0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Полгода тишины, «куколка» внутри и китайский след. Что известно о масштабном взломе Notepad++

Notepad++ Lotus Blossom Chrysalis китайские хакеры кибершпионаж
Полгода тишины, «куколка» внутри и китайский след. Что известно о масштабном взломе Notepad++
Notepad++ Lotus Blossom Chrysalis китайские хакеры кибершпионаж

Кто на самом деле стоит за взломом популярного редактора?

image

Исследователи в области кибербезопасности продолжают расследование атаки на популярный текстовый редактор Notepad++, которая оставалась незаметной почти полгода — с июня по декабрь 2025 года. Злоумышленники скомпрометировали хостинг-провайдера, где размещался сайт notepad-plus-plus.org, и получили возможность перехватывать запросы на обновление программы. Вместо настоящих установщиков пользователи получали вредоносные файлы, которые запускались без предупреждений из-за отсутствия полноценной проверки цифровых подписей в старых версиях редактора.

Команда Rapid7 заявила, что «с умеренной степенью уверенности» приписывает взлом китайской хакерской группировке Lotus Blossom, также известной под именами Lotus Panda и Billbug. Эта группировка обычно проводит целевые шпионские кампании против организаций в Юго-Восточной Азии, а в последнее время и в Центральной Америке. В фокусе её внимания находятся правительственные структуры, телекоммуникационные компании, авиация, критическая инфраструктура и медиасектор.

По данным специалистов, хакеры использовали скомпрометированную систему обновлений Notepad++ для распространения ранее неизвестного бэкдора Chrysalis. После проникновения они создали троянскую версию обновления в виде NSIS-установщика — формата, который часто используют китайские хакерские группы для доставки своих вредоносных программ.

Установщик содержал исполняемый файл с именем BluetoothService.exe, который на самом деле представлял собой переименованную легитимную программу Bitdefender Submission Wizard. Её использовали для техники внедрения вредоносных DLL-библиотек — ещё одного излюбленного метода китайских кибершпионов. Также в составе установщика был файл BluetoothService, содержащий зашифрованный шелл-код, и вредоносная DLL-библиотека.

Шелл-код и есть сам бэкдор Chrysalis. По мнению Rapid7, его обширный набор возможностей указывает на то, что это продвинутый и долговременный инструмент, а не простая одноразовая утилита. Вредонос использует легитимные исполняемые файлы для загрузки вредоносных библиотек с обычными именами, чтобы избежать обнаружения простыми инструментами, работающими на основе имён файлов. Также применяется специальное хеширование API как в загрузчике, так и в основном модуле, множественные уровни обфускации и структурированный подход к коммуникации с командными серверами.

На момент публикации у Rapid7 не было информации о том, сколько жертв случайно загрузили вредонос Chrysalis. Однако исследователи опубликовали полный список файловых и сетевых индикаторов компрометации.

Атрибуция атаки группе Lotus Blossom основана прежде всего на сходстве используемых методов с предыдущими исследованиями компании Symantec. В частности, хакеры применяли переименованный Bitdefender Submission Wizard для загрузки файла log.dll, предназначенного для расшифровки и выполнения дополнительной вредоносной нагрузки. Кроме того, схожесть цепочки выполнения и одинаковый публичный ключ, извлечённый из маяков Cobalt Strike, также указывают на причастность Lotus Blossom к этой кампании.