Sicherheitsforscher bei Rapid7 haben eine umfassende Analyse veröffentlicht, die die sechsmonatige Kompromittierung der Notepad++-Lieferkette Lotus Blossom zuschreibt, einer mit der chinesischen Regierung verbundenen Advanced-Persistent-Threat-Gruppe, während sie detaillierte technische Spezifikationen einer ausgeklügelten neuen Backdoor namens Chrysalis enthüllen, die gegen gezielte Opfer eingesetzt wurde.
Die Attribution, die am Montag mit mäßiger Zuversicht bekannt gegeben wurde, erfolgt Tage nachdem der Notepad++-Maintainer Don Ho enthüllte, dass Angreifer die Hosting-Infrastruktur der Anwendung zwischen Juni und Dezember 2025 kompromittiert hatten. Die Bedrohungsakteure leiteten selektiv Update-Verkehr von bestimmten Benutzern auf von Angreifern kontrollierte Server um, die bösartige Payloads lieferten, alles ohne den eigentlichen Quellcode zu berühren oder digitale Signaturen zu brechen.
Das Managed-Detection-and-Response-Team von Rapid7 identifizierte die Malware als trojanisierten NSIS-Installer mit drei Komponenten: einer umbenannten legitimen Bitdefender Submission Wizard-Datei namens BluetoothService.exe, einer verschlüsselten Shellcode-Datei und einer bösartigen DLL, die seitlich geladen wird, wenn die legitime Datei ausgeführt wird. Die Technik ermöglicht es der Malware, einfache dateinamenbasierte Erkennungstools zu umgehen.
Die Chrysalis-Backdoor selbst stellt eine bedeutende Weiterentwicklung in der Handwerkskunst von Lotus Blossom dar. Forscher entdeckten, dass sie benutzerdefiniertes API-Hashing sowohl im Loader als auch im Hauptmodul verwendet, mehrere Verschleierungsschichten und einen strukturierten Ansatz zur Command-and-Control-Kommunikation. Die Backdoor kann interaktive Shells erzeugen, Prozesse erstellen, Dateioperationen durchführen, Dateien hoch- und herunterladen und sich selbst von kompromittierten Systemen entfernen.
Besonders besorgniserregend ist die Entdeckung einer Loader-Variante, die Microsoft Warbird nutzt, ein komplexes Code-Schutz-Framework, das typischerweise von Microsoft selbst verwendet wird. Dieser Loader missbraucht den NtQuerySystemInformation-Systemaufruf mit einer undokumentierten Klasse, um User-Mode-Hooks und Standard-EDR-Überwachung zu umgehen, was eine klare Verschiebung zu widerstandsfähigeren Stealth-Techniken markiert.
Rapid7 stützte seine Attribution auf starke Überlappungen mit früherer Symantec-Forschung, einschließlich der identischen Verwendung umbenannter Bitdefender-Tools für DLL-Sideloading und übereinstimmender Cobalt-Strike-öffentlicher Schlüssel, die aus wiederhergestellten Payloads extrahiert wurden. Lotus Blossom, auch bekannt als Billbug, Bronze Elgin und Raspberry Typhoon, ist seit 2009 aktiv und zielt typischerweise auf Regierungs-, Telekommunikations-, Luftfahrt- und kritische Infrastrukturorganisationen in Südostasien und Mittelamerika.
Kommentare