Un actor de amenazas vinculado a China conocido como flor de loto se ha atribuido con confianza media al compromiso recientemente descubierto de la infraestructura que aloja Notepad++.
El ataque permitió al grupo de hackers patrocinado por el estado entregar una puerta trasera previamente indocumentada cuyo nombre en código Crisálida a los usuarios del editor de código abierto, según nuevos hallazgos de Rapid7.
El desarrollo se produce poco después de que el mantenedor de Notepad++, Don Ho. dicho que un compromiso a nivel de proveedor de alojamiento permitió a los actores de amenazas secuestrar el tráfico de actualizaciones a partir de junio de 2025 y redirigir selectivamente dichas solicitudes de ciertos usuarios a servidores maliciosos para entregar una actualización manipulada aprovechando los insuficientes controles de verificación de actualizaciones que existían en versiones anteriores de la utilidad.
La debilidad se solucionó en diciembre de 2025 con el lanzamiento de la versión 8.8.9. Desde entonces, se supo que el proveedor de alojamiento del software fue violado para realizar redirecciones de tráfico específicas hasta el 2 de diciembre de 2025, cuando se canceló el acceso del atacante. Desde entonces, Notepad++ migró a un nuevo proveedor de alojamiento con mayor seguridad y rotó todas las credenciales.
El análisis del incidente realizado por Rapid7 no ha descubierto evidencia ni artefactos que sugieran que el mecanismo relacionado con el actualizador haya sido explotado para distribuir malware.
«El único comportamiento confirmado es que la ejecución de 'notepad++.exe' y posteriormente 'GUP.exe' precedió a la ejecución de un proceso sospechoso 'update.exe' que fue descargado desde 95.179.213.0», dijo el investigador de seguridad Ivan Feigl.
«Update.exe» es un instalador del sistema de instalación programable de Nullsoft (NSIS) que contiene varios archivos:
- Un script de instalación de NSIS
- BluetoothService.exe, una versión renombrada del Asistente de envío de Bitdefender que se utiliza para la carga lateral de DLL (una técnica ampliamente utilizada por los grupos de hackers chinos)
- BluetoothService, código shell cifrado (también conocido como Chrysalis)
- log.dll, una DLL maliciosa que se descarga para descifrar y ejecutar el código shell
Chrysalis es un implante personalizado y rico en funciones que recopila información del sistema y se pone en contacto con un servidor externo («api.skycloudcenter[.]com») para probablemente recibir comandos adicionales para su ejecución en el host infectado.
El servidor de comando y control (C2) está actualmente fuera de línea. Sin embargo, un examen más profundo del artefacto ofuscado ha revelado que es capaz de procesar respuestas HTTP entrantes para generar un shell interactivo, crear procesos, realizar operaciones de archivos, cargar/descargar archivos y desinstalarse.
«En general, la muestra parece algo que se ha desarrollado activamente a lo largo del tiempo», dijo Rapid7, y agregó que también identificó un archivo llamado «conf.c» que está diseñado para recuperar una baliza Cobalt Strike mediante un cargador personalizado que incorpora API de bloque Metasploit código de shell.
Uno de esos cargadores, «ConsoleApplication2.exe», destaca por su uso de pájaro de guerra de microsoftun marco de ofuscación y protección de código interno no documentado, para ejecutar shellcode. Se ha descubierto que el actor de la amenaza copia y modifica una prueba de concepto (PoC) ya existente. publicado por la empresa alemana de ciberseguridad Cirosec en septiembre de 2024.
La atribución de Rapid7 de Chrysalis a Lotus Blossom (también conocido como Billbug, Bronze Elgin, Lotus Blossom, Raspberry Typhoon, Spring Dragon y Thrip) se basa en similitudes con campañas anteriores realizadas por el actor de amenazas, incluida una documentado por Symantec, propiedad de Broadcom, en abril de 2025, que implicó el uso de ejecutables legítimos de Trend Micro y Bitdefender para descargar archivos DLL maliciosos.
«Si bien el grupo continúa confiando en técnicas comprobadas como la carga lateral de DLL y la persistencia del servicio, su cargador de código shell de múltiples capas y la integración de llamadas al sistema no documentadas (NtQuerySystemInformation) marcan un cambio claro hacia un arte más resistente y sigiloso», dijo la compañía.
«Lo que destaca es la combinación de herramientas: la implementación de malware personalizado (Chrysalis) junto con marcos básicos como Metasploit y Cobalt Strike, junto con la rápida adaptación de la investigación pública (específicamente el abuso de Microsoft Warbird). Esto demuestra que Billbug está actualizando activamente su manual para mantenerse a la vanguardia de la detección moderna».
Fuente