Atacantes patrocinados por el estado
interceptaron el tráfico de actualizaciones de Notepad++
mediante una brecha en la seguridad del proveedor de hosting, redirigiendo a los usuarios a descargas maliciosas desde junio de 2025.
De acuerdo con un
análisis de Rapid7, el ataque involucró una vulneración de infraestructura que permitió a los atacantes redirigir el tráfico de actualizaciones destinado a Notepad-plus-plus.org. La investigación ha identificado una campaña sofisticada atribuida al grupo APT chino Lotus Blossom, activo desde 2009 y conocido por sus campañas de espionaje, que se enfocan principalmente en organizaciones del Sudeste Asiático y, más recientemente, en Centroamérica, abarcando sectores como el gubernamental, telecomunicaciones, aviación, infraestructuras críticas y medios de comunicación.
Tras la divulgación de seguridad relacionada con la versión
v8.8.9, la investigación de los ataques a Notepad++ continuó en colaboración con expertos externos y con la completa participación del anterior proveedor de hosting. La indagación reveló un incidente de seguridad resultante de una sofisticada vulnerabilidad en la infraestructura que aloja Notepad++, usado para instalar una puerta trasera personalizada no documentada anteriormente, llamada Chrysalis.
El creador de Notepad++ ha confirmado que atacantes respaldados por el estado han secuestrado el mecanismo de actualización de la herramienta para redirigir el tráfico hacia servidores maliciosos. «El ataque consistió en una vulnerabilidad a nivel de infraestructura que permitió a actores maliciosos interceptar y redirigir el tráfico de actualizaciones destinado a notepad-plus-plus.org», declaró Don Ho, el desarrollador. «La vulnerabilidad se originó en el proveedor de hosting y no en el código de Notepad++».
El mecanismo técnico preciso sigue siendo objeto de investigación, aunque la brecha se produjo en el proveedor de hosting y no a través de vulnerabilidades en el código de Notepad++. El tráfico de ciertos usuarios seleccionados fue redirigido a manifiestos de actualización maliciosos controlados por los atacantes.
Varios investigadores de seguridad independientes han indicado que la amenaza probablemente proviene de un grupo patrocinado por el estado chino, lo que explicaría la selectividad de los ataques observada durante la campaña. El método exacto utilizado para llevar a cabo este ataque está actualmente bajo investigación, añadió Ho.
Este incidente ocurrió poco más de un mes después del lanzamiento de la versión 8.8.9 de Notepad++, que abordó un problema que ocasionalmente redirigía el tráfico de WinGUp, el actualizador de Notepad++, a dominios maliciosos, resultando en la descarga de ejecutables comprometidos.
El problema surgió de la forma en que el actualizador verificaba la integridad y autenticidad del archivo de actualización descargado, lo que permitía a un atacante interceptar el tráfico de red entre el cliente del actualizador y el servidor de actualización para engañarlo y descargar un binario diferente.
Se piensa que esta redirección fue bastante selectiva, ya que el tráfico de usuarios específicos era dirigido hacia servidores fraudulentos donde obtenían los componentes maliciosos. Se estima que el incidente comenzó en junio de 2025, más de seis meses antes de que se hiciera público.
El investigador de seguridad independiente
Kevin Beaumont reveló que la vulnerabilidad fue explotada por actores maliciosos en China para comprometer redes y engañar a sus objetivos para que descargaran malware. Los ataques, atribuídos a un actor de amenazas de un estado-nación conocido como Violet Typhoon (también conocido como APT31), se dirigieron a organizaciones de telecomunicaciones y servicios financieros en el este de Asia.
En respuesta al incidente de seguridad, el sitio web de Notepad++ se ha trasladado a un nuevo proveedor de alojamiento con procedimientos de seguridad más estrictos, y se han implementado medidas de seguridad adicionales en el proceso de actualización para garantizar su integridad.
«De acuerdo con el antiguo proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025», explicó Ho. «Incluso después de perder el acceso al servidor, los atacantes mantuvieron las credenciales de los servicios internos hasta el 2 de diciembre de 2025, lo que les permitió seguir redirigiendo el tráfico de actualización de Notepad++ a servidores maliciosos».
Dado que el incidente ocurrió entre junio de 2025 y diciembre de 2025, si se tienen esos logs, se pueden hacer consultas personalizadas para realizar Threat Hunting de los IoCs involucrados.
Ho se disculpó con todos los usuarios afectados por este incidente y recomendó
descargar la versión 8.9.1 (que incluye mejoras de seguridad) y ejecutar el instalador para actualizar Notepad++ manualmente.
Con Información de blog.segu-info.com.ar