Целевая атака на Notepad++: как APT-группа использовала механизм обновлений для скрытой доставки вредоносного ПО

Согласно официальному заявлению разработчиков, за атакой, вероятно, стоит китайская государственная APT-группа. Атака носила высокоцелевой характер и затронула лишь ограниченное число организаций в нескольких странах, а не широкую пользовательскую базу.

Инцидент был впервые публично раскрыт в декабре 2025 года, когда Notepad++ выпустил предупреждение о безопасности. В нём сообщалось, что трафик от утилиты обновлений WinGUp периодически перенаправлялся на вредоносные серверы. В результате некоторые пользователи в процессе обновления невольно загружали троянизированные исполняемые файлы. По оценкам экспертов, компрометация началась ещё в июне 2025 года. Даже после того, как злоумышленники потеряли прямой контроль над сервером в декабре, они сохранили доступ к внутренним учётным данным хостинга.

В феврале 2026 года разработчики подтвердили, что атака на механизм обновлений была успешной. В тот же день аналитики Rapid7 связали эту атаку на цепочку поставок с APT-группой Lotus Blossom. Позже исследователи «Лаборатории Касперского» уточнили, что целью атак стали отдельные пользователи во Вьетнаме, Сальвадоре и Австралии, а также ряд организаций на Филиппинах.

Технический анализ показал, что злоумышленники использовали сложный многоэтапный процесс. Атака начиналась с того, что легитимный бинарный файл Notepad++ запускал доверенный загрузчик обновлений GUP.exe, который, в свою очередь, использовался для выполнения вредоносной полезной нагрузки (malicious payload) под именем update.exe. Этот файл, маскирующийся под «Службу обновлений Microsoft», содержал встроенный скрипт PowerShell.

Скрипт был настроен на подавление сообщений об ошибках, что позволяло ему работать незаметно. Для установки финальной полезной нагрузки он использовал каталоги кэша браузеров, такие как Internet Explorer или Microsoft Edge, что помогало маскировать вредоносные файлы под легитимные данные. Если такие каталоги отсутствовали, скрипт создавал случайно именованную папку во временном каталоге системы.

Ключевым этапом была загрузка удалённого архива «update.zip» с контролируемого злоумышленниками IP-адреса. При этом использовалась специальная строка User-Agent, имитирующая сервер символов Microsoft. После извлечения содержимого архива скрипт удалял метаданные Mark-of-the-Web, что позволяло обойти защитные механизмы Windows, такие как SmartScreen. Кроме того, применялась техника подмены временных меток файлов (timestomping), чтобы скрыть реальное время загрузки и затруднить расследование.

Финальной стадией была активация вредоносной функциональности через механизм боковой загрузки DLL (DLL Sideloading). В извлечённом архиве находился файл GUP.exe - легитимный загрузчик обновлений проекта WinGUp. Рядом с ним злоумышленники помещали скомпрометированную версию библиотеки libcurl.dll. Согласно логике поиска библиотек в Windows, GUP.exe загружал эту вредоносную DLL из текущего каталога вместо чистой системной версии. Это позволяло вредоносному коду работать в контексте доверенного процесса обновления, обеспечивая устойчивость (persistence) и скрытность.

Сетевая активность вредоносного ПО была направлена на установление соединений с внешними серверами, использующими доменные имена публичных DNS-резолверов, таких как dns.google. Все запросы были нацелены на путь «/dns-query», что, вероятно, использовалось для скрытого канала управления (C2 - Command and Control).

В ходе расследования также была раскрыта новая уязвимость, получившая идентификатор CVE-2025-15556. Она затрагивает версии Notepad++ до 8.8.9 при использовании обновления WinGUp. Для защиты от подобных атак эксперты рекомендуют пользователям немедленно обновиться до безопасной версии Notepad++ 8.9.1 или новее, где реализована проверка XML-подписей. Кроме того, в качестве дополнительной меры предосторожности можно отключить автоматическое обновление в настройках установщика. Организациям также советуют контролировать сетевые соединения, инициируемые утилитой WinGUp, и следить за любыми неожиданными внешними подключениями.

URLs

• 188.137.181.131/update.exe
• 188.137.181.131/update.zip
• 188.137.241.225/update.exe
• 188.137.241.225/update.zip
• 188.137.246.205/update.exe
• 188.137.246.205/update.zip
• 188.137.247.67/update.exe
• 188.137.247.67/update.zip

SHA256

• 0247de29820624edc644233a914701729d267ce2011786b4fa5fa1795c363bf2
• 2c3e27382c3e24c76574651695bb1f6516ca7664dc28ba0b648fba3cec317567
• 48b48dec407024a40806bcfb66a02ab52733bb5b9da78bdaa1771f2d5a55daeb
• 580abe752398f55edb5371fe66492e02790bc6cf8dd56b78fef984bfb76e7d6b
• 5b7c5edb6283117b2b156b736c48d8de1dbc478bee96dfd30e401ea0ceacdeca
• 69671ffff22adbf6d5f63aab67a49f5a3900df89d9a3a43050085fce448ba329
• 91ddb1c7d2090d850c8c0d7cfb3e25fd9ff6f4897e4d2d3157478d2e7ca18bfd
• 9f0099a5cb03ca8f7a6185d62c892851bc35c24f5ef32ac8dbcc291cbe5f2c27
• ab8f4508595ecd0edace13c58c19bb0a2759256712769850bea3474968ab97c2
• c0142855bb8324f017937cf4d54b19ee6283f319d9bee66951c203e826f9bf59
• c385d71d19ec0d4ad6aab4302d6220c969fd3bbb1b1436d5343894d3510933a8
• d41852742db917c38158133a03ad0af1b19e72616c43667fd7a4e4bbf18cbd01
• eb121d2684a2f515f433af54b25a068ab11e10c1e853bb78f1d963030b0babbd
• eb7e9e155ba7b6440b75e155510e4a6b1b5f6042002aa1f70951d8bda3df000c