Un actor de amenazas vinculado a China conocido como flor de loto se ha atribuido con confianza media al compromiso recientemente descubierto de la infraestructura que aloja Notepad++.
El ataque permitió al grupo de hackers patrocinado por el estado entregar una puerta trasera previamente indocumentada cuyo nombre en código Crisálida a los usuarios del editor de código abierto, según nuevos hallazgos de Rapid7.
El desarrollo se produce poco después de que el mantenedor de Notepad ++, Don Ho, dijera que un compromiso a nivel del proveedor de alojamiento permitió a los actores de amenazas secuestrar el tráfico de actualizaciones a partir de junio de 2025 y redirigir selectivamente dichas solicitudes de ciertos usuarios a servidores maliciosos para entregar una actualización manipulada al explotar los insuficientes controles de verificación de actualizaciones que existían en versiones anteriores de la utilidad.
La debilidad se solucionó en diciembre de 2025 con el lanzamiento de la versión 8.8.9. Desde entonces, se supo que el proveedor de alojamiento del software fue violado para realizar redirecciones de tráfico específicas hasta el 2 de diciembre de 2025, cuando se canceló el acceso del atacante. Desde entonces, Notepad++ migró a un nuevo proveedor de alojamiento con mayor seguridad y rotó todas las credenciales.
El análisis del incidente realizado por Rapid7 no ha descubierto evidencia ni artefactos que sugieran que el complemento del sitio o los mecanismos relacionados con el actualizador hayan sido explotados para distribuir malware.
«El único comportamiento confirmado es que la ejecución de ‘notepad++.exe’ y posteriormente ‘GUP.exe’ precedió a la ejecución de un proceso sospechoso ‘update.exe’ que fue descargado desde 95.179.213.0», dijo el investigador de seguridad Ivan Feigl.
«Update.exe» es un instalador del sistema de instalación programable de Nullsoft (NSIS) que contiene varios archivos:
- Un script de instalación de NSIS
- BluetoothService.exe, una versión renombrada del Asistente de envío de Bitdefender que se utiliza para la carga lateral de DLL (una técnica ampliamente utilizada por los grupos de hackers chinos)
- BluetoothService, código shell cifrado (también conocido como Chrysalis)
- log.dll, una DLL maliciosa que se descarga para descifrar y ejecutar el código shell

Chrysalis es un implante personalizado y rico en funciones que recopila información del sistema y se pone en contacto con un servidor externo («api.skycloudcenter[.]com») para probablemente recibir comandos adicionales para su ejecución en el host infectado.
El servidor de comando y control (C2) está actualmente fuera de línea. Sin embargo, un examen más profundo del artefacto ofuscado ha revelado que es capaz de procesar respuestas HTTP entrantes para generar un shell interactivo, crear procesos, realizar operaciones de archivos, cargar/descargar archivos y desinstalarse.
«En general, la muestra parece algo que se ha desarrollado activamente a lo largo del tiempo», dijo Rapid7, y agregó que también identificó un archivo llamado «conf.c» que está diseñado para recuperar una baliza Cobalt Strike mediante un cargador personalizado que incorpora el código shell API del bloque Metasploit.
Uno de esos cargadores, «ConsoleApplication2.exe», destaca por su uso de Microsoft Warbird, un marco de ofuscación y protección de código interno no documentado, para ejecutar shellcode. Se descubrió que el actor de amenazas copió y modificó una prueba de concepto (PoC) ya existente publicada por la empresa alemana de ciberseguridad Cirosec en septiembre de 2024.
La atribución de Chrysalis por parte de Rapid7 a Lotus Blossom (también conocido como Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip) se basa en similitudes con campañas anteriores realizadas por el actor de amenazas, incluida una documentada por Symantec, propiedad de Broadcom, en abril de 2025 que involucraba el uso de ejecutables legítimos de Trend Micro y Bitdefender para descargar archivos DLL maliciosos.
«Si bien el grupo continúa confiando en técnicas comprobadas como la carga lateral de DLL y la persistencia del servicio, su cargador de código shell de múltiples capas y la integración de llamadas al sistema no documentadas (NtQuerySystemInformation) marcan un cambio claro hacia un arte más resistente y sigiloso», dijo la compañía.
«Lo que destaca es la combinación de herramientas: la implementación de malware personalizado (Chrysalis) junto con marcos básicos como Metasploit y Cobalt Strike, junto con la rápida adaptación de la investigación pública (específicamente el abuso de Microsoft Warbird). Esto demuestra que Billbug está actualizando activamente su manual para mantenerse a la vanguardia de la detección moderna».
Kaspersky observa tres cadenas de infección
Kaspersky, en su propio desglose del incidente de Notepad++, dijo que observó tres cadenas de infección diferentes que fueron diseñadas para atacar alrededor de una docena de máquinas pertenecientes a personas ubicadas en Vietnam, El Salvador y Australia, una organización gubernamental ubicada en Filipinas, una organización financiera ubicada en El Salvador y una organización proveedora de servicios de TI ubicada en Vietnam.
«En el transcurso de cuatro meses, de julio a octubre de 2025, los atacantes que han comprometido Notepad++ han estado rotando constantemente las direcciones del servidor C2 utilizadas para distribuir actualizaciones maliciosas, los descargadores utilizados para la entrega de implantes, así como las cargas útiles finales», dijeron los investigadores de seguridad Georgy Kucherin y Anton Kargin.

La compañía dijo que no detectó ninguna carga útil implementada a partir de noviembre de 2025. Los detalles de las tres secuencias de infección se encuentran a continuación:
Cadena #1 (Entre finales de julio y principios de agosto de 2025)
Se descubrió que los atacantes implementaron una actualización maliciosa de Notepad++ alojada en «45.76.155[.]202/update/update.exe», que luego fue iniciado por el proceso legítimo de actualización de Notepad++ WinGUp («gup.exe»). El ejecutable, un instalador NSIS, se usó para enviar información del sistema a un servidor temporal.[.]sh URL ejecutando una serie de comandos de shell (whoami y tasklist). Este comportamiento fue descrito por un usuario llamado «soft-parsley» en los foros de la comunidad Notepad++ en octubre de 2025.
Como en el caso de «update.exe» documentado por Rapid7, el «update.exe» utilizado en esta cadena aprovechó la carga lateral de DLL al abusar de un binario legítimo asociado con el software ProShow («ProShow.exe») para implementar dos códigos shell: uno que no está destinado a ser ejecutado y funcionó como un mecanismo de distracción, mientras que el segundo código shell descifró una carga útil del descargador Metasploit que recupera un código shell de baliza Cobalt Strike desde una URL remota.
Cadena #2 (Entre mediados y finales de septiembre de 2025)
La actualización maliciosa continuó entregándose a través de «45.76.155[.]202/update/update.exe», mientras que el instalador NSIS «update.exe» presentó ligeros ajustes para recopilar más información del sistema (whoami, tasklist y netstat) y entregar un conjunto completamente diferente de cargas útiles, incluido un script Lua diseñado para ejecutar shellcode. El shellcode lanzado era un descargador de Metasploit que coloca una baliza Cobalt Strike.
Una variante «update.exe» observada posteriormente a finales de septiembre de 2025 también recopiló los resultados del comando de shell systeminfo junto con whoami, tasklist y netstat. Otra versión del binario cambió la URL de carga de información del sistema a self-dns.it[.]com/list, junto con la URL utilizada por el descargador de Metasploit y el servidor Cobalt Strike Beacon C2.
Cadena #3 (octubre de 2025)
Esta cadena de infección alteró la URL de distribución del instalador de NSIS a «45.32.144[.]255/update/update.exe» e inició la misma secuencia de eventos descritos anteriormente por Rapid7. Lo que es común a los tres conjuntos de ataques es el hecho de que los Beacons se cargan a través de un shellcode de descarga de Metasploit.
Luego, a partir de mediados de octubre de 2025, los atacantes comenzaron a propagar el instalador a través de tres URL diferentes para lanzar una combinación de las cadenas de ejecución n.° 2 y n.° 3:
- 95.179.213[.]0/actualización/actualización.exe
- 95.179.213[.]0/actualizar/instalar.exe
- 95.179.213[.]0/actualización/AutoUpdater.exe
El compromiso de la infraestructura de actualización de Notepad++ es el último ejemplo de cómo el ecosistema de software se ha convertido cada vez más en el objetivo de ataques a la cadena de suministro en los últimos años. Al violar el mecanismo utilizado para distribuir actualizaciones, permitió a los atacantes ingresar selectivamente en máquinas de organizaciones de alto perfil en todo el mundo, señaló el proveedor ruso de ciberseguridad.
«La variedad de cadenas de infección hace que la detección del ataque a la cadena de suministro de Notepad++ sea una tarea bastante difícil y al mismo tiempo creativa», dijo Kaspersky. «Los atacantes se esforzaron por no perder el acceso a este vector de infección: propagaron los implantes maliciosos de manera selectiva y tenían la habilidad suficiente para cambiar drásticamente las cadenas de infección aproximadamente una vez al mes».






:max_bytes(150000):strip_icc():focal(749x0:751x2)/Betsy-Jochum-a-former-player-of-the-All-American-Girls-Professional-Baseball-League-061225-0ace390eab21433ba138b312bad6a494.jpg?w=100&resize=100,75&ssl=1)

