Die jüngsten Analysen von Rapid7 zeigen das volle Ausmass einer langfristigen Supply-Chain-Attacke auf den beliebten Editor Notepad++. Im Zentrum stehen die mutmasslich chinesische APT-Gruppe Lotus Blossom und ein bisher unbekannter Backdoor namens Chrysalis, der in einer mehrstufigen, klar auf Cyberespionage ausgerichteten Kampagne eingesetzt wurde.
Supply-Chain-Angriff auf den Update-Mechanismus von Notepad++
Nach Angaben des Notepad++-Entwicklers Don Ho begann die Attacke bereits im Juni 2025 und lief rund ein halbes Jahr unentdeckt. Angreifer kompromittierten nicht den Quellcode von Notepad++, sondern die Hosting-Infrastruktur des Projekts. Dadurch konnten sie Update-Anfragen ausgewählter Nutzer abfangen und auf eigene Server umleiten.
Technisch handelt es sich um einen klassischen Supply-Chain-Angriff auf Software-Updates. Laut Rapid7 startete bei den Opfern zunächst der legitime Prozess notepad++.exe, gefolgt vom regulären Updater GUP.exe. Anschliessend wurde jedoch ein verdächtiges update.exe ausgeführt. Hinweise auf einen direkten Missbrauch der Plug-in-Schnittstellen von Notepad++ wurden nicht gefunden, was den Szenario einer Traffic-Manipulation über den Hosting-Provider stützt.
Mehrstufige Infektionsketten und geopolitisch relevante Ziele
Stellt die im Herbst 2025 entdeckte Kompromittierung als Finale einer längeren Operation dar. Die Analysten identifizierten zusätzlich zwei separate Infektionsketten, aktiv zwischen Juli und September 2025. Bemerkenswert ist der monatliche Austausch der gesamten Infrastruktur: neue IP-Adressen, neue Domains und neue Malware-Hashes.
Diese aggressive Rotation macht klassische Abwehrstrategien, die stark auf Indikatoren einer Kompromittierung (IoC) wie einzelne Hashes oder Domains setzen, deutlich weniger effektiv. Die Telemetrie weist auf Angriffe gegen IT-Dienstleister, Regierungsbehörden und Finanzinstitute in Australien, Lateinamerika und Südostasien hin – typische Ziele für staatlich motivierte Spionagekampagnen, bei denen über vertrauenswürdige Software Zugänge zu hoch priorisierten Netzwerken aufgebaut werden.
Die Chrysalis-Backdoor: Fähigkeiten, Verbreitung und Tarnmechanismen
Funktionsumfang des Backdoors Chrysalis
Herzstück der Kampagne ist der neue Backdoor Chrysalis, der auf bereits kompromittierte Systeme nachgeladen wurde. Nach der Infektion verbindet sich Chrysalis mit einem Command-and-Control-Server unter api.skycloudcenter[.]com und ermöglicht den Angreifern umfangreiche Remote-Steuerung: interaktive Shell-Zugriffe, Prozessverwaltung, Dateioperationen, Datenabfluss sowie kontrollierte Selbstlöschung zur Spurenverwischung.
Verbreitung via NSIS-Installer und DLL Sideloading
Zur Verteilung nutzten die Angreifer einen trojanisierten Installer auf Basis des Nullsoft Scriptable Install System (NSIS). Darin enthalten war eine Datei BluetoothService.exe, die in Wirklichkeit die legitime Bitdefender Submission Wizard-Komponente darstellt. Neben dieser ausführbaren Datei befand sich eine verschlüsselte Datei BluetoothService mit Shellcode sowie eine schädliche DLL.
Beim Start von BluetoothService.exe wurde die manipulierte DLL über DLL Sideloading geladen: Das legitime Programm zieht automatisch Bibliotheken mit bestimmten Namen aus seinem Verzeichnis nach – Angreifer platzieren dort eine präparierte DLL, die dann im Kontext des vertrauenswürdigen Prozesses ausgeführt wird. Nach Entschlüsselung des Shellcodes wurde letztlich Chrysalis im Speicher gestartet, ohne direkt als eigenständige Malware-Datei sichtbar zu sein.
API-Hashing und mehrstufige Obfuskation
Zur Erschwerung von Analyse und Erkennung setzte Chrysalis auf individuelles API-Hashing sowohl im Loader als auch im Hauptmodul. Dabei werden Windows-API-Funktionen nicht im Klartext referenziert, sondern über Hashwerte nachgeladen. Zusätzlich kamen mehrere Schichten von Obfuskation und die Nutzung legitimer, „lauter“ Binärdateinamen zum Einsatz. Dieser Ansatz entspricht bekannten APT-Trends, die auch in Berichten von Mandiant und anderen Anbietern beschrieben sind: Tarnung im normalen Systemrauschen statt auffälliger, eindeutig bösartiger Artefakte.
Missbrauch von Microsoft Warbird und Wiederverwendung öffentlicher Exploits
Besondere Aufmerksamkeit weckt der Missbrauch von Microsoft Warbird, einem internen Framework zur Schutz- und Obfuskationstechnologie für legitime Microsoft-Produkte. Die Angreifer adaptierten einen im September 2024 veröffentlichten Proof-of-Concept-Exploit der deutschen Firma Cirosec und nutzten ihn, um den Chrysalis-Shellcode auszuführen – abgesichert durch dieselben Obfuskationsmechanismen, die eigentlich dem Schutz vertrauenswürdiger Anwendungen dienen.
Dieser Fall illustriert eine zentrale Fähigkeit reifer APT-Gruppen: die schnelle Integration öffentlich verfügbarer Forschungsergebnisse in ihr Toolset. Für Verteidiger bedeutet dies, dass Sicherheitslücken und Forschungsexploits nicht nur theoretische Risiken darstellen, sondern in kurzer Zeit in realen Kampagnen auftauchen können.
Attribution zur APT-Gruppe Lotus Blossom
Rapid7 und weitere Sicherheitsanbieter ordnen die Kampagne der seit Jahren aktiven Gruppe Lotus Blossom zu, auch bekannt als Lotus Panda, Billbug, Raspberry Typhoon oder Spring Dragon. Die Gruppe wird mit langfristigen Spionageoperationen gegen Organisationen in Südostasien und Mittelamerika in Verbindung gebracht und zielt regelmässig auf Behörden, Telekommunikationsunternehmen, Luftfahrt, kritische Infrastrukturen und Medienhäuser.
Die Attribution stützt sich auf Übereinstimmungen in Taktiken, Techniken und Prozeduren (TTPs). Symantec hatte bereits zuvor Kampagnen dokumentiert, in denen Lotus Blossom den umbenannten Bitdefender Submission Wizard für DLL Sideloading nutzte (z. B. via log.dll). Auch charakteristische Ausführungsketten und identische öffentliche Schlüssel in Cobalt-Strike-Beacons tauchen erneut auf. Die aktuelle Notepad++-Kampagne zeigt denselben Stil und ein hohes Mass an Code-Wiederverwendung.
Schutzmassnahmen: Warum IoCs allein nicht mehr ausreichen
Analysten betonen, dass eine reine Prüfung der eigenen Infrastruktur gegen bekannte IoCs kein ausreichendes Sicherheitsniveau gewährleistet. Da Angreifer zwischen Juli und September 2025 vollständig neue Domains, IP-Adressen und Hashes einsetzten, ist es wahrscheinlich, dass Teile der Kompromittierung weiterhin unentdeckt bleiben. Die regelmässige Erneuerung von Werkzeugen und Infrastruktur spricht zudem dafür, dass weitere, bisher nicht dokumentierte Infektionspfade existieren könnten.
Organisationen sollten daher IoC-basierte Checks mit verhaltens- und anomaliegestützter Erkennung kombinieren. Dazu gehören die Überwachung ungewöhnlicher Update-Kommunikation, Integritätsprüfungen von Installern (z. B. Signatur- und Hash-Validierung), der Einsatz von EDR/XDR-Lösungen und aktives Threat Hunting. Ergänzend sind Simulationen von Supply-Chain-Angriffen, eine vollständige Inventarisierung externer Softwarelieferanten und die Umsetzung von Zero-Trust-Prinzipien für Update-Komponenten ratsam – inklusive strenger Segmentierung, minimaler Berechtigungen und detailliertem Logging.
Der Vorfall rund um Notepad++ unterstreicht, dass selbst weit verbreitete und vertrauenswürdige Werkzeuge für Entwicklung und Administration zu Einfallstoren für hochentwickelte Angreifer werden können. Wer seine Angriffsfläche wirksam reduzieren will, sollte Mechanismen für Software-Updates als kritische Infrastruktur behandeln, regelmässig Audits durchführen und Erkenntnisse aus Berichten von Rapid7, Kaspersky und anderen Anbietern zeitnah in die eigenen Erkennungsregeln und Sicherheitsprozesse übernehmen.
