Недавние отчеты Rapid7 и экспертов прояснили масштаб компрометации инфраструктуры популярного редактора Notepad++. Исследователи связывают инцидент с китайской APT-группировкой Lotus Blossom и описывают ранее неизвестный бэкдор Chrysalis, использованный в многоэтапной шпионской кампании, длившейся значительно дольше, чем предполагалось.
Компрометация механизма обновлений Notepad++ и роль хостинг-провайдера
2 февраля 2026 года разработчик Notepad++ Дон Хо сообщил о результатах внутреннего расследования: атака началась еще в июне 2025 года и продолжалась около полугода. Злоумышленникам удалось взломать инфраструктуру хостинг-провайдера проекта и перехватывать трафик обновлений, перенаправляя запросы определенных пользователей на подконтрольные серверы.
Это классический пример атаки на цепочку поставок (supply-chain attack): скомпрометирован не сам продукт и не его код, а инфраструктура распространения обновлений. По данным Rapid7, цепочка процессов выглядела как запуск notepad++.exe с последующим выполнением GUP.exe (стандартного обновляющего компонента), после чего стартовал подозрительный update.exe. При этом артефактов, указывающих на прямую эксплуатацию плагин-системы Notepad++, обнаружено не было, что подтверждает сценарий с подменой трафика через провайдера.
Дополнительные цепочки заражения и цели кампании
По данным экспертов, выявленная в конце 2025 года компрометация оказалась лишь финальной фазой более длительной операции. Аналитики обнаружили еще две отдельные цепочки заражения, активные с июля по сентябрь 2025 года. Атакующие ежемесячно полностью меняли инфраструктуру: IP-адреса, домены и хеши вредоносных файлов, что серьезно усложняло детектирование на основе стандартных индикаторов компрометации (IoC).
Телеметрия показывает, что мишенями выступали ИТ-поставщики, государственные структуры и финансовые организации в Австралии, странах Латинской Америки и Юго-Восточной Азии. Такой выбор целей типичен для кибершпионажа: через ИТ-партнеров и популярный софт вроде Notepad++ злоумышленники получают доступ в сети высокоприоритетных организаций с минимальным шумом и максимальной степенью доверия к трафику.
Бэкдор Chrysalis: функционал и методы скрытности
Центральным элементом атаки стал новый бэкдор Chrysalis, который доставлялся на уже скомпрометированные хосты. Он устанавливал связь с управляющим сервером api.skycloudcenter[.]com (в настоящий момент недоступен) и предоставлял злоумышленникам богатый набор возможностей: интерактивный шелл, создание и завершение процессов, операции с файлами, загрузку и выгрузку данных, а также самоуничтожение при необходимости.
Chrysalis распространялся через троянизированный установщик Nullsoft Scriptable Install System (NSIS), внутри которого находился файл BluetoothService.exe — переименованная легитимная утилита Bitdefender Submission Wizard. Этот бинарник использовался для DLL sideloading: вместе с ним поставлялись зашифрованный файл BluetoothService с шеллкодом и вредоносная DLL, автоматически загружаемая BluetoothService.exe. Расшифрованный шеллкод и являлся самим Chrysalis.
Для повышения скрытности малварь использовала кастомное хеширование API как в загрузчике, так и в основном модуле, а также несколько уровней обфускации. Опора на легитимные бинарники с общими, «шумными» именами затрудняет обнаружение на основе простых сигнатур и проверки имен файлов, что соответствует современным трендам APT-операций по данным отчетов Mandiant и других вендоров.
Microsoft Warbird и повторное использование исследовательских эксплойтов
Отдельное внимание экспертов привлекло применение злоумышленниками Microsoft Warbird — внутреннего фреймворка для защиты и обфускации кода, используемого в продуктах Microsoft. Нападавшие адаптировали опубликованный в сентябре 2024 года proof-of-concept эксплоит немецкой компании Cirosec и использовали его для выполнения шеллкода Chrysalis, фактически оборачивая вредоносную нагрузку теми же механизмами защиты, что предназначены для легитимного софта.
Этот пример демонстрирует типичную для развитых APT-групп тактику: быстрое переиспользование публичных исследовательских наработок и их интеграция в собственный арсенал. В результате обнаружение становится сложнее, а анализ — трудоемким даже для опытных групп реагирования.
Атрибуция атаки к APT-группировке Lotus Blossom
Rapid7 и другие вендоры связывают кампанию с группой Lotus Blossom (также известной как Lotus Panda, Billbug, Raspberry Typhoon и Spring Dragon). Эта APT давно специализируется на кибершпионаже против организаций в Юго-Восточной Азии и Центральной Америке, нацеливаясь на государственный сектор, телекоммуникации, авиацию, критическую инфраструктуру и медиа.
Ключевые элементы атрибуции — совпадения в тактиках и инструментах. Ранее специалисты Symantec уже фиксировали случаи, когда Lotus Blossom использовала переименованный Bitdefender Submission Wizard для DLL sideloading (файл log.dll), а также характерные цепочки выполнения и идентичные публичные ключи в маяках Cobalt Strike, доставляемых через разные загрузчики. Нынешняя кампания демонстрирует тот же стиль работы и высокую степень кода-переиспользования.
Риски для организаций и практические меры защиты
Эксперты подчеркивают, что проверка инфраструктуры только по уже опубликованным IoC не гарантирует безопасности. С июля по сентябрь 2025 года использовались иные домены, IP-адреса и хеши файлов, а это означает, что часть заражений может до сих пор оставаться невыявленной. Как отмечает эксперт, частая смена инструментов и инфраструктуры указывает на вероятность существования дополнительных, пока не обнаруженных цепочек заражения.
Организациям рекомендуется дополнять проверку по IoC поведенческим и аномалийным анализом: мониторингом нетипичного сетевого трафика обновлений, контроля целостности установщиков, применением EDR/XDR-решений и регулярным threat hunting’ом. Важны моделирование атак на цепочку поставок, инвентаризация всех внешних поставщиков ПО и внедрение принципов Zero Trust для обновляющих компонентов, включая жесткую сегментацию, ограничение прав и детализированное логирование.
Инцидент с Notepad++ наглядно показывает, что даже широко доверяемые инструменты разработки и администрирования могут стать точкой входа в инфраструктуру. Своевременное изучение публичных отчетов Rapid7 и других вендоров, обновление правил детектирования с учетом новых IoC и TTP злоумышленников, а также регулярный аудит механизма обновлений критически важного ПО — необходимые шаги для снижения риска подобных атак в будущем.
