El compromiso reciente del mecanismo de actualización de Notepad++ ha puesto de nuevo en primer plano los riesgos de los ataques a la cadena de suministro. Informes de Rapid7 y Kaspersky atribuyen la campaña a la APT china Lotus Blossom y describen un nuevo backdoor, denominado Chrysalis, utilizado en una operación de ciberespionaje mucho más prolongada y sofisticada de lo que se pensaba inicialmente.
Cómo se comprometió Notepad++: ataque a la infraestructura de actualizaciones
Según el desarrollador de Notepad++, Don Ho, la intrusión comenzó en junio de 2025 y se mantuvo activa durante aproximadamente seis meses. Los atacantes no modificaron el código fuente del editor, sino que vulneraron la infraestructura del proveedor de hosting del proyecto. A partir de ahí, pudieron interceptar y redirigir el tráfico de actualización hacia servidores controlados por ellos para un subconjunto de usuarios.
Rapid7 documenta una cadena de ejecución típica: tras iniciar notepad++.exe, se lanzaba el actualizador legítimo GUP.exe, que a su vez desencadenaba un sospechoso update.exe. No se encontraron evidencias de explotación del sistema de plugins, lo que refuerza el escenario clásico de supply-chain attack centrado en la distribución de actualizaciones, no en el binario oficial.
Cadenas de infección adicionales y perfil de las víctimas
La actividad detectada a finales de 2025 representa solo la fase visible de una operación más amplia. Kaspersky identificó dos cadenas de infección adicionales, activas entre julio y septiembre de 2025, en las que los atacantes cambiaban cada mes dominios, direcciones IP y hashes de los artefactos maliciosos. Esta rotación agresiva dificulta enormemente la detección basada únicamente en indicadores de compromiso (IoC) estáticos.
La telemetría indica que los objetivos principales eran proveedores de TI, organismos gubernamentales y entidades financieras en Australia, países de América Latina y el sudeste asiático. Esta elección es coherente con campañas de ciberespionaje dirigido: comprometer software muy extendido o socios tecnológicos permite a los atacantes entrar en redes de alto valor con un nivel elevado de confianza en el tráfico y en los binarios utilizados.
Backdoor Chrysalis: capacidades, sigilo y técnica de DLL sideloading
El elemento central de la operación es el backdoor Chrysalis, desplegado en hosts ya comprometidos. Este implante se conectaba a un servidor de mando y control (api.skycloudcenter[.]com, actualmente inactivo) y proporcionaba a los atacantes funciones completas de control remoto: shell interactivo, creación y terminación de procesos, manipulación de archivos, carga y exfiltración de datos, además de una función de autodestrucción.
Chrysalis se distribuía mediante un instalador NSIS trojanizado, que contenía un ejecutable BluetoothService.exe, en realidad la herramienta legítima Bitdefender Submission Wizard renombrada. Este binario se utilizaba para DLL sideloading: junto a él se incluía una DLL maliciosa y un fichero cifrado BluetoothService con shellcode. Al cargarse la DLL, se descifraba y ejecutaba el código de Chrysalis, aprovechando un ejecutable de confianza para eludir controles de seguridad basados en reputación.
Para maximizar el sigilo, los desarrolladores de Chrysalis emplearon hashing personalizado de API y varios niveles de ofuscación tanto en el cargador como en el módulo principal. El uso de binarios legítimos con nombres genéricos —una tendencia ya descrita en informes de Mandiant y otros proveedores— reduce la eficacia de firmas simples basadas en nombres de archivo o rutas.
Uso de Microsoft Warbird y reutilización de exploits de investigación
Un aspecto especialmente relevante del ataque es el uso de Microsoft Warbird, un framework interno de protección y ofuscación utilizado en productos de Microsoft. Los atacantes adaptaron un proof of concept publicado por la firma alemana Cirosec en septiembre de 2024 para ejecutar el shellcode de Chrysalis protegido por Warbird, envolviendo así la carga maliciosa con mecanismos de defensa concebidos originalmente para software legítimo.
Este comportamiento ilustra una táctica característica de APT avanzadas: la rápida adopción y operacionalización de herramientas y exploits publicados por la comunidad de investigación. Informes de ENISA y diversos CERT ya advertían que la frontera entre “código de prueba” y arma operativa se ha acortado drásticamente, complicando tanto la detección como el análisis forense.
Atribución a la APT Lotus Blossom y vínculos con campañas anteriores
Rapid7, Kaspersky y otros proveedores de seguridad atribuyen la campaña a Lotus Blossom (también conocida como Lotus Panda, Billbug, Raspberry Typhoon o Spring Dragon). Esta APT se ha especializado históricamente en operaciones de ciberespionaje contra el sector público, telecomunicaciones, aviación, medios y otras infraestructuras críticas en Asia y Centroamérica.
La atribución se basa en la coincidencia de tácticas, técnicas y procedimientos (TTP). Campañas previas documentadas por Symantec ya mostraban el uso de Bitdefender Submission Wizard renombrado para DLL sideloading, cadenas de ejecución similares y claves públicas idénticas en beacons de Cobalt Strike distribuidos mediante distintos loaders. La operación contra Notepad++ encaja con este patrón de reutilización de código e infraestructura.
Riesgos para las organizaciones y recomendaciones de defensa
Kaspersky subraya que limitar las revisiones de seguridad a los IoC ya publicados es insuficiente: durante meses se utilizaron otros dominios, IP y hashes, por lo que es probable que existan compromisos aún no detectados. La movilidad constante de la infraestructura indica, además, que pueden existir cadenas de infección adicionales todavía sin documentar.
Las organizaciones deberían complementar el uso de IoC con análisis basado en comportamiento y detección de anomalías: monitorizar tráfico inusual asociado a actualizaciones, validar la integridad de instaladores, desplegar soluciones EDR/XDR y practicar threat hunting periódico. Es clave modelar escenarios de ataque a la cadena de suministro, mantener un inventario exhaustivo de proveedores de software y aplicar principios de Zero Trust a los componentes de actualización, con segmentación estricta, mínimos privilegios y registro detallado.
El incidente de Notepad++ demuestra que incluso herramientas ampliamente confiables pueden convertirse en vectores de ataque de alto impacto. Mantenerse al día de los informes de Rapid7, Kaspersky y otros actores del sector, actualizar reglas de detección conforme surgen nuevas TTP e IoC, y auditar de forma regular los mecanismos de actualización de las aplicaciones críticas son pasos esenciales para reducir la superficie de ataque y elevar la resiliencia frente a futuras campañas de ciberespionaje dirigidas.
