Entre junio y diciembre de 2025, la infraestructura de actualización de software que respalda a Notepad++ fue comprometida de manera encubierta y utilizada como mecanismo de distribución para malware de espionaje alineado con intereses estatales. La operación no implicó manipulación del código fuente ni la alteración de repositorios. En su lugar, los actores de la amenaza obtuvieron control sobre componentes de la cadena de entrega de actualizaciones, redirigiendo selectivamente el tráfico de actualización hacia servidores controlados por los atacantes y entregando cargas maliciosas a víctimas cuidadosamente seleccionadas.
El ataque representa una evolución madura en la estrategia de compromiso de la cadena de suministro de software: huella mínima, manipulación a nivel de infraestructura, focalización selectiva y artefactos de post-explotación diseñados para el sigilo. El análisis de atribución vincula la actividad con un grupo de amenaza persistente avanzada (APT) alineado con China, comúnmente denominado Lotus Blossom, también identificado bajo múltiples alias por distintos proveedores de seguridad.
1. Alcance y Características Temporales de la Intrusión
1.1 Ventana del Ataque
El análisis forense y la telemetría del proveedor de alojamiento establecen que el acceso no autorizado a la infraestructura de actualización de Notepad++ comenzó en junio de 2025 y persistió hasta el 2 de diciembre de 2025. El compromiso se desarrolló en dos fases claramente diferenciadas:
- Fase de Acceso Directo a la Infraestructura (junio–septiembre de 2025)
Los atacantes mantuvieron acceso activo al entorno de alojamiento que soportaba el servicio de resolución de actualizaciones. - Fase de Persistencia mediante Credenciales (septiembre–diciembre de 2025)
Tras esfuerzos parciales de contención, los atacantes conservaron acceso utilizando credenciales previamente obtenidas, lo que permitió continuar la manipulación del tráfico de actualizaciones sin acceso interactivo persistente.
Este tiempo de permanencia prolongado —aproximadamente seis meses— sugiere firmemente una operación orientada a la recolección de inteligencia y no a la monetización oportunista.
2. Vector de Acceso Inicial: Compromiso de la Infraestructura de Alojamiento
2.1 Qué Fue Comprometido y Qué No
Es fundamental destacar que los siguientes componentes no fueron comprometidos:
- Código fuente de Notepad++
- Repositorios en GitHub
- Sistemas de compilación
- Claves oficiales de firmado de versiones
En cambio, los atacantes comprometieron el entorno de alojamiento responsable de atender las solicitudes de resolución de actualizaciones generadas por el mecanismo de autoactualización de Notepad++.
2.2 Abuso de la Lógica de Resolución de Actualizaciones
El actualizador de Notepad++ depende de un endpoint del lado del servidor que devuelve dinámicamente las ubicaciones de descarga de los binarios de actualización. Los atacantes obtuvieron la capacidad de manipular las respuestas de este endpoint, específicamente el script responsable de resolver las URLs de actualización.
En lugar de modificar binarios alojados en servidores legítimos, los atacantes alteraron el destino desde el cual los clientes eran instruidos a descargar las actualizaciones.
Esta decisión de diseño permitió:
- Ausencia de manipulación visible de binarios legítimos
- Ninguna alteración de firmas criptográficas en reposo
- Mínimos artefactos forenses en la infraestructura oficial
3. Redirección Selectiva del Tráfico y Focalización de Víctimas
3.1 Ataque Dirigido, No Explotación Masiva
La redirección maliciosa no se aplicó de forma global. En su lugar, la lógica de redirección se activaba condicionalmente en función de atributos de la solicitud, lo que permitió:
- Filtrado geográfico
- Segmentación basada en direcciones IP
- Perfilado organizacional
Como resultado, solo un subconjunto reducido de usuarios de Notepad++ recibió actualizaciones maliciosas, mientras que la mayoría continuó recibiendo software legítimo, reduciendo significativamente la probabilidad de detección.
3.2 Perfil de las Víctimas Observadas
Los objetivos documentados incluyeron:
- Entidades gubernamentales
- Proveedores de telecomunicaciones
- Instituciones financieras
- Organizaciones de servicios de TI
Las regiones afectadas abarcaron múltiples países de Asia Oriental y Sudeste Asiático, así como objetivos seleccionados en Australia y partes de Centroamérica.
El patrón de focalización coincide con prioridades estratégicas de inteligencia de largo plazo y no con actividades criminales comunes.
4. Arquitectura de la Carga Maliciosa de Actualización
4.1 Dropper Inicial: update.exe
Las víctimas seleccionadas para la explotación recibieron un archivo que se hacía pasar por un ejecutable legítimo de actualización de Notepad++, comúnmente denominado update.exe.
Este binario funcionaba como un cargador, no como la carga final.
4.2 Marco de Instalación
El instalador fue construido utilizando NSIS (Nullsoft Scriptable Install System), un framework de instalación legítimo y ampliamente confiable. Esta elección permitió:
- Ejecución en un contexto de confianza para el usuario
- Reducción de detecciones heurísticas
- Simulación fluida del comportamiento normal de una actualización
5. Cadena de Ejecución mediante Side-Loading de DLL
5.1 Abuso de Ejecutables Legítimos
El instalador desplegó un ejecutable legítimo de Windows renombrado —comúnmente identificado como BluetoothService.exe— dentro de un directorio controlado.
Este ejecutable fue seleccionado intencionalmente porque:
- Busca DLLs dependientes en su directorio de ejecución
- Está firmado digitalmente y es confiable para el sistema operativo
5.2 Inyección de DLL Maliciosa
Junto al ejecutable, el instalador colocó una DLL maliciosa (frecuentemente denominada log.dll). Al ejecutarse el binario legítimo, el orden de búsqueda de DLL de Windows provocó que la DLL maliciosa fuera cargada y ejecutada.
Esta técnica proporcionó:
- Ejecución dentro del contexto de un binario confiable
- Evasión de mecanismos básicos de allowlisting
- Reducción de visibilidad en la telemetría de endpoints
6. El Implante de Puerta Trasera “Chrysalis”
6.1 Despliegue de Shellcode
La DLL maliciosa no implementaba directamente la lógica completa de comando y control. En su lugar, descifraba e inyectaba shellcode en memoria, desplegando una puerta trasera modular comúnmente denominada Chrysalis por los investigadores.
6.2 Capacidades Principales
El implante Chrysalis soportaba un ciclo completo de post-explotación, incluyendo:
- Comunicaciones cifradas con el servidor de comando y control (C2)
- Ejecución remota de comandos
- Carga y exfiltración de archivos
- Creación y manipulación de procesos
- Acceso a shell interactiva
- Rutinas de autodesinstalación y limpieza
El implante priorizaba sigilo y persistencia por encima de comportamientos destructivos o ruidosos.
7. Cadenas de Infección Multivariantes
Los investigadores identificaron múltiples variantes de cadenas de infección operando de manera concurrente:
- Diferentes compilaciones del instalador malicioso
- Infraestructura de descarga rotativa
- Variaciones en la lógica del cargador de shellcode
- Entrega opcional de cargas secundarias
Algunas variantes desplegaban frameworks adicionales de post-explotación, incluyendo módulos comúnmente asociados con herramientas comerciales de red-team y espionaje.
Esta modularidad sugiere una canalización operativa madura y no un despliegue improvisado de malware.
8. Análisis de Atribución
8.1 Identidad del Actor de Amenaza
Múltiples análisis independientes atribuyen la operación a un clúster APT alineado con China, rastreado como Lotus Blossom, también conocido bajo otros nombres específicos de distintos proveedores.
8.2 Indicadores de Atribución
La atribución se basa en:
- Coincidencias en la arquitectura del malware
- Patrones compartidos de infraestructura
- Técnicas de comando y control
- Alineación histórica de victimología
- Consistencia con operaciones previas de Lotus Blossom
Aunque ningún indicador individual es definitivo, la evidencia combinada respalda una atribución de alta confianza.
El compromiso de la infraestructura de actualización de Notepad++ constituye un ejemplo paradigmático de explotación avanzada de la cadena de suministro. Al manipular la lógica de resolución de actualizaciones en lugar de los artefactos de software, los atacantes lograron acceso encubierto y sostenido a objetivos de alto valor dejando evidencia forense mínima.
El incidente subraya un cambio crítico en la economía de los ataques: comprometer cómo se distribuye el software puede ser más efectivo —y mucho más difícil de detectar— que comprometer el software en sí.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
