Группа Lotus Blossom атаковала Notepad++: как через обновления ПО внедряли бэкдоры в корпоративные сети

Исследователи установили, что злоумышленники взломали среду общего хостинг-провайдера, на котором размещался официальный сайт Notepad++. Это позволило им перехватывать и перенаправлять трафик, предназначенный для сервера обновлений проекта. Таким образом, атакующие получили возможность на уровне инфраструктуры подменять легитимные манифесты обновлений на вредоносные, доставляя их только выбранным жертвам. Изначально целевыми были организации в Юго-Восточной Азии, включая правительственные структуры, телекоммуникационные компании и объекты критической инфраструктуры. Однако позже выяснилось, что кампания затронула также сектора энергетики, финансов, облачного хостинга, производства и разработки программного обеспечения в Южной Америке, США и Европе.

Notepad++ является широко распространенным инструментом среди ИТ-специалистов. Системные администраторы, сетевые инженеры и сотрудники DevOps часто используют его для редактирования конфигураций, анализа объемных логов и проверки кода на защищенных jump-box серверах. Следовательно, компрометация этого, казалось бы, простого инструмента открывает злоумышленникам прямой путь к сессиям наиболее привилегированных пользователей в организации, фактически давая им административный доступ к ключевой сетевой инфраструктуре в обход периметровых защитных систем.

Технический анализ атаки показал, что она относится к классу атак на цепочку поставок (supply chain). Группа Lotus Blossom воспользовалась недостатками проверки в старых версиях встроенного обновляющего приложения Notepad++ - WinGup. Когда целевая жертва пыталась обновить редактор, ее трафик перенаправлялся на контролируемый злоумышленниками сервер. В результате вместо легитимного установщика загружался вредоносный NSIS-инсталлятор, часто маскирующийся под файл "update.exe". Этот файл запускал одну из двух сложных цепочек заражения.

Первая цепочка использовала технику DLL side-loading (подмены библиотек). Вредоносное ПО злоупотребляло легитимным компонентом антивируса Bitdefender ("BluetoothService.exe"), заставляя его загружать вредоносную библиотеку "log.dll". Эта библиотека, в свою очередь, расшифровывала и исполняла на системе кастомный бэкдор под названием Chrysalis. Вторая цепочка также использовала NSIS-инсталлятор, но для выполнения команды, запускающей вредоносный Lua-скрипт. Этот скрипт загружал в память известный фреймворк для пентеста и кибератак Cobalt Strike Beacon.

Бэкдор Chrysalis отличается продвинутыми техниками уклонения от обнаружения. В частности, он использует фреймворк защиты кода Microsoft Warbird и кастомное хеширование вызовов API для снижения вероятности срабатывания антивирусных сигнатур. Основная его функция - установление постоянного (persistence) удаленного контроля над зараженной системой. Исследователи наблюдали активность, связанную с этим вредоносным ПО, с середины августа по ноябрь 2025 года, включая коммуникацию с командными серверами (C2) по IP-адресам 45.76.155[.]202 и 45.77.31[.]210.

В ответ на инцидент разработчики Notepad++ предприняли ряд мер. Они мигрировали сайт проекта на нового хостинг-провайдера с более строгими практиками безопасности. Кроме того, в обновлении WinGup, начиная с версии 8.8.9, была усилена проверка сертификата и цифровой подписи загружаемого установщика. Теперь XML-ответ от сервера обновлений также подписывается (XMLDSig). Принудительная проверка сертификата и подписи станет обязательной в предстоящей версии 8.9.2. Пока же пользователям настоятельно рекомендуется вручную загрузить и установить версию 8.9.1 редактора, которая содержит соответствующие улучшения безопасности.

Эксперты Unit 42 отмечают, что данная кампания демонстрирует эволюцию тактик продвинутых угроз (APT). В отличие от групп, таких как Volt Typhoon, которые фокусируются на компрометации сетевого оборудования и использовании living-off-the-land техник, Lotus Blossom выбрала стратегию «мягкого» вмешательства в цепочку поставок. Перехват трафика доверенной утилиты, а не внедрение кода в сам процесс сборки ПО, позволил им оставаться незамеченными для вендора. Такая возможность атаки «злоумышленник-в-середине» (AitM) позволила динамически отпечатывать входящие запросы на обновление и фильтровать только приоритетные цели. Основная цель кампании - не разрушение, а долгосрочный сбор ценной разведывательной информации, что подчеркивается избирательным выбором жертв и применением малозаметного бэкдора.

IPv4

• 45.76.155.202
• 45.77.31.210
• 59.110.7.32
• 61.4.102.97
• 95.179.213.0

Domains

• cdncheck.it.com
• safe-dns.it.com
• self-dns.it.com
• skycloudcenter.com

URLs

• 45.32.144.255/update/update.exe
• 45.76.155.202/update/update.exe
• 59.110.7.32/dpixel
• 95.179.213.0/update/AutoUpdater.exe
• 95.179.213.0/update/Upgrade.exe
• safe-dns.it.com/dns-query
• safe-dns.it.com/help/Get-Start
• safe-dns.it.com/resolve
• self-dns.it.com/dns-query
• self-dns.it.com/help/Get-Start
• self-dns.it.com/resolve

SHA256

• 1f6d28370f4c2b13f3967b38f67f77eee7f5fba9e7743b6c66a8feb18ae8f33e
• a3cf1c86731703043b3614e085b9c8c224d4125370f420ad031ad63c14d6c3ec
• a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9