Компрометация Notepad++ подчеркивает риски «невидимого» ПО в корпоративных сетях

Атака, активность которой была задокументирована с июня по декабрь 2025 года, не затрагивала исходный код самого приложения. Вместо этого злоумышленники скомпрометировали общий хостинг, используемый для распространения обновлений Notepad++. Это позволило им перехватывать и перенаправлять трафик официального клиента обновлений WinGup на свои серверы. Таким образом, избранные цели получали через легитимный канал скомпрометированные установщики, в то время как остальные пользователи продолжали загружать чистые обновления.

Уязвимости, ставшие векторами атаки

Эксперты выделили несколько ключевых уязвимостей, которые сделали атаку возможной. Во-первых, в версиях Notepad++ до 8.8.9 клиент обновлений "gup.exe" не обеспечивал строгой проверки сертификатов и цифровых подписей загружаемых установщиков. Эта слабость в проверке целостности позволила злоумышленникам подменить легитимные пакеты.

Во-вторых, была использована уязвимость в механизме загрузки библиотек (DLL search order hijacking). Notepad++ автоматически загружает DLL-библиотеки из своей папки с плагинами при запуске, не проверяя их цифровые подписи. Атакующие заменили стандартные плагины, такие как "mimeTools.dll", на вредоносные версии, обеспечив себе выполнение кода при каждом запуске редактора.

Кроме того, злоумышленники злоупотребляли доверием к легитимным подписанным исполняемым файлам, используя технику side-loading. Вредоносные установщики размещали подписанные двоичные файлы вместе со зловредными DLL-библиотеками в пользовательских директориях, что заставляло доверенные процессы загружать вредоносный код.

Сложный вредоносный инструментарий и тактика

Анализ показал использование нескольких ступенчатых вредоносных компонентов. Основную нагрузку (payload) составляли бэкдор Chrysalis и фреймворк для удаленного доступа Cobalt Strike Beacon, которые обеспечивали выполнение команд, сбор информации о системе и эксфильтрацию данных. Для их скрытной доставки использовался обфусцированный загрузчик WikiLoader, который расшифровывал и внедрял шелл-код в легитимные процессы Windows, такие как "explorer.exe".

Между июлем и октябрем 2025 года наблюдались три различные цепочки заражения. Каждая из них использовала разные пути к файлам, компоненты загрузчиков и инфраструктуру командных серверов (C2), сохраняя при этом общие операционные цели. Подобный подход демонстрирует высокий уровень профессионализма злоумышленников и указывает на длительную операцию по сохранению доступа, а не на единичное вторжение.

Контекст угрозы и последствия

Данный инцидент наглядно иллюстрирует, как программное обеспечение с низким уровнем контроля безопасности может быть использовано в качестве вектора для сложных атак. В отличие от регламентированных корпоративных инструментов, Notepad++ не применяет централизованного управления доверием к обновлениям, обязательной подписи плагинов или строгой проверки репозиториев. Эти пробелы создают возможности для злоумышленников внедрить вредоносный код, не прибегая к эксплуатации уязвимостей нулевого дня.

Кампания соответствует общей тенденции компрометации цепочек поставок и инфраструктуры, когда атакующие нацеливаются на механизмы распространения ПО, а не на его код. Такой подход снижает потребность в сложных эксплойтах и увеличивает время пребывания злоумышленника в системе, поскольку он злоупотребляет доверительными отношениями, сложившимися внутри корпоративных сред.

Группа Lotus Blossom Billbug известна своей деятельностью против телекоммуникационных компаний, государственных поставщиков и финансовых институтов в Азиатско-Тихоокеанском регионе. Высокий уровень избирательности атаки, ориентированной на конкретные организации и регионы, подтверждает ее целенаправленный характер. Этот случай подчеркивает необходимость пересмотра подходов к безопасности для всего спектра ПО, включая кажущиеся безобидными утилиты, работающие в корпоративных сетях.

IPv4

• 45.76.155.202
• 45.77.31.210

Dimains

• api.skycloudcenter.com
• api.wiresguard.com
• cdncheck.it
• temp.sh

URLs

• http://124.222.137.114:9999/api/Info/submit
• http://124.222.137.114:9999/api/updateStatus/v1
• http://45.76.155.202/list
• http://45.76.155.202/update/update.exe
• http://59.110.7.32:8880/api/getBasicInfo/v1
• http://59.110.7.32:8880/api/Metadata/submit
• https://45.77.31.210/api/update/v1
• https://45.77.31.210/users/admin
• https://cdncheck.it/api/FileUpload/submit
• https://temp.sh/upload

MD5

• 24b6950afd8663a46246044e6b09add8
• 28cb7b261f4eb97e8a4b3b0d32f8def1
• 2dc895d5611a149bfcc0d17c4f02d863
• 32f3c40b0ed1c5cf23430be7f9eb7b06
• 6aed7e49bd6c10c4eaee34f8c0eaa055
• 8b1dee1e7178f9c4e92e9f073307b8ad
• a8860bb5ccb964273b7fd2284b9dc837
• a98a5062703f660195da7e419db5b686
• b91ce8e219f3d31b6bd3703d79183c30
• cb2741203668f77485440d2589426740
• e5c5d39f785babf779801ba2ce3fa733

SHA1

• 06a6a5a39193075734a32e0235bde0e979c27228
• 07d2a01e1dc94d59d5ca3bdf0c7848553ae91a51
• 0d0f315fd8cf408a483f8e2dd1e69422629ed9fd
• 13179c8f19fbf3d8473c49983a199e6cb4f318f0
• 21a942273c14e4b9d3faa58e4de1fd4d5014a1ed
• 259cd3542dea998c57f67ffdd4543ab836e3d2a3
• 2a476cfb85fbf012fdbe63a37642c11afa5cf020
• 2ab0758dda4e71aee6f4c8e4c0265a796518f07d
• 3090ecf034337857f786084fb14e63354e271c5d
• 46654a7ad6bc809b623c51938954de48e27a5618
• 4c9aac447bf732acc97992290aa7a187b967ee2c
• 573549869e84544e3ef253bdba79851dcde4963a
• 6444dab57d93ce987c22da66b3706d5d7fc226da
• 73d9d0139eaf89b7df34ceeb60e5f8c7cd2463bf
• 7e0790226ea461bcc9ecd4be3c315ace41e1c122
• 813ace987a61af909c053607635489ee984534f4
• 821c0cafb2aab0f063ef7e313f64313fc81d46cd
• 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
• 90e677d7ff5844407b9c073e3b7e896e078e11cd
• 94dffa9de5b665dc51bc36e2693b8a3a0a4cc6b8
• 9c0eff4deeb626730ad6a05c85eb138df48372ce
• 9c3ba38890ed984a25abb6a094b5dbf052f22fa7
• 9df6ecc47b192260826c247bf8d40384aa6e6fd6
• 9fbf2195dee991b1e5a727fd51391dcc2d7a4b16
• bd4915b3597942d88f319740a9b803cc51585c4a
• bf996a709835c0c16cce1015e6d44fc95e08a38a
• c68d09dd50e357fd3de17a70b7724f8949441d77
• ca4b6fe0c69472cd3d63b212eb805b7f65710d33
• d0662eadbe5ba92acbd3485d8187112543bcfbf5
• d7ffd7b588880cf61b603346a3557e7cce648c93
• defb05d5a91e4920c9e22de2d81c5dc9b95a9a7c
• f7910d943a013eede24ac89d6388c1b98f8b3717

SHA256

• 1b5b8be1e60fb812c6d132aa8e66c180d3d605206814887dfb9116a7f4273295
• 2da00de67720f5f13b17e9d985fe70f10f153da60c9ab1086fe58f069a156924
• 3bdc4c0637591533f1d4198a72a33426c01f69bd2e15ceee547866f65e26b7ad
• 3f3c0c8feb7eb2019827904cc7614be3954abc856eefab67cd31b3bd72c3599a
• 4a52570eeaf9d27722377865df312e295a7a23c3b6eb991944c2ecd707cc9906
• 4d4aec6120290e21778c1b14c94aa6ebff3b0816fb6798495dc2eae165db4566
• 7058c0576aa256ac5251273777272e69e874c44587b9cdc4d501dd605cae3ce4
• 9aa3ca96a84eb5606694adb58776c9e926020ef184828b6f7e6f9b50498f7071
• c1494b4a82f3bedacaae9909601d1ebb6bf1187e402b1020108a297a263aa5db
• c35bd9c41022d56df42b943c9f183a3c6e3ff23a880d14d796b6d86d0a64076a
• e7cd605568c38bd6e0aba31045e1633205d0598c607a855e2e1bca4cca1c6eda

Вредоносные имена и пути к файлам

• %TEMP%\update.exe
• %TEMP%\AutoUpdater.exe
• %APPDATA%\ProShow\ProShow.exe
• %APPDATA%\ProShow\load
• %APPDATA%\Adobe\Scripts\script.exe
• %APPDATA%\Adobe\Scripts\alien.dll
• Program Files\Notepad++\plugins\mimeTools.dll
• %APPDATA%\BluetoothService.exe
• %APPDATA%\log.dll

Индикаторы процессов и поведения (PBI)

• gup.exe запускает cmd.exe
• gup.exe запускает powershell.exe
• gup.exe запускает whoami.exe
• Запуск подписанных программ из пользовательских каталогов с правами на запись
• Внедрение и исполнение шелл-кода в explorer.exe
• Сканирование системы перед установлением C2-соединения