A equipa de investigação Kaspersky GReAT (Global Research and Analysis Team) revelou detalhes inéditos sobre o comprometimento da infraestrutura de atualização do Notepad++, um editor de texto amplamente utilizado por programadores. Entre julho e outubro de 2025, os atacantes implementaram três cadeias de infeção distintas, modificando constantemente seus métodos de distribuição, servidores de comando e controlo (C2) e payloads maliciosos.
Principais Descobertas:
Escopo do Ataque:
- Período: Junho a dezembro de 2025
- Alvos confirmados:
- Organização governamental nas Filipinas
- Instituição financeira em El Salvador
- Fornecedor de serviços de TI no Vietname
- Indivíduos no Vietname, El Salvador e Austrália
Modus Operandi: Os atacantes comprometeram a infraestrutura do provedor de hospedagem do Notepad++, permitindo redirecionamento seletivo de tráfego de atualização para servidores maliciosos. Durante quatro meses, renovaram constantemente:
- Endereços de servidores C2
- Downloaders utilizados para entrega de implantes
- Payloads finais (Metasploit, Cobalt Strike Beacon, backdoor Chrysalis)
Três Cadeias de Infeção Identificadas
Cadeia #1 (Final de julho – início de agosto 2025)
- Utilizou instalador NSIS (~1 MB)
- Explorou vulnerabilidade antiga do software ProShow
- Implementou downloader Metasploit → Cobalt Strike Beacon
- C2 inicial:
45.77.31[.]210ecdncheck.it[.]com
Cadeia #2 (Setembro – outubro 2025)
- Instalador NSIS reduzido (~140 KB)
- Empregou interpretador Lua legítimo para execução de shellcode
- Recolha expandida de informações do sistema
- Novos domínios C2:
safe-dns.it[.]comeself-dns.it[.]com
Cadeia #3 (Outubro 2025)
- Técnica de DLL sideloading
- Implementação do backdoor personalizado Chrysalis
- Abusou de executável legítimo da Bitdefender
- Nova infraestrutura C2:
95.179.213[.]0eapi.skycloudcenter[.]com
Indicadores Técnicos
- Websites de upload temporário: temp[.]sh (utilizado para exfiltração de dados)
- User-agents personalizados: Variações de Mozilla/Chrome para evasão
- Comandos de reconhecimento:
whoami,tasklist,systeminfo,netstat -ano
Medidas de Proteção
A Kaspersky recomenda:
- Verificar logs para criação de diretórios
%localappdata%\Temp\ns.tmp - Monitorizar resoluções DNS para
temp[.]sh - Auditar execuções de instaladores NSIS não autorizados
- Implementar detecção de DLL sideloading
- Atualizar para Notepad++ versão 8.9.1+ (inclui validação XMLDSig)
Atribuição
Múltiplos investigadores de segurança atribuem o ataque ao grupo Lotus Blossom (também conhecido como Bilbug, Raspberry Typhoon ou Thrip), um ator de ameaças chinês ativo desde 2009.
Referências e Recursos Originais
Análises Técnicas Primárias:
- Kaspersky Securelist – Relatório técnico completo
“The Notepad++ supply chain attack – unnoticed execution chains and new IoCs”
Autores: Georgy Kucherin, Anton Kargin
Publicado: 3 de fevereiro de 2026 - Rapid7 Research – Análise do backdoor Chrysalis
“Notepad++ Hosting Breach Attributed to Lotus Blossom”
Identificação inicial da cadeia de infeção #3 - Notepad++ Comunicado Oficial
“Notepad++ Hijacked by State-Sponsored Hackers”
Declaração do desenvolvedor Don Ho
2 de fevereiro de 2026
Análises de Segurança Complementares:
- Kaspersky Official Press Release
“Kaspersky GReAT uncovers hidden attack chains” - Tenable Research FAQ
“Notepad++ Supply Chain Compromise” - Help Net Security
“Notepad++ supply chain attack: Researchers reveal details, IoCs, targets”
IOCs e Detecção:
- Lista completa de Indicadores de Compromisso disponível no relatório da Kaspersky Securelist
- 6 hashes de atualizadores maliciosos
- 14 URLs de servidores C2
- 8 hashes de ficheiros maliciosos não relatados anteriormente
Contexto para Organizações Portuguesas
Este incidente sublinha a importância de:
- Validação rigorosa de atualizações de software
- Monitorização de infraestrutura de rede
- Implementação de EDR (Endpoint Detection and Response)
- Conformidade com requisitos RGPD em auditoria de segurança
A HJFR recomenda revisão imediata de sistemas que utilizem Notepad++ e implementação de controlos de segurança adequados.