3 feb 2026

Notepad++ "secuestrado" por actores patrocinados por el Estado

Atacantes estatales interceptaron el tráfico de actualización de Notepad++ a través de una brecha de seguridad del proveedor de alojamiento, redirigiendo a los usuarios a descargas maliciosas desde junio de 2025.

Según el análisis de Rapid7, el ataque implicó una vulneración a nivel de infraestructura que permitió a actores maliciosos interceptar y redirigir el tráfico de actualizaciones destinado a Notepad-plus-plus.org. La empresa ha descubierto una sofisticada campaña atribuida al grupo chino de APT Lotus Blossom. Activo desde 2009, el grupo es conocido por sus campañas de espionaje dirigidas, que afectan principalmente a organizaciones del Sudeste Asiático y, más recientemente, de Centroamérica, centrándose en los sectores gubernamental, de telecomunicaciones, aviación, infraestructuras críticas y medios de comunicación.

Tras la divulgación de seguridad publicada en el anuncio de la versión v8.8.9, la investigación de ataques a la cadena de suministro de Notepad++ ha continuado en colaboración con expertos externos y con la plena participación del proveedor anterior de alojamiento compartido. La investigación identificó un incidente de seguridad derivado de una sofisticada vulneración de la infraestructura que aloja Notepad++, que posteriormente se utilizó para instalar una puerta trasera personalizada, no documentada previamente, a la que han denominado Chrysalis.

El responsable de Notepad++ ha revelado que atacantes patrocinados por el estado secuestraron el mecanismo de actualización de la utilidad para redirigir el tráfico de actualizaciones a servidores maliciosos. "El ataque implicó una vulnerabilidad a nivel de infraestructura que permitió a los actores maliciosos interceptar y redirigir el tráfico de actualizaciones destinado a notepad-plus-plus.org", declaró el desarrollador Don Ho. "La vulnerabilidad se produjo a nivel del proveedor de alojamiento, en lugar de a través de vulnerabilidades en el propio código de Notepad++".

El mecanismo técnico exacto sigue bajo investigación, aunque la vulneración se produjo a nivel del proveedor de alojamiento y no a través de vulnerabilidades en el propio código de Notepad++. El tráfico de ciertos usuarios objetivo se redirigió selectivamente a manifiestos de actualización maliciosos distribuidos y controlados por el atacante.

Varios investigadores de seguridad independientes han evaluado que el responsable de la amenaza probablemente sea un grupo patrocinado por el estado chino, lo que explicaría la alta selectividad de los ataques observada durante la campaña. "El mecanismo exacto mediante el cual esto se llevó a cabo se está investigando actualmente", añadió Ho.

Este desarrollo se produjo poco más de un mes después del lanzamiento de la versión 8.8.9 de Notepad++ para solucionar un problema que provocaba que el tráfico de WinGUp, el actualizador de Notepad++, se redirigiera ocasionalmente a dominios maliciosos, lo que resultaba en la descarga de ejecutables envenenados.

En concreto, el problema se originó en la forma en que el actualizador verificaba la integridad y autenticidad del archivo de actualización descargado, lo que permitía a un atacante capaz de interceptar el tráfico de red entre el cliente del actualizador y el servidor de actualización engañar a la herramienta para que descargara un binario diferente.

Se cree que esta redirección fue muy selectiva, ya que el tráfico procedente de ciertos usuarios se enrutaba a los servidores fraudulentos y obtenía los componentes maliciosos. Se estima que el incidente comenzó en junio de 2025, más de seis meses antes de que saliera a la luz.

El investigador de seguridad independiente Kevin Beaumont reveló que la vulnerabilidad estaba siendo explotada por actores de amenazas en China para secuestrar redes y engañar a sus objetivos para que descargaran malware. Los ataques, atribuidos a un actor de amenazas de un estado nación conocido como Violet Typhoon (también conocido como APT31), se dirigieron a organizaciones de telecomunicaciones y servicios financieros en el este de Asia.

En respuesta al incidente de seguridad, el sitio web de Notepad++ se ha migrado a un nuevo proveedor de alojamiento con prácticas muy rigurosas, y el proceso de actualización se ha reforzado con medidas de seguridad adicionales para garantizar su integridad.

"Según el anterior proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025", explicó Ho. "Incluso después de perder el acceso al servidor, los atacantes mantuvieron las credenciales de los servicios internos hasta el 2 de diciembre de 2025, lo que les permitió seguir redirigiendo el tráfico de actualización de Notepad++ a servidores maliciosos".

Como el incidente ocurrió entre junio de 2025 y diciembre de 2025, si se cuenta con esos logs, se pueden crear consultas a medidas para realizar Threat Hunting de los IoCs involucrados o se pueden utilizar las reglas YARA creadas por Cyb3rOps.

Ho pidió disculpas a todos los usuarios afectados por este secuestro y recomienda descargar la versión 8.9.1 (que incluye la mejora de seguridad correspondiente) y ejecutar el instalador para actualizar Notepad++ manualmente.

Listado de IoC disponibles

  • a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9
  • 8ea8b83645fba6e23d48075a0d3fc73ad2ba515b4536710cda4f1f232718f53e
  • 2da00de67720f5f13b17e9d985fe70f10f153da60c9ab1086fe58f069a156924
  • 77bfea78def679aa1117f569a35e8fd1542df21f7e00e27f192c907e61d63a2e
  • 3bdc4c0637591533f1d4198a72a33426c01f69bd2e15ceee547866f65e26b7ad
  • 9276594e73cda1c69b7d265b3f08dc8fa84bf2d6599086b9acc0bb3745146600
  • f4d829739f2d6ba7e3ede83dad428a0ced1a703ec582fc73a4eee3df3704629a
  • 4a52570eeaf9d27722377865df312e295a7a23c3b6eb991944c2ecd707cc9906
  • 831e1ea13a1bd405f5bda2b9d8f2265f7b1db6c668dd2165ccc8a9c4c15ea7dd
  • 0a9b8df968df41920b6ff07785cbfebe8bda29e6b512c94a3b2a83d10014d2fd
  • 4c2ea8193f4a5db63b897a2d3ce127cc5d89687f380b97a1d91e0c8db542e4f8
  • e7cd605568c38bd6e0aba31045e1633205d0598c607a855e2e1bca4cca1c6eda
  • 078a9e5c6c787e5532a7e728720cbafee9021bfec4a30e3c2be110748d7c43c5
  • b4169a831292e245ebdffedd5820584d73b129411546e7d3eccf4663d5fc5be3
  • 7add554a98d3a99b319f2127688356c1283ed073a084805f14e33b4f6a6126fd
  • e2e3d78437cf9d48c2b2264e44bb36bc2235834fc45bbb50b5d6867f336711e3
  • 29d0467ee452752286318f350ceb28a2b04ee4c6de550ba0edc34ae0fa7cbb03
  • fcc2765305bcd213b7558025b2039df2265c3e0b6401e4833123c461df2de51a
  • 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
  • 90e677d7ff5844407b9c073e3b7e896e078e11cd
  • 573549869e84544e3ef253bdba79851dcde4963a
  • 13179c8f19fbf3d8473c49983a199e6cb4f318f0
  • 4c9aac447bf732acc97992290aa7a187b967ee2c
  • 821c0cafb2aab0f063ef7e313f64313fc81d46cd
  • 06a6a5a39193075734a32e0235bde0e979c27228
  • 9c3ba38890ed984a25abb6a094b5dbf052f22fa7
  • ca4b6fe0c69472cd3d63b212eb805b7f65710d33
  • 0d0f315fd8cf408a483f8e2dd1e69422629ed9fd
  • 2a476cfb85fbf012fdbe63a37642c11afa5cf020
  • d7ffd7b588880cf61b603346a3557e7cce648c93
  • 94dffa9de5b665dc51bc36e2693b8a3a0a4cc6b8
  • 21a942273c14e4b9d3faa58e4de1fd4d5014a1ed
  • 7e0790226ea461bcc9ecd4be3c315ace41e1c122
  • f7910d943a013eede24ac89d6388c1b98f8b3717
  • 73d9d0139eaf89b7df34ceeb60e5f8c7cd2463bf
  • bd4915b3597942d88f319740a9b803cc51585c4a
  • c68d09dd50e357fd3de17a70b7724f8949441d77
  • 813ace987a61af909c053607635489ee984534f4
  • 9fbf2195dee991b1e5a727fd51391dcc2d7a4b16
  • 07d2a01e1dc94d59d5ca3bdf0c7848553ae91a51
  • 3090ecf034337857f786084fb14e63354e271c5d
  • d0662eadbe5ba92acbd3485d8187112543bcfbf5
  • 9c0eff4deeb626730ad6a05c85eb138df48372ce
  • http://45.76.155[.]202/update/update.exe
  • http://45.32.144[.]255/update/update.exe
  • http://95.179.213[.]0/update/update.exe
  • http://95.179.213[.]0/update/install.exe
  • http://95.179.213[.]0/update/AutoUpdater.exe
  • http://45.76.155[.]202/list
  • https://self-dns.it[.]com/list
  • https://45.77.31[.]210/users/admin
  • https://cdncheck.it[.]com/users/admin
  • https://safe-dns.it[.]com/help/Get-Start
  • https://45.77.31[.]210/api/update/v1
  • https://45.77.31[.]210/api/FileUpload/submit
  • https://cdncheck.it[.]com/api/update/v1
  • https://cdncheck.it[.]com/api/Metadata/submit
  • https://cdncheck.it[.]com/api/getInfo/v1
  • https://cdncheck.it[.]com/api/FileUpload/submit
  • https://safe-dns.it[.]com/resolve
  • https://safe-dns.it[.]com/dns-query
  • https://api.skycloudcenter[.]com/a/chat/s/70521ddf-a2ef-4adf-9cf0-6d8e24aaa821
  • https://api.wiresguard[.]com/update/v1
  • https://api.wiresguard[.]com/api/FileUpload/submit
  • http://59.110.7[.]32:8880/uffhxpSy
  • http://59.110.7[.]32:8880/api/getBasicInfo/v1
  • http://59.110.7[.]32:8880/api/Metadata/submit
  • http://124.222.137[.]114:9999/3yZR31VK
  • http://124.222.137[.]114:9999/api/updateStatus/v1
  • http://124.222.137[.]114:9999/api/Info/submit
  • https://api.wiresguard[.]com/users/system
  • https://api.wiresguard[.]com/api/getInfo/v1
  • %appdata%\ProShow\load
  • %appdata%\Adobe\Scripts\alien.ini
  • %appdata%\Bluetooth\BluetoothService

Fuente: THN | Rapid7 | Securelist

a las

2 comentarios:

  1. Anónimo4 de febrero de 2026 a las 11:17 p.m.

    Buena información. Pregunta: qué pasa con las versiones actualizadas vía winget ?

    ResponderBorrar
    Respuestas
    1. SeguInfo5 de febrero de 2026 a las 8:32 a.m.

      Debes actualizar descargando la nueva version desde el sitio web

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!