¿Qué ocurrió en el ataque a la cadena de suministro de Notepad++ en 2025?

Entre junio y diciembre de 2025, la infraestructura de actualizaciones de Notepad++ fue comprometida, permitiendo a los atacantes distribuir binarios maliciosos de forma selectiva a determinadas víctimas. El ataque no afectó al código fuente del proyecto, sino al sistema de hosting y actualización.

¿Por qué este ataque a Notepad++ es especialmente peligroso?

Notepad++ es una herramienta ampliamente utilizada por desarrolladores, administradores de sistemas y técnicos. Comprometer su mecanismo de actualización proporciona acceso directo a entornos sensibles, lo que convierte el ataque en un vector de alto impacto pese a su carácter selectivo.

¿Cuántas cadenas de infección se identificaron en el ataque?

El análisis de Kaspersky identificó tres cadenas de infección independientes, cada una con técnicas distintas, loaders diferentes y rotación constante de servidores de comando y control, lo que demuestra una estrategia en evolución continua.

¿Qué técnicas se utilizaron en las cadenas de infección?

Las cadenas incluyeron abuso de instaladores NSIS, uso de binarios legítimos vulnerables, ejecución de shellcode mediante intérpretes Lua, DLL sideloading y carga de payloads cifrados, combinando técnicas antiguas y modernas para evadir detección.

¿Qué papel jugaron Metasploit y Cobalt Strike en el ataque?

Metasploit fue utilizado como downloader inicial en varias fases del ataque, mientras que Cobalt Strike actuó como framework principal de comando y control, permitiendo persistencia, movimiento lateral y ejecución remota de comandos.

¿Qué es el backdoor Chrysalis identificado por Rapid7?

Chrysalis es un backdoor a medida documentado por Rapid7, con loaders multicapa, uso de llamadas internas no documentadas de Windows y técnicas avanzadas de ofuscación. No se trata de malware genérico, sino de una herramienta desarrollada específicamente para operaciones APT.

¿Quién está detrás del ataque según Rapid7?

Rapid7 atribuye el ataque con confianza media al grupo APT chino Lotus Blossom, también conocido como Billbug, un actor previamente vinculado a campañas de espionaje contra gobiernos y sectores estratégicos en Asia.

¿Se contradicen los análisis de Kaspersky y Rapid7?

No. Kaspersky aporta una visión operativa detallada de las cadenas de infección y su evolución, mientras que Rapid7 se centra en la atribución del actor y el análisis del backdoor Chrysalis. Ambos informes se complementan y coinciden en los elementos técnicos clave.

¿Qué indicadores de compromiso permiten detectar este ataque?

Entre los IoC destacan ejecuciones sospechosas de instaladores NSIS, creación de archivos temporales como ns.tmp, tráfico hacia dominios como temp[.]sh, User-Agents con URLs incrustadas y uso anómalo de comandos de reconocimiento del sistema.

¿Qué lecciones deja el ataque a Notepad++ para la seguridad del software?

El caso demuestra que la seguridad no termina en el código fuente. Incluso proyectos open source confiables pueden convertirse en vectores de intrusión si la cadena de suministro o la infraestructura de distribución es comprometida.

Grave ataque a la Cadena de Suministro de Notepad++: tres cadenas de infección, Cobalt Strike y la sombra de Lotus Blossom | Noticias Hacking y Seguridad Informática

El compromiso de la infraestructura de actualizaciones de Notepad++ entre junio y diciembre de 2025 se ha convertido en uno de los casos más sofisticados de ataque a la cadena de suministro observados en software open source en los últimos años.

Lo que inicialmente parecía una intrusión puntual terminó revelando múltiples cadenas de ejecución, rotación constante de C2 y una combinación poco habitual de malware a medida y frameworks comerciales.

Dos análisis destacan sobre el resto:

Kaspersky, con una disección quirúrgica de tres cadenas de infección independientes
Rapid7 que atribuye el ataque con confianza media al actor chino Lotus Blossom (Billbug) y documenta el backdoor Chrysalis

Leídos juntos, ambos informes no se contradicen: se complementan y dibujan una operación paciente, dirigida y técnicamente madura.

Un ataque Silencioso, Selectivo y Prolongado

Según confirmó el propio mantenedor de Notepad++, el ataque no explotó un bug clásico del software, sino un compromiso a nivel de proveedor de hosting, lo que permitió a los atacantes:

Interceptar solicitudes de actualización
Redirigir selectivamente a servidores maliciosos
Servir binarios manipulados solo a víctimas concretas

Este detalle es clave: no fue una campaña masiva, sino una operación quirúrgica contra objetivos de alto valor en:

Vietnam
Filipinas (organismo gubernamental)
El Salvador (sector financiero)
Australia
Proveedores de servicios IT

Saber Más..

Kaspersky: tres cadenas de infección, una estrategia en evolución constante

El análisis de Kaspersky destaca por una cosa: la variedad extrema de los execution chains, algo poco habitual incluso en ataques APT.

Cadena #1 – Julio y agosto de 2025

Aquí se observa una técnica especialmente creativa:

El updater legítimo (GUP.exe) lanza un NSIS malicioso
Se recolecta información del sistema usando whoami y tasklist
Los datos se exfiltran usando temp[.]sh, ocultando la URL dentro del User-Agent
Se abusa de ProShow.exe, un software legítimo, explotando una vulnerabilidad antigua (2010s) en lugar de DLL sideloading

Resultado final:

Metasploit downloader
Cobalt Strike Beacon
C2 rotando entre IPs y dominios como cdncheck.it[.]com

Este enfoque demuestra una clara intención de evitar detecciones modernas, usando técnicas “olvidadas” en lugar de las más vigiladas.

Cadena #2 – Septiembre de 2025

Aquí el ataque muta por completo:

Más recolección de datos (systeminfo, netstat -ano)
Cambio de directorios a rutas que parecen legítimas (Adobe\Scripts)
Uso de Lua interpreter legítimo para ejecutar shellcode desde un archivo .ini

De nuevo:

Metasploit
Cobalt Strike
Rotación agresiva de dominios (self-dns.it, safe-dns.it)

Kaspersky destaca algo importante: las técnicas ya habían sido mencionadas por un usuario (“soft-parsley”) en los foros de Notepad++, lo que sugiere que los atacantes estaban monitorizando la comunidad… o incluso probando detecciones.

Cadena #3 – Octubre de 2025

Aquí el enfoque cambia de filosofía:

Regresa el DLL sideloading
Se usa un binario legítimo renombrado (BluetoothService.exe)
Se carga un payload cifrado: Chrysalis

Esta cadena coincide directamente con lo documentado por Rapid7, cerrando el círculo entre ambos análisis.

Rapid7: Chrysalis y la atribución a Lotus Blossom

Rapid7 va un paso más allá y pone nombre al actor.

Según su investigación, el backdoor Chrysalis:

Es malware a medida, no commodity
Usa loaders multicapa
Integra llamadas internas no documentadas (NtQuerySystemInformation)
Combina:
- Malware propio
- Metasploit
- Cobalt Strike
- Abuso de Microsoft Warbird, un framework interno de ofuscación

Este mix no es casual. Es característico de Lotus Blossom / Billbug, un actor chino activo desde hace años, ya vinculado a:

DLL sideloading con binarios de Trend Micro y Bitdefender
Campañas contra gobiernos y sectores estratégicos en Asia

Rapid7 no encuentra evidencias de compromiso de plugins ni del código de Notepad++, reforzando la tesis de que el vector fue exclusivamente la infraestructura de actualización.

¿Contradicción entre Kaspersky y Rapid7? No exactamente

Aunque a primera vista parecen enfoques distintos, en realidad:

Kaspersky aporta la visión operacional completa
Rapid7 aporta la atribución y el contexto APT

Ambos coinciden en puntos clave:

Uso de NSIS
Metasploit como loader
Cobalt Strike como framework de control
Rotación constante para evadir detección
Ataques altamente dirigidos

La diferencia no es de hechos, sino de nivel de análisis.

¿Por qué este ataque es especialmente peligroso?

Este caso demuestra algo inquietante:

Notepad++ es software confiable y omnipresente
Usado por desarrolladores, admins y técnicos
Comprometer su updater equivale a acceso directo a entornos sensibles

Además, los atacantes:

Cambiaban técnicas cada pocas semanas
Reducían la superficie de detección
Abandonaron la operación antes de levantar sospechas masivas

Un manual de APT moderno, ejecutado con paciencia.

¿Cómo detectar rastros del ataque hoy?

Kaspersky propone hunting activo basado en comportamiento:

Ejecuciones de NSIS installers sospechosos
Creación de ns.tmp en %localappdata%\Temp
Tráfico DNS o HTTP hacia temp[.]sh
User-Agents con URLs incrustadas
Uso anómalo de whoami, tasklist, systeminfo, netstat -ano
Presencia de rutas y hashes IoC documentados

Este enfoque es más eficaz que confiar solo en firmas.

Conclusión

El ataque a Notepad++ no fue un incidente aislado, sino una operación APT bien planificada, que demuestra cómo incluso el software open source más confiable puede convertirse en un vector de intrusión cuando la cadena de suministro falla.

La combinación de:

Infraestructura comprometida
Payloads rotativos
Malware a medida
Frameworks comerciales

Esto deja una lección clara, la seguridad del software ya no termina en el código.