Ataque: ataque a la Update de Notepad++ se vincula a Lotus Blossom y al backdoor Chrysalis
El ataque a la Update de Notepad++ ha sido atribuido con “confianza moderada” a Lotus Blossom (también conocido como Lotus Panda o Billbug), un grupo de ciberespionaje vinculado a intereses estatales chinos, según el análisis publicado por el equipo de threat hunting de Rapid7. El incidente se enmarca en un patrón de supply chain compromise: el actor habría manipulado la infraestructura de distribución para redirigir selectivamente tráfico de actualización a un sitio controlado por el atacante y distribuir un instalador adulterado que desplegaba un nuevo backdoor llamado Chrysalis.
La relevancia para la industria no está en Notepad++ como producto en sí, sino en el vector: la actualización de software como canal de intrusión en organizaciones de alto valor. Rapid7 indica que Lotus Blossom suele apuntar a telecoms, gobierno, aviación, infraestructura crítica y medios, con campañas históricas en el Sudeste Asiático y actividad más reciente en Centroamérica.
Ataque a la Update de Notepad++: qué se sabe del secuestro
De acuerdo con el autor del proyecto, Don Ho, los atacantes habrían comprometido un servidor de shared hosting y, sin necesidad de afectar a todos los usuarios, aplicaron una táctica de redirección selectiva: algunas solicitudes de Update terminaron en un dominio malicioso desde el que se descargaba una supuesta actualización legítima. Rapid7 sostiene que, una vez dentro de la cadena de distribución, el grupo abusó del canal para entregar un paquete troyanizado.
A la hora de dimensionar el impacto, Rapid7 afirma no tener visibilidad completa del número de víctimas que descargaron el implante, aunque sí publicó indicadores de compromiso (IoC) para ayudar a equipos SOC y MDR a detectar actividad asociada.
Chrysalis: un backdoor nuevo con técnicas típicas de APT
Según Rapid7, la carga maliciosa se entregó como un instalador NSIS (Nullsoft Scriptable Install System), un formato frecuentemente utilizado en campañas de APT para empaquetar primeras etapas. El instalador incluía un ejecutable llamado BluetoothService.exe, descrito como una versión renombrada de una herramienta legítima (Bitdefender Submission Wizard) utilizada para habilitar DLL sideloading.
La cadena descrita incluye además un archivo denominado “BluetoothService” que en realidad sería shellcode cifrado y una DLL maliciosa cargada mediante sideloading. Rapid7 identifica ese shellcode como el backdoor Chrysalis y destaca que su conjunto de capacidades sugiere una herramienta “sofisticada y permanente”, más cercana a un implante operacional que a un malware desechable.
En la parte de evasión, Rapid7 documenta el uso de binarios legítimos, nombres genéricos para DLL, y técnicas como API hashing (en el loader y el módulo principal), múltiples capas de ofuscación y un enfoque “estructurado” para la comunicación con C2 (Command and Control). Este tipo de diseño busca reducir detecciones basadas en firmas simples o en heurísticas de nombres de archivo.
Atribución a Lotus Blossom y señales técnicas
La atribución del ataque a la Update de Notepad++ a Lotus Blossom se apoya, según Rapid7, en similitudes con cadenas de ejecución descritas previamente por investigaciones públicas, incluyendo coincidencias en loaders y en el abuso de herramientas legítimas renombradas para sideloading. Rapid7 también menciona hallazgos relacionados con artefactos y claves asociadas a beacons de Cobalt Strike observados en etapas vinculadas a la intrusión, lo que refuerza la relación con actividad previa atribuida al mismo actor.
El proyecto de Notepad++ no confirmó públicamente, en el momento de la publicación original, los detalles técnicos de la atribución de Rapid7. El caso sigue abierto en cuanto al punto exacto de acceso inicial a la infraestructura de distribución.
Por qué este incidente importa a empresas y organismos públicos
Los ataques a la cadena de suministro mediante Update siguen siendo uno de los escenarios más complejos para la defensa: reducen fricción para el atacante (el usuario “confía” en el instalador) y permiten segmentación por objetivos (telecoms, gobierno o infraestructura crítica) sin disparar necesariamente alarmas masivas. En este contexto, la publicación de IoC y el seguimiento de telemetría de endpoints y red se vuelve clave para identificar desvíos tempranos.
Fuentes y referencias: análisis técnico de Rapid7 sobre Chrysalis y Lotus Blossom (Rapid7), y referencia del proyecto Notepad++ para actualizaciones e información oficial (Notepad++).
A medida que se conozcan más detalles sobre víctimas y alcance, el ataque a la Update de Notepad++ se perfila como otro recordatorio de que el riesgo no solo está en las vulnerabilidades del software, sino en la infraestructura que distribuye confianza a gran escala.
