Redirecionamentos seletivos de tráfego de atualização entregaram instaladores adulterados a alvos específicos entre junho e dezembro de 2025, explorando verificações insuficientes em versões antigas do utilitário.
| Componente | Infraestrutura de hospedagem usada para distribuir atualizações do Notepad++, com execução observada a partir de notepad++.exe, GUP.exe e instaladores update.exe adulterados. |
| Vetor | Comprometimento no provedor de hospedagem permitiu redirecionar seletivamente requisições de atualização de usuários específicos para servidores maliciosos, aproveitando controles insuficientes de verificação em versões antigas. |
| Impacto | Instaladores NSIS adulterados coletaram informações do sistema e entregaram cadeias com shellcode, downloaders Metasploit, beacons Cobalt Strike e o implante Chrysalis em máquinas selecionadas. |
| Prioridade | Atualizar para Notepad++ 8.8.9 ou posterior, verificar execuções suspeitas após GUP.exe, revisar tráfego histórico de atualização e conter hosts que tenham baixado update.exe de infraestrutura defangada associada ao incidente. |
| Período | O redirecionamento começou em junho de 2025 e o acesso do invasor à infraestrutura foi encerrado em 2 de dezembro de 2025; variantes foram observadas entre julho e outubro de 2025. |
| Atribuição | A atividade foi atribuída com confiança média ao Lotus Blossom, também rastreado como Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon e Thrip. |
O incidente envolvendo o Notepad++ combina comprometimento de hospedagem, abuso de fluxo de atualização e entrega seletiva de malware. O ponto central não foi uma falha genérica no editor de texto em si, mas o controle obtido sobre a infraestrutura usada para hospedar recursos de atualização. A partir desse acesso, operadores conseguiram desviar requisições de atualização de determinados usuários para servidores sob controle adversário, entregando um instalador adulterado apenas a um conjunto restrito de alvos. Essa seletividade reduz ruído operacional, dificulta reprodução por pesquisadores e torna a detecção dependente de telemetria histórica de endpoint, DNS, proxy e execução de processos.
A fraqueza explorada no fluxo de confiança estava associada a verificações insuficientes de atualização em versões antigas do utilitário. A correção foi introduzida na versão 8.8.9, lançada em dezembro de 2025. Após o encerramento do acesso indevido em 2 de dezembro de 2025, o projeto migrou para um novo provedor de hospedagem com controles de segurança reforçados e realizou rotação de credenciais. A análise disponível não aponta exploração do mecanismo de plugins nem uso do próprio mecanismo legítimo de atualização para distribuição ampla; o comportamento confirmado envolve a sequência de execução de notepad++.exe, seguida por GUP.exe, antes da execução de update.exe baixado de infraestrutura maliciosa.
A cadeia observada começa quando uma instalação vulnerável ou desatualizada do Notepad++ aciona o fluxo de atualização. Em vez de receber o artefato legítimo esperado, usuários selecionados eram redirecionados para um binário update.exe hospedado em infraestrutura controlada pelo invasor. O arquivo era um instalador NSIS, formato comumente usado para empacotar instaladores no Windows, e servia como primeiro estágio para coleta de informações e carregamento de componentes adicionais. A telemetria descreve o download a partir de 95.179.213[.]0 em uma das cadeias e de URLs defangadas como 45.76.155[.]202/update/update.exe e 45.32.144[.]255/update/update.exe em outras variações.
As variantes iniciais do instalador coletavam dados básicos do sistema, incluindo identidade do usuário, lista de processos, conexões de rede e informações do ambiente Windows. O envio desses dados foi associado a destinos defangados como temp[.]sh e, em variante posterior, self-dns[.]it[.]com/list. Esses detalhes indicam uma etapa de reconhecimento pós-entrega usada para qualificar o host e orientar a próxima fase. O contexto não confirma implantação indiscriminada em todos os usuários; ao contrário, a atividade foi descrita como direcionada, com mudanças frequentes em endereços de C2, downloaders e payloads finais ao longo de quatro meses.
Uma das cadeias abusou de carregamento lateral de DLL por meio de um executável legítimo associado ao software ProShow, ProShow.exe, para acionar shellcodes. Um desses shellcodes atuava como distração, enquanto outro decriptava um downloader Metasploit que obtinha shellcode de beacon Cobalt Strike de uma URL remota. Outra cadeia introduziu script Lua projetado para executar shellcode, novamente convergindo para um downloader Metasploit e um beacon Cobalt Strike. Em todos os conjuntos descritos, a carga final de beacon foi carregada por meio de shellcode downloader, o que evita deixar no disco um executável final simples e aumenta a dependência de telemetria de memória, criação de processo e rede.
Além dos beacons, foi identificado o implante Chrysalis, descrito como malware sob medida com capacidades de coleta de informações do sistema e comunicação com um servidor externo defangado como api.skycloudcenter[.]com. O servidor C2 estava offline no momento da análise, mas o artefato ofuscado continha lógica para interpretar respostas HTTP e acionar shell interativo, criação de processos, operações de arquivo, upload, download e autodesinstalação. Também foi observado um arquivo conf.c projetado para obter um beacon Cobalt Strike por meio de loader customizado com shellcode Metasploit block API. Um loader chamado ConsoleApplication2.exe chamou atenção pelo uso do Microsoft Warbird, mecanismo interno e não documentado de proteção e ofuscação de código, adaptado a partir de pesquisa pública divulgada em setembro de 2024.
A superfície afetada é formada por estáções Windows com Notepad++ em versões antigas que ainda dependiam do fluxo de atualização com verificação insuficiente. O risco se concentra em ambientes onde o utilitário é instalado diretamente por usuários, mantido fora de inventário centralizado ou atualizado sem controle corporativo de origem e integridade. Como o redirecionamento era seletivo, a ausência de detecção em uma amostra pequena de estáções não elimina exposição em outras máquinas que tenham acessado a infraestrutura comprometida no período entre junho e 2 de dezembro de 2025.
Os alvos relatados abrangem indivíduos e organizações em setores como telecomunicações, governo, transporte, finanças e serviços de TI. A telemetria indicou vítimas na região APAC, com relatos adicionais de vítimas na América do Sul. Em uma análise separada do mesmo incidente, foram observadas três cadeias de infecção direcionadas a cerca de uma dúzia de máquinas pertencentes a indivíduos no Vietnã, El Salvador e Austrália, uma organização governamental nas Filipinas, uma organização financeira em El Salvador e um provedor de serviços de TI no Vietnã. Esse recorte reforça o caráter de espionagem e seleção de alvos, em vez de campanha massiva de commodity malware.
- Instalações do Notepad++ anteriores à versão 8.8.9 devem ser tratadas como expostas ao fluxo de atualização frágil descrito no incidente.
- Hosts que executaram
notepad++.exeseguido deGUP.exee, logo depois,update.exefora do caminho esperado exigem triagem forense. - Ambientes com usuários em telecomunicações, governo, transporte, finanças e serviços de TI devem priorizar busca retroativa no período de julho a outubro de 2025, além da janela maior iniciada em junho.
- A investigação deve separar atualização legítima do Notepad++ de binários NSIS com origem em IPs ou domínios defangados associados às cadeias observadas.
A caça deve começar pela correlação temporal entre o editor, o atualizador e processos filhos incomuns. A sequência mais importante é notepad++.exe iniciando ou precedendo GUP.exe, seguida de update.exe baixado de origem não esperada. Como os instaladores variaram ao longo do tempo, a detecção não deve depender apenas de hash ou nome de arquivo. É mais robusto procurar padrões de processo, origem de download, execução de instalador NSIS em contexto de atualização e criação subsequente de processos usados para enumeração de sistema, rede e processos.
Em endpoint, a investigação deve observar carregamento lateral de DLL envolvendo binários legítimos usados como hospedeiros, incluindo ProShow.exe e BluetoothService.exe, este último descrito como versão renomeada do Bitdefender Submission Wizard. A presença de log.dll em diretórios incomuns, especialmente quando associada a execução por binários legítimos, é um sinal forte de cadeia de sideloading. Para memória e EDR, a defesa deve procurar alocação e execução de shellcode, criação de processos sem cadeia de confiança clara, conexões HTTP para infraestrutura defangada e comportamento compatível com beacon Cobalt Strike ou loader Metasploit, sem publicar nem reproduzir regras operacionais de ataque.
Em rede, proxies, DNS e EDR devem ser consultados para conexões históricas com api.skycloudcenter[.]com, temp[.]sh, self-dns[.]it[.]com/list, 95.179.213[.]0, 45.76.155[.]202 e 45.32.144[.]255, sempre mantendo os indicadores defangados em relatórios e painéis compartilháveis. A ausência de resposta atual de um servidor C2 não deve encerrar a investigação: o contexto mostra rotação frequente de endereços, downloaders e payloads finais entre julho e outubro de 2025, além de mudanças mensais nas cadeias. Por isso, a busca deve privilegiar classes de comportamento, como instalador adulterado pós-atualizador, coleta de inventário local e carregamento de shellcode, em vez de um único destino de rede.
- Sequência de processo:
notepad++.exe→GUP.exe→update.execom origem externa não esperada. - Execução de instalador NSIS após verificação de atualização e posterior criação de processos de enumeração do sistema.
- Sideloading envolvendo
ProShow.exe,BluetoothService.exeou DLL chamadalog.dllem local incompatível com instalação legítima. - Comunicação HTTP ou DNS com infraestrutura defangada associada ao incidente, incluindo
api.skycloudcenter[.]come endereços IP citados no contexto. - Artefatos com comportamento de loader, shellcode em memória, beacon Cobalt Strike, downloader Metasploit ou implante Chrysalis.
- Coleta de informações de usuário, processos, conexões e inventário do sistema imediatamente após execução de
update.exe.
A primeira medida é garantir que todas as instalações do Notepad++ estejam na versão 8.8.9 ou posterior. Essa versão remove a condição de verificação insuficiente explorada por versões antigas no fluxo de atualização. Em ambientes corporativos, a atualização deve ser acompanhada de inventário, remoção de instaladores antigos, bloqueio de atualização fora de canais controlados e validação da origem dos binários. A simples atualização do aplicativo reduz a exposição futura, mas não resolve a possibilidade de comprometimento passado em máquinas que receberam update.exe adulterado durante a janela do incidente.
Para resposta a incidente, hosts com evidência da cadeia devem ser isolados, preservados para coleta forense e analisados em busca de persistência, sideloading e execução em memória. A investigação deve revisar artefatos de disco, logs de EDR, cache de navegador ou proxy, histórico de DNS, eventos de criação de processo e conexões de saída. Quando houver indício de Cobalt Strike, Metasploit downloader ou Chrysalis, a contenção deve considerar a possibilidade de comandos remotos, movimentação dentro do host, manipulação de arquivos e transferência de dados, mas sem assumir exfiltração ou movimentação lateral se a telemetria local não sustentar essa conclusão.
A remediação de cadeia de suprimentos deve ir além do endpoint. É necessário revisar políticas de atualização de softwares utilitários, exigir assinatura e verificação de integridade sempre que possível, concentrar distribuição em repositórios internos confiáveis e monitorar desvios de destino em tráfego de update. O projeto Notepad++ já encerrou o acesso indevido, migrou de provedor e rotacionou credenciais, mas organizações consumidoras ainda precisam validar se alguma estáção foi direcionada aos artefatos maliciosos antes dessas medidas.
- Atualizar Notepad++ para 8.8.9 ou posterior e bloquear versões antigas em inventário corporativo.
- Buscar retrospectivamente execuções de
update.exeiniciadas apósGUP.exeentre junho e 2 de dezembro de 2025, com foco adicional em julho a outubro de 2025. - Isolar e analisar hosts com sinais de sideloading, shellcode, Chrysalis, Cobalt Strike ou downloader Metasploit.
- Revisar proxy, DNS e EDR para infraestrutura defangada associada ao incidente, sem transformar os indicadores em links ativos.
- Rotacionar credenciais locais ou de serviço apenas quando houver evidência de execução maliciosa no host ou exposição de segredos no ambiente afetado.
- Centralizar atualizações de utilitários em canal controlado, com validação de integridade e alertas para redirecionamentos de atualização fora do padrão.
0 Comentários