Se cree con confianza media que un compromiso recientemente descubierto de la infraestructura que aloja Notepad++ es obra de un actor afiliado a China conocido como Lotus Blossom.
El ataque permitió a un grupo de hackers patrocinado por el estado distribuir una puerta trasera previamente indocumentada con el nombre en código «Chrysalis» a los usuarios del editor de código abierto, según nuevos hallazgos de Rapid7.
Este desarrollo se produce poco después de que el administrador de Notepad++, Don Ho, dijera que una infracción a nivel del proveedor de alojamiento permitió a los atacantes secuestrar el tráfico de actualizaciones a partir de junio de 2025 y explotar los deficientes controles de validación de actualizaciones que existían en versiones anteriores de la utilidad para redirigir selectivamente las solicitudes de ciertos usuarios a servidores maliciosos y ofrecer actualizaciones manipuladas.
Esta vulnerabilidad se resolvió con el lanzamiento de la versión 8.8.9 en diciembre de 2025. Posteriormente se descubrió que el proveedor de alojamiento del software se había visto comprometido, lo que permitió que se llevara a cabo la redirección del tráfico dirigido hasta que se terminó el acceso del atacante el 2 de diciembre de 2025. Desde entonces, Notepad++ se mudó a un nuevo proveedor de alojamiento con seguridad mejorada y rotó todas las credenciales.
El análisis de Rapid7 de este incidente no encontró evidencia ni artefactos que sugirieran que los mecanismos relacionados con Updater fueran explotados para distribuir malware.
«El único comportamiento observado fue la ejecución de ‘notepad++.exe’ seguido de ‘GUP.exe’ antes de la ejecución del proceso sospechoso ‘update.exe’ descargado desde 95.179.213.0», dijo el investigador de seguridad Ivan Feigl.
«update.exe» es un instalador del sistema de instalación programable de Nullsoft (NSIS) que contiene varios archivos.
Script de instalación de NSIS BluetoothService.exe, una versión renombrada del Asistente de envío de Bitdefender que se utiliza para la descarga de DLL (una técnica ampliamente utilizada por grupos de hackers chinos) BluetoothService, shellcode cifrado (también conocido como Chrysalis) log.dll, una DLL maliciosa que se descarga para descifrar y ejecutar el código de shell
Chrysalis es un implante personalizado y rico en funciones que recopila información del sistema y se conecta a un servidor externo (‘api.skycloudcenter(.)com’) para recibir comandos adicionales para ejecutar en hosts infectados.
El servidor de comando y control (C2) está actualmente fuera de línea. Sin embargo, una inspección más cercana del artefacto ofuscado revela que puede procesar respuestas HTTP entrantes para generar un shell interactivo, crear procesos, realizar operaciones con archivos, cargar/descargar archivos y desinstalarse.
«En general, esta muestra parece ser una que se ha desarrollado activamente a lo largo del tiempo», dijo Rapid7, y agregó que también identificó un archivo llamado «conf.c» que fue diseñado para recuperar balizas Cobalt Strike mediante un cargador personalizado que incrustaba el código shell API del bloque Metasploit.
Uno de esos cargadores, ‘ConsoleApplication2.exe’, se destaca por utilizar Microsoft Warbird, un marco de ofuscación y protección de código interno no documentado, para ejecutar shellcode. Se descubrió que los atacantes habían copiado y modificado una prueba de concepto (PoC) existente publicada por la empresa alemana de ciberseguridad Cirosec en septiembre de 2024.
Rapid7 atribuyó Chrysalis a Lotus Blossom (también conocido como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon y Thrip). Esto se basa en similitudes con campañas anteriores realizadas por este actor de amenazas. Esto incluye una campaña documentada por Symantec, propiedad de Broadcom, en abril de 2025 que utilizó ejecutables legítimos de Trend Micro y Bitdefender para descargar archivos DLL maliciosos.
«Si bien el grupo continúa confiando en técnicas comprobadas como la descarga de DLL y la persistencia del servicio, su cargador de código shell de múltiples capas y la integración de una llamada al sistema no documentada (NtQuerySystemInformation) señala un cambio claro hacia un arte más resistente y sigiloso», dijo la compañía.
«Lo que destaca es la combinación de herramientas: implementar malware personalizado (Chrysalis) junto con marcos básicos como Metasploit y Cobalt Strike, y adaptar rápidamente la investigación pública (particularmente el exploit Microsoft Warbird). Esto muestra que Billbug está actualizando activamente su manual para mantenerse a la vanguardia de las últimas detecciones».
Source link
