Інцидент із компрометацією популярного редактора Notepad++ виявився не одиничною атакою, а тривалою та добре спланованою supply-chain операцією. Звіти Rapid7 пов’язують кампанію з китайською APT-групою Lotus Blossom і описують раніше невідомий бекдор Chrysalis, який використовувався в багатоступеневій кібершпигунській діяльності.
Компрометація механізму оновлень Notepad++ та атака на ланцюг постачання
2 лютого 2026 року розробник Notepad++ Дон Хо оприлюднив результати внутрішнього розслідування. З’ясувалося, що атака стартувала ще в червні 2025 року і тривала близько пів року. Зловмисники не змінювали вихідний код редактора, натомість зосередилися на інфраструктурі хостинг-провайдера, через яку розповсюджувалися оновлення.
Фактично було реалізовано класичну supply-chain атаку на механізм оновлень: частина запитів користувачів до сервера оновлень перехоплювалася і прозоро перенаправлялася на контрольовані зловмисниками вузли. За даними Rapid7, ланцюжок виглядав так: запуск notepad++.exe викликав стандартний апдейтер GUP.exe, після чого на деяких системах стартував підозрілий update.exe.
Артефактів, які б вказували на експлуатацію системи плагінів Notepad++, виявлено не було. Це посилює версію, що ключовим вектором став перехоплений мережевий трафік на рівні провайдера, а не скомпрометований дистрибутив програми. Такий підхід дозволяє атакувальникам залишатися непомітними, оскільки оновлення зазвичай користуються високим рівнем довіри.
Додаткові ланцюжки зараження та географія кібершпигунської кампанії
Аналітики встановили, що інцидент із Notepad++ був лише фінальною фазою ширшої операції. Було виявлено ще дві окремі ланцюжки зараження, активні з липня по вересень 2025 року. Зловмисники щомісяця повністю змінювали інфраструктуру управління: домени, IP-адреси та хеші шкідливих файлів.
Подібна агресивна ротація робить традиційні індикатори компрометації (IoC) малоефективними: навіть за наявності оновлених списків доменів і хешів частина інфекцій може залишатися невиявленою. Телеметрія показала, що мішенями виступали ІТ-провайдери, державні органи та фінансові установи в Австралії, країнах Латинської Америки та Південно-Східної Азії.
Використання популярного інструмента на кшталт Notepad++ у поєднанні з атаками на постачальників ІТ-послуг є типовим підходом для цільового кібершпигунства. Через довірені канали оновлень атакувальники отримують «тихий» доступ до високопріоритетних мереж з мінімальною кількістю тригерів безпекових систем.
Бекдор Chrysalis: функціональність, поширення та методи приховування
Ключовим компонентом кампанії став новий бекдор Chrysalis, який доставлявся на вже скомпрометовані системи. Після установки він встановлював з’єднання з командно-контрольним сервером api.skycloudcenter[.]com (наразі недоступний) і надавав зловмисникам широкий набір можливостей.
Серед функцій Chrysalis — інтерактивний віддалений шел, запуск і завершення процесів, операції з файлами, екфільтрація даних та опція самознищення. Такий набір інструментів характерний для APT-бекдорів, які орієнтовані на тривалу, приховану присутність у мережі жертви.
DLL sideloading через легітимний Bitdefender Submission Wizard
Розповсюдження Chrysalis відбувалося через троянізований інсталятор Nullsoft Scriptable Install System (NSIS). Всередині нього містився файл BluetoothService.exe — перейменована версія легітимної утиліти Bitdefender Submission Wizard. Цей компонент використовувався для DLL sideloading.
Разом із ним постачалися зашифрований файл BluetoothService із шелкодом та шкідлива DLL. Під час запуску легітимний процес автоматично підвантажував підставлену бібліотеку, яка розшифровувала шелкод і завантажувала сам бекдор Chrysalis. Така техніка дозволяє маскувати шкідливу активність під відомий, підписаний виробником безпеки бінарник.
Обфускація, хешування API та ускладнення детектування
Для уникнення виявлення шкідливий код використовував кастомне хешування викликів API як у завантажувачі, так і в основному модулі, а також кілька рівнів обфускації. Опора на легітимні виконувані файли з «шумними» назвами додатково ускладнює сигнатурне виявлення та просту перевірку імен файлів.
Подібні прийоми відповідають сучасним трендам APT-операцій, які описують Mandiant та інші вендори: замість грубого мас-малуару використовується малопомітна, гнучка інфраструктура, орієнтована на уникнення поведінкового та сигнатурного аналізу.
Microsoft Warbird та повторне використання дослідницьких експлойтів
Окрему увагу експертів привернув факт використання зловмисниками Microsoft Warbird — внутрішнього фреймворку для захисту та обфускації коду, який застосовується в продуктах Microsoft. Нападники адаптували опублікований у вересні 2024 року proof-of-concept експлойт німецької компанії Cirosec для виконання шелкоду Chrysalis.
Таким чином, шкідливе навантаження опинилося «загорнутим» у ті ж механізми захисту, що й легітимні програми. Це демонструє типову для розвинених APT-груп тактику: швидке переосмислення публічних дослідницьких напрацювань і вбудовування їх у власний арсенал, що суттєво ускладнює виявлення та аналіз інцидентів.
Атрибуція до APT-групи Lotus Blossom
Rapid7 та інші дослідники пов’язують кампанію з групою Lotus Blossom (також відомою як Lotus Panda, Billbug, Raspberry Typhoon і Spring Dragon). Ця APT-група традиційно фокусується на організаціях Південно-Східної Азії та Центральної Америки, атакуючи державні структури, телеком-компанії, авіацію, об’єкти критичної інфраструктури та медіа.
Ключові аргументи атрибуції — збіги в тактиках, техніках і програмних артефактах. Раніше Symantec вже фіксувала використання Lotus Blossom перейменованого Bitdefender Submission Wizard для DLL sideloading (файл log.dll), характерні послідовності виконання та однакові публічні ключі у маяках Cobalt Strike. Поточна операція демонструє дуже схожий підхід і високу ступінь повторного використання коду.
Ризики для організацій і практичні заходи захисту від supply-chain атак
Експерти наголошують: перевірка інфраструктури лише за опублікованими IoC не гарантує повної безпеки. Міграція доменів, IP-адрес і хешів у липні–вересні 2025 року свідчить, що частина інфекцій могла залишитися непоміченою, а також не виключає існування додаткових, ще не виявлених ланцюжків зараження.
Організаціям рекомендується поєднувати перевірку за IoC із поведінковим та аномалійним аналізом: відстеження нетипового трафіку оновлень, контроль цілісності інсталяторів, використання EDR/XDR-рішень та регулярний threat hunting. Важливими є моделювання attack scenarios на ланцюг постачання, повна інвентаризація зовнішніх постачальників ПЗ та впровадження принципів Zero Trust для оновлювальних компонентів — включно з жорсткою сегментацією, обмеженням привілеїв і детальним логуванням.
Інцидент із Notepad++ переконливо показує, що навіть найбільш довірені інструменти розробки та адміністрування можуть стати точкою входу для APT-груп. Щоб знизити подібні ризики, варто системно переглянути політики оновлень, оперативно впроваджувати рекомендації з публічних звітів Rapid7 та інших вендорів, регулярно оновлювати правила детектування з урахуванням нових IoC та TTP атакувальників і планово аудіювати механізми оновлень критично важливого ПЗ.
