Auslöser der Bestätigung war eine Anfrage von BleepingComputer: Das Medium hatte Foxconn gebeten, die Behauptungen der Nitrogen-Gruppe einzuordnen. „Einige Werke von Foxconn in Nordamerika waren Ziel eines Cyberangriffs", erklärte ein Sprecher in einer schriftlichen Stellungnahme. Das Sicherheitsteam habe umgehend seine Reaktionsmechanismen aktiviert und mehrere betriebliche Maßnahmen umgesetzt, um die Kontinuität von Produktion und Auslieferung zu gewährleisten. Die betroffenen Werke nähmen den Normalbetrieb derzeit wieder auf.
Auf ihrer Leak-Seite im Darknet gibt die Gruppe an, die gestohlenen Foxconn-Dateien enthielten „vertrauliche Anweisungen, Projekte und Zeichnungen" von Apple, Intel, Google, Nvidia, AMD und weiteren Foxconn-Kunden. Insgesamt sollen es 8 TB Daten und mehr als 11 Millionen Dokumente sein.
Die Akteure hinter Nitrogen traten erstmals 2023 in Erscheinung, damals mit einem gleichnamigen Malware-Loader, der Ransomware-Payloads von BlackCat/ALPHV auslieferte. Später entwickelte die Gruppe eine eigene Ransomware-Variante auf Basis von durchgesickertem Builder-Code von Conti 2. Nach Angaben der Sicherheitsforscher von Coveware führt jedoch „ein Programmierfehler in der ESXi-Schadsoftware dazu, dass sie alle Dateien mit dem falschen öffentlichen Schlüssel verschlüsselt und sie damit unwiederbringlich zerstört".
Nitrogen zählt nicht zu den aktivsten Ransomware-Operationen, hat seine Leak-Seite seit 2024 aber nach und nach um Dutzende Opfer ergänzt.
Für Foxconn ist es nicht der erste Vorfall dieser Art. Die LockBit-Bande beanspruchte im Januar 2024 einen Angriff auf die Foxconn-Tochter Foxsemicon sowie bereits Ende Mai 2022 auf ein Foxconn-Werk im mexikanischen Tijuana. Im Dezember 2020 erklärte die DoppelPaymer-Gruppe, sie habe die Foxconn-Anlage CTBG MX in Ciudad Juárez getroffen, und forderte 34 Millionen US-Dollar Lösegeld. Nach eigenen Angaben hatte sie dabei 100 GB Daten gestohlen, bis zu 1.400 Server verschlüsselt und 20 bis 30 TB an Backup-Daten zerstört.