INSPECTING ARCHIVED INTELLIGENCE (OUTDATED VERSION).

Notepad++ Breach Attributed to China-Linked Lotus Blossom

| 2026-02-03 04:55 CRITICAL HIGH
JSON
Executive Summary AI-generated
The Notepad++ hosting breach attributed to the Lotus Blossom hacking group has been linked to a sophisticated attack vector, with multiple chains of infection discovered. The initial compromise occurred through the exploitation of vulnerabilities in the mechanism used for distribution updates, enabling attackers to selectively break into high-profile organizations' machines worldwide. This was followed by the execution of 'notepad++.exe', 'GUP.exe', and 'update.exe', which were later found to contain multiple malicious files, including a script-based installer called NSIS's BluetoothService.exe, a shell-coding DLL named log.dll, and an implante-a-me code named Chrysalis. These components are designed to intercept commands from the infected host and execute them on behalf of the attackers. The Notepad++ mantener Don Ho stated that this compromise was facilitated by compromised providers of hosting services, allowing malicious actors to hijack updates for June 2025 and redirect selective requests to servers with malware payloads.
Technical Mitigations AI-generated
* Notepad++Mantenedor Don Ho dijo que un compromiso a nivel de proveedores de alojamiento permitió a los agentes de amenazas secuestrar tráfico de actualización desde junio de 2025 y redirigir selectivamente solicitudes de ciertos usuarios a servidores maliciosos para servir una actualización manipulada. * Rapid7's analysis of the incident has uncovered no evidence or artifacts to suggest that the site's plugin or updater-related mechanisms were exploited to distribution malware, but instead found evidence of a sophisticated backdoor called Chrysalis and a malicious executable named GUP.exe. * El único comportamiento confirmado es que la ejecución de 'notepad++.exe' y posteriormente 'GUP.exe' precedió a la ejecución de un proceso sospechoso 'update.exe'. * "Update.exe" es un instalador Nullsoft Scriptable Install System (NSIS) que contiene múltiples archivos, incluyendo Un script de instalación NSIS BluetoothService.exe y una versión renombrada de Bitdefender Submission Wizard. * El servidor de comando-and-control (C2) está actualmente fuera de línea. Sin embargo, un examen más profundo del artefacto obfuscado ha revelado que es capaz de procesar respuestas HTTP entrantes para generar una shell interactiva y realizar operaciones adicionales. Nota: La información proporcionada en los artículos puede no ser la última actualización sobre el incidente.
Technical Observables
Intelligence Metadata
Actors / Malware / CVEs / Campaigns
ThripThripLotus BlossomLotus Blossom Cobalt StrikeCobalt Strike
Target & Sectors
Global Scope mediamedia legallegal
Incident Timeline
octubre 2025
Los atacantes utilizaron un código de descarga Metasploit para distribuir malware a través de tres direcciones URL diferentes.
infrastructure 95.179.213
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
financial 2 remoto Cadena
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
organisation Luego
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
organisation los atacantes
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
organisation el instalador
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
organisation una combinación de cadenas de ejecución
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
organisation el último
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
organisation ejemplo de cómo el ecosistema de software
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
organisation cada vez
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
organisation el objetivo de ataques de cadena de suministro
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
infrastructure 45.32.144
Esta cadena de infección alteró la URL de distribución del instalador de NSIS a "45.32.144[.]255/update/update.exe" e inició la misma secuencia de eventos descritos por Rapid7 arriba.
organisation Esta cadena de infección
Esta cadena de infección alteró la URL de distribución del instalador de NSIS a "45.32.144[.]255/update/update.exe" e inició la misma secuencia de eventos descritos por Rapid7 arriba.
organisation del instalador de NSIS
Esta cadena de infección alteró la URL de distribución del instalador de NSIS a "45.32.144[.]255/update/update.exe" e inició la misma secuencia de eventos descritos por Rapid7 arriba.
organisation el hecho de que
Lo que es común a los tres conjuntos de ataques es el hecho de que los Beacons están cargados a través de un código de descarga Metasploit.
organisation de un código de descarga Metasploit
Lo que es común a los tres conjuntos de ataques es el hecho de que los Beacons están cargados a través de un código de descarga Metasploit.
organisation del ataque de cadena de suministro Notepad++ sea
"La variedad de cadenas de infección hace que la detección del ataque de cadena de suministro Notepad++ sea una tarea difícil y al mismo tiempo creativa", dijo Kaspersky.
organisation estaban propagando los implantes
"Los atacantes hicieron un esfuerzo para evitar perder el acceso a este vector de infección, estaban propagando los implantes maliciosos de una manera dirigida, y eran lo suficientemente hábiles para cambiar drásticamente las cadenas de infección una vez al mes".
organisation maliciosos de una manera dirigida
"Los atacantes hicieron un esfuerzo para evitar perder el acceso a este vector de infección, estaban propagando los implantes maliciosos de una manera dirigida, y eran lo suficientemente hábiles para cambiar drásticamente las cadenas de infección una vez al mes".
April 2025
China-Linked Lotus Blossom Hacking Group used a malware payload to update Notepad++ from "45.76.155[.]202/update/update.exe", which was then updated by the process of actualizing WinGUp ("gup.exe").
threat_actor Lotus Blossom
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
organisation Atribución de Rapid7 de Chrysalis
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
organisation Lotus
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
organisation Spring Dragon y
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
threat_actor Thrip
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
organisation campañas
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
organisation por el actor de la amenaza
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
organisation Broadcom
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
organisation Trend Micro
Atribución de Rapid7 de Chrysalis a Lotus Blossom (también Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) basado en similitudes con campañas anteriores realizadas por el actor de la amenaza, incluyendo una documentado by Broadcom-owned Symantec in April 2025 that involved the use of legitimate executables from Trend Micro and Bitdefender to sideload malicious DLLs.
organisation Kaspersky
Kaspersky observa 3 cadenas de infección Kaspersky, en su propio desglose del incidente Notepad++, dijo que observó tres cadenas de infección diferentes diseñadas para apuntar alrededor de una docena de máquinas pertenecientes a personas ubicadas en Vietnam, El Salvador y Australia, una organización gubernamental ubicada en Filipinas, una organización financiera ubicada en El Salvador y una organización proveedora de servicios de TI ubicada en Vietnam.
organisation cadenas de infección
Kaspersky observa 3 cadenas de infección Kaspersky, en su propio desglose del incidente Notepad++, dijo que observó tres cadenas de infección diferentes diseñadas para apuntar alrededor de una docena de máquinas pertenecientes a personas ubicadas en Vietnam, El Salvador y Australia, una organización gubernamental ubicada en Filipinas, una organización financiera ubicada en El Salvador y una organización proveedora de servicios de TI ubicada en Vietnam.
organisation Filipinas
Kaspersky observa 3 cadenas de infección Kaspersky, en su propio desglose del incidente Notepad++, dijo que observó tres cadenas de infección diferentes diseñadas para apuntar alrededor de una docena de máquinas pertenecientes a personas ubicadas en Vietnam, El Salvador y Australia, una organización gubernamental ubicada en Filipinas, una organización financiera ubicada en El Salvador y una organización proveedora de servicios de TI ubicada en Vietnam.
organisation proveedora de servicios de TI ubicada
Kaspersky observa 3 cadenas de infección Kaspersky, en su propio desglose del incidente Notepad++, dijo que observó tres cadenas de infección diferentes diseñadas para apuntar alrededor de una docena de máquinas pertenecientes a personas ubicadas en Vietnam, El Salvador y Australia, una organización gubernamental ubicada en Filipinas, una organización financiera ubicada en El Salvador y una organización proveedora de servicios de TI ubicada en Vietnam.
organisation Como
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
organisation el caso de
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
organisation el "
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
organisation el software
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
organisation códigos de shell
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
organisation el segundo
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
organisation Entre
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
organisation de septiembre de 2025
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
financial 2 remoto Cadena
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
infrastructure 45.76.155
Los atacantes fueron encontrados para desplegar una actualización de Notepad++ maliciosa alojada en "45.76.155[.]202/update/update.exe", que luego fue lanzada por el proceso de actualización de Notepad++ legítimo WinGUp ("gup.exe").
La actualización maliciosa continuó siendo entregada a través de "45.76.155[.]202/update/update.exe", mientras que el instalador de NSIS "update.exe" presentó pequeños ajustes para recopilar más información del sistema (whoami, tasklist y netstat)
organisation alojada
Los atacantes fueron encontrados para desplegar una actualización de Notepad++ maliciosa alojada en "45.76.155[.]202/update/update.exe", que luego fue lanzada por el proceso de actualización de Notepad++ legítimo WinGUp ("gup.exe").
organisation el proceso de actualización de Notepad++
Los atacantes fueron encontrados para desplegar una actualización de Notepad++ maliciosa alojada en "45.76.155[.]202/update/update.exe", que luego fue lanzada por el proceso de actualización de Notepad++ legítimo WinGUp ("gup.exe").
organisation siendo
La actualización maliciosa continuó siendo entregada a través de "45.76.155[.]202/update/update.exe", mientras que el instalador de NSIS "update.exe" presentó pequeños ajustes para recopilar más información del sistema (whoami, tasklist y netstat)
organisation que el instalador de NSIS
La actualización maliciosa continuó siendo entregada a través de "45.76.155[.]202/update/update.exe", mientras que el instalador de NSIS "update.exe" presentó pequeños ajustes para recopilar más información del sistema (whoami, tasklist y netstat)
organisation el código de shell
El código de shell lanzado fue un descargador Metasploit que baja un balón de Cobalt Strike.
organisation fue un
El código de shell lanzado fue un descargador Metasploit que baja un balón de Cobalt Strike.
organisation el despliegue de malware personalizado
"Lo que destaca es la combinación de herramientas: el despliegue de malware personalizado (Chrysalis) junto con marcos de productos básicos como Metasploit y Cobalt Strike, junto con la rápida adaptación de la investigación pública (específicamente el abuso de Microsoft Warbird).
organisation marcos de productos básicos
"Lo que destaca es la combinación de herramientas: el despliegue de malware personalizado (Chrysalis) junto con marcos de productos básicos como Metasploit y Cobalt Strike, junto con la rápida adaptación de la investigación pública (específicamente el abuso de Microsoft Warbird).
organisation la rápida
"Lo que destaca es la combinación de herramientas: el despliegue de malware personalizado (Chrysalis) junto con marcos de productos básicos como Metasploit y Cobalt Strike, junto con la rápida adaptación de la investigación pública (específicamente el abuso de Microsoft Warbird).
organisation marcan un
"Mientras el grupo sigue dependiendo de técnicas probadas como la persistencia de carga lateral y servicio DLL, su cargador de código de shell multicapa e integración de llamadas indocumentadas del sistema (NtQuerySystemInformation) marcan un cambio claro hacia un comercio más resistente y robo", dijo la empresa.
organisation Esto
Esto demuestra que Billbug está actualizando activamente su libro de juegos para mantenerse por delante de la detección moderna".
organisation utilizadas
"En el transcurso de cuatro meses, de julio a octubre de 2025, los atacantes que han comprometido Notepad++ han estado constantemente rotando las direcciones del servidor C2 utilizadas para distribuir actualizaciones maliciosas, los descargadores utilizados para la entrega del implante, así como los payloads finales", investigadores de seguridad Georgy Kucherin y Anton Kargin dijo: .
organisation Los detalles de las tres
Los detalles de las tres secuencias de infección están abajo - Cadena #1 (Entre finales de julio y principios de agosto de 2025)
organisation Cadena
Los detalles de las tres secuencias de infección están abajo - Cadena #1 (Entre finales de julio y principios de agosto de 2025)
financial 1 Cadena
Los detalles de las tres secuencias de infección están abajo - Cadena #1 (Entre finales de julio y principios de agosto de 2025)
infrastructure 2025 y principios
Los detalles de las tres secuencias de infección están abajo - Cadena #1 (Entre finales de julio y principios de agosto de 2025)
organisation un instalador de NSIS
El ejecutable, un instalador de NSIS, fue utilizado para enviar información del sistema a un temp
organisation fue utilizado
El ejecutable, un instalador de NSIS, fue utilizado para enviar información del sistema a un temp
financial 3 Cadena
Cadena #3 (octubre 2025)
2026-02-03
Un equipo de espionaje relacionado con el gobierno chino llamado Lotus Blossom se ha atribuido al compromiso recientemente descubierto de la infraestructura hospedando Notepad++.
threat_actor Lotus Blossom
Notepad++ Hosting Breach Attributed to China-Linked Lotus Blossom Hacking Group.
Un actor de amenaza relacionado con China conocido como Lotus Blossom se ha atribuido con media confianza al compromiso recientemente descubierto de la infraestructura hospedando Notepad++.
Notepad++ hijacking blamed on Chinese Lotus Blossom crew behind Chrysalis backdoor.
[Cobalt Strike] entregadas a través de 'conf.c' y 'ConsoleApplication2.exe' sugieren con confianza moderada que el actor de amenaza detrás de esta campaña es probablemente Lotus Blossom", escribió el equipo Rapid7.
Los investigadores de seguridad han atribuido el secuestro de la actualización Notepad++ a un equipo de espionaje relacionado con el gobierno chino llamado Lotus Blossom (también conocido como Lotus Panda, Billbug), que ha abusado de las debilidades de la infraestructura de actualización para obtener un punto de mira en objetivos
Más tarde el lunes, el equipo de detección y respuesta gestionado de Rapid7 atribuyó el ataque "con confianza moderada" al grupo chino de amenazas persistentes avanzadas (APT) llaman Lotus Blossom.
organisation Un
Un actor de amenaza relacionado con China conocido como Lotus Blossom se ha atribuido con media confianza al compromiso recientemente descubierto de la infraestructura hospedando Notepad++.
Los investigadores de seguridad han atribuido el secuestro de la actualización Notepad++ a un equipo de espionaje relacionado con el gobierno chino llamado Lotus Blossom (también conocido como Lotus Panda, Billbug), que ha abusado de las debilidades de la infraestructura de actualización para obtener un punto de mira en objetivos
Estado entregar un backdoor no documentado previamente llamado Chrysalis a usuarios del editor de código abierto, según nuevas conclusiones de Rapid7.
organisation al compromiso
Un actor de amenaza relacionado con China conocido como Lotus Blossom se ha atribuido con media confianza al compromiso recientemente descubierto de la infraestructura hospedando Notepad++.
organisation el esquema de secuestro
"Pero después de leer su blog, el esquema de secuestro coincide, y creo que es un análisis creíble y sólido", dijo Ho. Aunque todavía no está claro exactamente cómo los miscreants adquirieron acceso inicial a la infraestructura de distribución de Notepad++, una vez dentro abusaron de ese acceso para ofrecer una actualización trojanizada en forma de instalador de NSIS, un formato de embalaje comúnmente abusado por Chinese APT grupos para entregar cargas de pago iniciales.
organisation Aunque
"Pero después de leer su blog, el esquema de secuestro coincide, y creo que es un análisis creíble y sólido", dijo Ho. Aunque todavía no está claro exactamente cómo los miscreants adquirieron acceso inicial a la infraestructura de distribución de Notepad++, una vez dentro abusaron de ese acceso para ofrecer una actualización trojanizada en forma de instalador de NSIS, un formato de embalaje comúnmente abusado por Chinese APT grupos para entregar cargas de pago iniciales.
organisation infraestructura de distribución de Notepad++
"Pero después de leer su blog, el esquema de secuestro coincide, y creo que es un análisis creíble y sólido", dijo Ho. Aunque todavía no está claro exactamente cómo los miscreants adquirieron acceso inicial a la infraestructura de distribución de Notepad++, una vez dentro abusaron de ese acceso para ofrecer una actualización trojanizada en forma de instalador de NSIS, un formato de embalaje comúnmente abusado por Chinese APT grupos para entregar cargas de pago iniciales.
organisation una vez dentro
"Pero después de leer su blog, el esquema de secuestro coincide, y creo que es un análisis creíble y sólido", dijo Ho. Aunque todavía no está claro exactamente cómo los miscreants adquirieron acceso inicial a la infraestructura de distribución de Notepad++, una vez dentro abusaron de ese acceso para ofrecer una actualización trojanizada en forma de instalador de NSIS, un formato de embalaje comúnmente abusado por Chinese APT grupos para entregar cargas de pago iniciales.
organisation el actor de amenaza
[Cobalt Strike] entregadas a través de 'conf.c' y 'ConsoleApplication2.exe' sugieren con confianza moderada que el actor de amenaza detrás de esta campaña es probablemente Lotus Blossom", escribió el equipo Rapid7.
organisation detrás de esta
[Cobalt Strike] entregadas a través de 'conf.c' y 'ConsoleApplication2.exe' sugieren con confianza moderada que el actor de amenaza detrás de esta campaña es probablemente Lotus Blossom", escribió el equipo Rapid7.
organisation Lotus
Los investigadores de seguridad han atribuido el secuestro de la actualización Notepad++ a un equipo de espionaje relacionado con el gobierno chino llamado Lotus Blossom (también conocido como Lotus Panda, Billbug), que ha abusado de las debilidades de la infraestructura de actualización para obtener un punto de mira en objetivos
organisation Los investigadores de seguridad
Los investigadores de seguridad han atribuido el secuestro de la actualización Notepad++ a un equipo de espionaje relacionado con el gobierno chino llamado Lotus Blossom (también conocido como Lotus Panda, Billbug), que ha abusado de las debilidades de la infraestructura de actualización para obtener un punto de mira en objetivos
organisation el secuestro de la
Los investigadores de seguridad han atribuido el secuestro de la actualización Notepad++ a un equipo de espionaje relacionado con el gobierno chino llamado Lotus Blossom (también conocido como Lotus Panda, Billbug), que ha abusado de las debilidades de la infraestructura de actualización para obtener un punto de mira en objetivos
organisation el gobierno chino
Los investigadores de seguridad han atribuido el secuestro de la actualización Notepad++ a un equipo de espionaje relacionado con el gobierno chino llamado Lotus Blossom (también conocido como Lotus Panda, Billbug), que ha abusado de las debilidades de la infraestructura de actualización para obtener un punto de mira en objetivos
organisation el equipo de detección
Más tarde el lunes, el equipo de detección y respuesta gestionado de Rapid7 atribuyó el ataque "con confianza moderada" al grupo chino de amenazas persistentes avanzadas (APT) llaman Lotus Blossom.
organisation APT
Más tarde el lunes, el equipo de detección y respuesta gestionado de Rapid7 atribuyó el ataque "con confianza moderada" al grupo chino de amenazas persistentes avanzadas (APT) llaman Lotus Blossom.
infrastructure Notepad++
El desarrollo viene poco después de Notepad++Mantenedor Don Ho dijo: que un compromiso a nivel de proveedores de alojamiento permitió a los agentes de amenazas secuestrar tráfico de actualización a partir de junio de 2025 y redirigir selectivamente tales solicitudes de ciertos usuarios a servidores maliciosos para servir una actualización manipulada explotando controles de verificación de actualización insuficientes que existían en versiones anteriores de la utilidad.
organisation El desarrollo
El desarrollo viene poco después de Notepad++Mantenedor Don Ho dijo: que un compromiso a nivel de proveedores de alojamiento permitió a los agentes de amenazas secuestrar tráfico de actualización a partir de junio de 2025 y redirigir selectivamente tales solicitudes de ciertos usuarios a servidores maliciosos para servir una actualización manipulada explotando controles de verificación de actualización insuficientes que existían en versiones anteriores de la utilidad.
organisation controles de verificación de actualización
El desarrollo viene poco después de Notepad++Mantenedor Don Ho dijo: que un compromiso a nivel de proveedores de alojamiento permitió a los agentes de amenazas secuestrar tráfico de actualización a partir de junio de 2025 y redirigir selectivamente tales solicitudes de ciertos usuarios a servidores maliciosos para servir una actualización manipulada explotando controles de verificación de actualización insuficientes que existían en versiones anteriores de la utilidad.
infrastructure 95.179.213
la ejecución de 'notepad++.exe' y posteriormente 'GUP.exe' precedió a la ejecución de un proceso sospechoso 'update.exe' que fue descargado de 95.179.213.0", dijo el investigador de seguridad Ivan Feigl.
organisation Update.exe
"Update.exe" es un instalador Nullsoft Scriptable Install System (NSIS) que contiene múltiples archivos - Un script de instalación NSIS BluetoothService.exe, una versión renombrada de Bitdefender Submission Wizard que se utiliza para la carga lateral DLL (una técnica ampliamente utilizada por grupos de piratería chinos)
organisation Nullsoft Scriptable Install System
"Update.exe" es un instalador Nullsoft Scriptable Install System (NSIS) que contiene múltiples archivos - Un script de instalación NSIS BluetoothService.exe, una versión renombrada de Bitdefender Submission Wizard que se utiliza para la carga lateral DLL (una técnica ampliamente utilizada por grupos de piratería chinos)
organisation NSIS
"Update.exe" es un instalador Nullsoft Scriptable Install System (NSIS) que contiene múltiples archivos - Un script de instalación NSIS BluetoothService.exe, una versión renombrada de Bitdefender Submission Wizard que se utiliza para la carga lateral DLL (una técnica ampliamente utilizada por grupos de piratería chinos)
organisation renombrada de Bitdefender Submission Wizard
"Update.exe" es un instalador Nullsoft Scriptable Install System (NSIS) que contiene múltiples archivos - Un script de instalación NSIS BluetoothService.exe, una versión renombrada de Bitdefender Submission Wizard que se utiliza para la carga lateral DLL (una técnica ampliamente utilizada por grupos de piratería chinos)
organisation DLL
"Update.exe" es un instalador Nullsoft Scriptable Install System (NSIS) que contiene múltiples archivos - Un script de instalación NSIS BluetoothService.exe, una versión renombrada de Bitdefender Submission Wizard que se utiliza para la carga lateral DLL (una técnica ampliamente utilizada por grupos de piratería chinos)
El instalador contenía un archivo ejecutable llamado "BluetoothService.exe", que es un nombre legítimo Bitdefender Submission Wizard abusado para DLL sideloading - otro técnica favorita entre los espías respaldados por Beijing para ofrecer implantes personalizados.
organisation el instalador
El instalador contenía un archivo ejecutable llamado "BluetoothService.exe", que es un nombre legítimo Bitdefender Submission Wizard abusado para DLL sideloading - otro técnica favorita entre los espías respaldados por Beijing para ofrecer implantes personalizados.
organisation BluetoothService
También incluyó un archivo llamado "BluetoothService" que es en realidad un código de shell cifrado, y un DLL mal cargado por BluetoothService.exe.
organisation BluetoothServicio
BluetoothServicio, código de shell cifrado (también Chrysalis) log.dll, un DLL malicioso que está cargado para descifrar y ejecutar el código de shell Chrysalis es un implante a medida, rico en características que reúne información del sistema y contacta con un servidor externo ("api.skycloudcenter[.]com") para recibir probablemente comandos adicionales para su ejecución en el host infectado.
organisation el código de shell
BluetoothServicio, código de shell cifrado (también Chrysalis) log.dll, un DLL malicioso que está cargado para descifrar y ejecutar el código de shell Chrysalis es un implante a medida, rico en características que reúne información del sistema y contacta con un servidor externo ("api.skycloudcenter[.]com") para recibir probablemente comandos adicionales para su ejecución en el host infectado.
El código de shell aquí es el backdoor Chrysalis, y según Rapid7, "su amplia gama de capacidades indica que es una herramienta sofisticada y permanente, no una simple utilidad de lanzamiento".
organisation el host
BluetoothServicio, código de shell cifrado (también Chrysalis) log.dll, un DLL malicioso que está cargado para descifrar y ejecutar el código de shell Chrysalis es un implante a medida, rico en características que reúne información del sistema y contacta con un servidor externo ("api.skycloudcenter[.]com") para recibir probablemente comandos adicionales para su ejecución en el host infectado.
organisation Observan
Observan que la atribución se basa principalmente en similitudes entre el uso inicial del cargador y la investigación anterior de Symantec , incluyendo el equipo de goon usando un asistente de presentación de Bitdefender renombrado para descargar un archivo llamado "log.dll" para descifrar y ejecutar una carga útil adicional.
organisation el uso
Observan que la atribución se basa principalmente en similitudes entre el uso inicial del cargador y la investigación anterior de Symantec , incluyendo el equipo de goon usando un asistente de presentación de Bitdefender renombrado para descargar un archivo llamado "log.dll" para descifrar y ejecutar una carga útil adicional.
organisation asistente de presentación de Bitdefender
Observan que la atribución se basa principalmente en similitudes entre el uso inicial del cargador y la investigación anterior de Symantec , incluyendo el equipo de goon usando un asistente de presentación de Bitdefender renombrado para descargar un archivo llamado "log.dll" para descifrar y ejecutar una carga útil adicional.
organisation el backdoor Chrysalis
El código de shell aquí es el backdoor Chrysalis, y según Rapid7, "su amplia gama de capacidades indica que es una herramienta sofisticada y permanente, no una simple utilidad de lanzamiento".
organisation el tiempo
"En general, la muestra parece algo que se ha desarrollado activamente con el tiempo", dijo Rapid7, añadiendo que también identificó un archivo llamado "conf.c" que está diseñado para recuperar una baliza de Cobalt Strike por medio de un cargador personalizado que incrusta Metasploit block API Código de shell.
organisation de un
"En general, la muestra parece algo que se ha desarrollado activamente con el tiempo", dijo Rapid7, añadiendo que también identificó un archivo llamado "conf.c" que está diseñado para recuperar una baliza de Cobalt Strike por medio de un cargador personalizado que incrusta Metasploit block API Código de shell.
organisation API
"En general, la muestra parece algo que se ha desarrollado activamente con el tiempo", dijo Rapid7, añadiendo que también identificó un archivo llamado "conf.c" que está diseñado para recuperar una baliza de Cobalt Strike por medio de un cargador personalizado que incrusta Metasploit block API Código de shell.
organisation Microsoft
Uno de estos cargadores, "ConsoleApplication2.exe" es notable por su uso de Microsoft Warbird , un marco de protección y obfuscación de código interno indocumentado, para ejecutar el código de shell.
organisation un marco de protección
Uno de estos cargadores, "ConsoleApplication2.exe" es notable por su uso de Microsoft Warbird , un marco de protección y obfuscación de código interno indocumentado, para ejecutar el código de shell.
organisation al grupo de piratería
El ataque permitió al grupo de piratería patrocinado por el
organisation Desde
Desde entonces ha surgido que el proveedor de alojamiento para el software fue incumplido para realizar redirecciones de tráfico apuntadas hasta el 2 de diciembre de 2025, cuando el acceso del atacante fue terminado.
organisation el proveedor de alojamiento
Desde entonces ha surgido que el proveedor de alojamiento para el software fue incumplido para realizar redirecciones de tráfico apuntadas hasta el 2 de diciembre de 2025, cuando el acceso del atacante fue terminado.
organisation El servidor de comando-and-control
El servidor de comando-and-control (C2) está actualmente fuera de línea.
organisation Sin
Sin embargo, un examen más profundo del artefacto obfuscado ha revelado que es capaz de procesar respuestas HTTP entrantes para generar una shell interactiva, crear procesos, realizar operaciones de archivos, subir/descargar archivos y desinstalarse.
Sin embargo, los indicadores de seguridad publicaron una lista completa de indicadores de archivo y red de compromiso, así que asegúrese de dar una lectura .
organisation red de compromiso
Sin embargo, los indicadores de seguridad publicaron una lista completa de indicadores de archivo y red de compromiso, así que asegúrese de dar una lectura .
organisation El actor de la amenaza
El actor de la amenaza ha sido encontrado para copiar y modificar una prueba de concepto ya existente (PoC) publicado
organisation prueba de concepto ya existente
El actor de la amenaza ha sido encontrado para copiar y modificar una prueba de concepto ya existente (PoC) publicado
organisation PoC
El actor de la amenaza ha sido encontrado para copiar y modificar una prueba de concepto ya existente (PoC) publicado
organisation la compañía alemana Cirosec
por la compañía alemana Cirosec en septiembre de 2024.
organisation El lunes temprano
El lunes temprano, autor del proyecto del editor de texto dijo un presunto grupo patrocinado por el Estado chino de alguna manera comprometió un servidor de alojamiento compartido y redireccionó selectivamente algún tráfico de actualización a un sitio controlado por los atacantes donde las víctimas descargaron una versión envenenada de lo que parecía ser una actualización de software legal.
organisation campañas de ciberespionaje dirigidas contra
Este grupo suele llevar a cabo campañas de ciberespionaje dirigidas contra organizaciones del sudeste asiático - y más recientemente centroamericano - con énfasis en los sectores de gobierno, telecomunicaciones, aviación, infraestructura crítica y medios de comunicación.
organisation los sectores de gobierno
Este grupo suele llevar a cabo campañas de ciberespionaje dirigidas contra organizaciones del sudeste asiático - y más recientemente centroamericano - con énfasis en los sectores de gobierno, telecomunicaciones, aviación, infraestructura crítica y medios de comunicación.
organisation Según los cazadores de amenazas
Según los cazadores de amenazas, el equipo de espionaje utilizó la actualización secuestrado Notepad++ para entregar un backdoor desconocido llamado Chrysalis.
organisation el experto
Notapad++ autor Don Ho dijo El Registro que aunque no puede confirmar la atribución del atacante o malware, el experto en seguridad con el que trabajó no reveló más información de lo que ya había publicado.
organisation con el que
Notapad++ autor Don Ho dijo El Registro que aunque no puede confirmar la atribución del atacante o malware, el experto en seguridad con el que trabajó no reveló más información de lo que ya había publicado.
organisation Utiliza
Utiliza binarios legítimos para descargar un DLL malicioso con un nombre genérico para asegurarse de que no se descubre por simples herramientas de detección basadas en el nombre de archivo.
organisation el nombre de archivo
Utiliza binarios legítimos para descargar un DLL malicioso con un nombre genérico para asegurarse de que no se descubre por simples herramientas de detección basadas en el nombre de archivo.
organisation el cargador
También utiliza la mezcla de API personalizada tanto en el cargador como en el módulo principal, junto con múltiples capas de obfuscación para cubrir
organisation el módulo
También utiliza la mezcla de API personalizada tanto en el cargador como en el módulo principal, junto con múltiples capas de obfuscación para cubrir
organisation el investigador.
aún más sus pistas, así como "un enfoque bastante estructurado de la comunicación C2", escribió el investigador.
organisation la misma
"Además, similitudes de la cadena de ejecución de 'conf.c' recuperadas del activo infectado y otros cargadores que encontramos, apoyadas por la misma clave pública extraída de las balizas
Tactical Metrics
Metrics
infrastructure
​Notepad++
Affected Product
El desarrollo viene poco después de Notepad++Mantenedor Don Ho dijo: que un compromiso a nivel de proveedores de alojamiento permitió a los agentes de amenazas secuestrar tráfico de actualización a partir de junio de 2025 y redirigir selectivamente tales solicitudes de ciertos usuarios a servidores maliciosos para servir una actualización manipulada explotando controles de verificación de actualización insuficientes que existían en versiones anteriores de la utilidad.
Metrics
infrastructure
​95.179.213
Software Version
la ejecución de 'notepad++.exe' y posteriormente 'GUP.exe' precedió a la ejecución de un proceso sospechoso 'update.exe' que fue descargado de 95.179.213.0", dijo el investigador de seguridad Ivan Feigl.
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
Metrics
infrastructure
​45.76.155
Software Version
Los atacantes fueron encontrados para desplegar una actualización de Notepad++ maliciosa alojada en "45.76.155[.]202/update/update.exe", que luego fue lanzada por el proceso de actualización de Notepad++ legítimo WinGUp ("gup.exe").
La actualización maliciosa continuó siendo entregada a través de "45.76.155[.]202/update/update.exe", mientras que el instalador de NSIS "update.exe" presentó pequeños ajustes para recopilar más información del sistema (whoami, tasklist y netstat)
Metrics
financial
2
Remoto Cadena
Como en el caso de "update.exe" documentado por Rapid7, el "update.exe" utilizado en esta cadena apalancó la carga lateral de DLL abusando de un binario legítimo asociado con el software ProShow ("ProShow.exe") para desplegar dos códigos de shell: uno que no está destinado a ser ejecutado y funcionado como un mecanismo de distracción, mientras que el segundo código de shell descifra un descargador Metasploit payloader que recupera un remoto Cadena #2 (Entre mediados y finales de septiembre de 2025)
Luego, a mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres direcciones URL diferentes para lanzar una combinación de cadenas de ejecución #2 y #3 - 95.179.213[.]0/update/update.exe 95.179.213[.]0/update/install.exe 95.179.213[.]0/update/AutoUpdater.exe El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques de cadena de suministro en los últimos años.
Metrics
infrastructure
​45.32.144
Software Version
Esta cadena de infección alteró la URL de distribución del instalador de NSIS a "45.32.144[.]255/update/update.exe" e inició la misma secuencia de eventos descritos por Rapid7 arriba.
Metrics
financial
1
Cadena
Los detalles de las tres secuencias de infección están abajo - Cadena #1 (Entre finales de julio y principios de agosto de 2025)
Metrics
infrastructure
2,025
Y Principios
Los detalles de las tres secuencias de infección están abajo - Cadena #1 (Entre finales de julio y principios de agosto de 2025)
Metrics
financial
3
Cadena
Cadena #3 (octubre 2025)
Intelligence Sources
The Hacker News 2026-02-03
The Register - Cybercrime 2026-02-02