Un actor de amenazas vinculado a China conocido como Flor de loto se ha atribuido con un nivel de confianza medio al compromiso descubierto recientemente de la infraestructura que aloja Notepad++.

El ataque permitió al grupo de hackers patrocinado por el estado lanzar una puerta trasera previamente indocumentada con el nombre en clave Crisálida a los usuarios del editor de código abierto, según nuevos hallazgos de Rapid7.

El desarrollo se produce poco después de Don Ho, mantenedor de Notepad++. dijo que un compromiso a nivel del proveedor de alojamiento permitió a los actores de amenazas secuestrar el tráfico de actualizaciones a partir de junio de 2025 y redirigir selectivamente dichas solicitudes de ciertos usuarios a servidores malintencionados para publicar una actualización manipulada al aprovechar los insuficientes controles de verificación de actualizaciones que existían en las versiones anteriores de la utilidad.

La debilidad se solucionó en diciembre de 2025 con el lanzamiento de la versión 8.8.9. Desde entonces, se ha descubierto que el proveedor de alojamiento del software sufrió una violación para redireccionar el tráfico de forma selectiva hasta el 2 de diciembre de 2025, fecha en la que el atacante dejó de tener acceso. Desde entonces, Notepad++ ha migrado a un nuevo proveedor de alojamiento con una mayor seguridad y ha cambiado todas las credenciales.

El análisis del incidente realizado por Rapid7 no ha descubierto pruebas ni artefactos que sugieran que el mecanismo relacionado con la actualización se haya explotado para distribuir malware.

«El único comportamiento confirmado es que la ejecución de 'notepad++.exe' y, posteriormente, de 'GUP.exe' precedió a la ejecución de un proceso sospechoso, 'update.exe', que se descargó de 95.179.213.0», dijo el investigador de seguridad Ivan Feigl.

«Update.exe» es un instalador de Nullsoft Scriptable Install System (NSIS) que contiene varios archivos -

  • Un script de instalación de NSIS
  • BluetoothService.exe, una versión renombrada de Bitdefender Submission Wizard que se utiliza para la carga lateral de DLL (una técnica muy utilizada por los grupos de hackers chinos)
  • Servicio Bluetooth, código shell cifrado (también conocido como Chrysalis)
  • log.dll, una DLL maliciosa que se descarga de forma lateral para descifrar y ejecutar el shellcode

Chrysalis es un implante personalizado y rico en funciones que recopila información del sistema y contacta con un servidor externo («api.skycloudcenter [.] com») para recibir probablemente comandos adicionales para ejecutarlos en el host infectado.

El servidor de comando y control (C2) está desconectado actualmente. Sin embargo, un análisis más profundo del artefacto ofuscado ha revelado que es capaz de procesar las respuestas HTTP entrantes para generar un shell interactivo, crear procesos, realizar operaciones con archivos, cargar/descargar archivos y desinstalarse automáticamente.

«En general, la muestra parece algo que se ha desarrollado activamente a lo largo del tiempo», afirma Rapid7, y añade que también identifica un archivo llamado «conf.c» que está diseñado para recuperar una baliza Cobalt Strike mediante un cargador personalizado que incorpora API de bloques Metasploit código shell.

Uno de esos cargadores, "ConsoleApplication2.exe" es digno de mención por el uso de Microsoft Warbird , un marco interno de protección y ofuscación de código no documentado, para ejecutar shellcode. Se ha descubierto que el autor de la amenaza copia y modifica una prueba de concepto (PoC) ya existente publicado de la empresa alemana de ciberseguridad Cirosec en septiembre de 2024.

La atribución de Chrysalis por parte de Rapid7 a Lotus Blossom (también conocida como Billbug, Bronze Elgin, Lotus Blossom, Raspberry Typhoon, Spring Dragon y Thrip) se basa en similitudes con campañas anteriores emprendidas por el actor de amenazas, incluida una documentadas de Symantec, propiedad de Broadcom, en abril de 2025, que implicó el uso de ejecutables legítimos de Trend Micro y Bitdefender para descargar archivos DLL maliciosos.

«Si bien el grupo sigue confiando en técnicas comprobadas, como la carga lateral de DLL y la persistencia del servicio, su cargador de códigos de shell de varios niveles y la integración de llamadas al sistema no documentadas (NTQuerySystemInformation) marcan un claro cambio hacia una artesanía más resiliente y sigilosa», afirma la empresa.

«Lo que destaca es la combinación de herramientas: el despliegue de malware personalizado (Chrysalis) junto con marcos básicos como Metasploit y Cobalt Strike, junto con la rápida adaptación de la investigación pública (específicamente el abuso de Microsoft Warbird). Esto demuestra que Billbug actualiza activamente su manual de estrategias para mantenerse a la vanguardia de la detección moderna».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.