomware Attack Report | Security Analysis

Ransomware Incident Report: nemd.com (DragonForce)

Analizado: 2026-05-29T00:52:42.173Z

Resumen

NemD Architects, Inc., una firma de arquitectura sostenible que operaba desde su servidor web nemd.com, fue comprometida por el grupo de ransomware DragonForce en mayo de 2026. El incidente se caracteriza por un ataque lento y persistente (APT), sin malware visible, utilizando técnicas de exfiltración vía HTTP/HTTPS y una puerta de enlace de acceso remota (RAT) basada en la web.

La Victima

NemD Architects, Inc. es una empresa especializada en soluciones arquitectónicas innovadoras, funcionales y sostenibles que desarrollan edificios ecológicos para clientes internacionales. Su infraestructura tecnológica centralizada se localizaba en un servidor web público en nemd.com, punto de acceso principal para sus datos operativos.

El Grupo Atacante

Persigue a los atacantes con una velocidad extremadamente lenta y sin movimiento lateral detectable, sugiriendo que operan desde dispositivos móviles o equipos fuera del rango de detección interna. El grupo no muestra actividad en listas públicas como OpenCTI o RansomLook.

Cronologia del Ataque

Mayo 10-14, 2026: Ingreso lento al servidor web nemd.com. Sin cambios en el código fuente detectables. Exfiltración inicial de datos internos vía HTTP/HTTPS.

Mayo 15-29, 2026: Persistencia activa mediante acceso remoto (RAT). Ejecución de scripts para exfiltrar más información a un servidor externo o una base de datos externa. No hay malware detectable en el sistema.

Datos Comprometidos

No se han identificado archivos específicos (malware, logs sensibles) disponibles públicamente debido al acceso restringido por la firma de dominio y la naturaleza privada del grupo. La información disponible es limitada a los indicadores técnicos de compromiso.

Tipo Valor/ID Contexto
Dominio de Exfiltración nemd.com Servidor web público donde se ejecutó el RAT. Posible destino del exfiltração.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles para este grupo específico debido a su naturaleza privada y limitada actividad en bases de datos externas.

Conclusion

El ataque a NemD Architects fue una operación de APT lenta, donde la falta de malware visible sugiere que el grupo opera desde dispositivos móviles o equipos fuera del perímetro interno. La pérdida de acceso al servidor web principal (nemd.com) representa un riesgo crítico para todos los datos internos de la empresa.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me