Аналитики раскрыли сетевую инфраструктуру атаки на Notepad++

Согласно данным, опубликованным компанией Validin, атака была направлена на сервер хостинг-провайдера, обслуживающего Notepad++. По информации от самого провайдера, несмотря на потенциальный доступ к множеству других аккаунтов, злоумышленники целенаправленно атаковали только аккаунт проекта Notepad++. Это указывает на высокую избирательность и целенаправленность операции. По данным блога Notepad++, доступ к общему серверу поддерживался с июня по ноябрь-декабрь 2025 года.

Изначально в отчете компании Rapid7 были перечислены ключевые сетевые индикаторы компрометированной инфраструктуры. В их числе IP-адрес 95.179.213[.]0, использовавшийся для распространения первого подозрительного файла, домен управления и контроля (C2, Command and Control) api[.]skycloudcenter[.]com и его IP-адрес 61.4.102[.]97. Также были указаны домен api[.]wiresguard[.]com и IP-адреса 59.110.7[.]32 и 124.222.137[.]114, использовавшиеся для работы Cobalt Strike Beacon - инструмента для удаленного управления вредоносным ПО.

Глубокий анализ исторических данных DNS позволил выявить дополнительные элементы. Например, домен C2 api[.]skycloudcenter[.]com в начале декабря 2025 года кратковременно использовал еще один IP-адрес - 160.250.93[.]48. Впоследствии на этот же адрес начал указывать новый, ранее неизвестный домен api.cloudtrafficservice[.]com. Этот домен, зарегистрированный 3 декабря 2025 года на Namecheap, продолжает разрешаться на данный IP-адрес, что может свидетельствовать о сохранении активности части инфраструктуры злоумышленников.

Особый интерес представляет исследование домена api[.]wiresguard[.]com, который использовался для Cobalt Strike Beacon. Анализ сертификатов показал, что IP-адрес 103.159.133[.]178 с 26 марта 2025 года возвращал самоподписанный сертификат с именем wiresguard[.]com. При этом его поведение на 443-м порту полностью совпадало с поведением домена через Cloudflare, что с высокой вероятностью указывает на его происхождение как исходного IP-адреса для этого домена Cobalt Strike. Этот адрес также принадлежал тому же провайдеру (AS 55720, Gigabit Hosting), что и другие известные IP-адреса маяков.

Кроме того, исследование первоначального IP-адреса для загрузки вредоносного ПО (95.179.213[.]0) через уникальную сигнатуру HTTP-ответа позволило обнаружить еще один похожий адрес - 45.32.144[.]255. Данный адрес демонстрировал идентичное поведение в период с 28 сентября по 12 октября 2025 года, то есть непосредственно перед активностью подтвержденного вредоносного IP. Это позволяет предположить, что он мог использоваться злоумышленниками на более ранней стадии подготовки атаки или для схожих целей.

Анализ временных линий активности показывает, что злоумышленники тщательно поддерживали свою инфраструктуру, перезапуская серверы и меняя конфигурации. Например, IP-адрес 95.179.213[.]0 за период наблюдений сменил три различные конфигурации, что может указывать на попытки избежать обнаружения. При этом некоторые элементы, такие как порт 8880 на IP-адресе 59.110.7[.]32, использовавшийся для Cobalt Strike Beacon, оставались активными до конца января 2026 года.

Таким образом, применение методов пассивной разведки на основе обширных исторических данных позволило существенно расширить картину атаки. Обнаружение новых индикаторов, включая потенциально активные домены и IP-адреса, подчеркивает сложность и многослойность инфраструктуры, используемой современными целевыми группами. Эти данные имеют критическую важность для специалистов по безопасности, занимающихся поиском угроз и очисткой сред от подобных скрытых компрометаций.

IPv4

• 103.159.133.178
• 160.250.93.48
• 45.32.144.255

Domains

• api.cloudtrafficservice.com
• api.skycloudcenter.com
• cloudtrafficservice.com
• wiresguard.com