Los investigadores de seguridad de Rapid7 han publicado un análisis exhaustivo que atribuye el compromiso de seis meses de la cadena de suministro de Notepad++ a Lotus Blossom, un grupo de amenazas persistentes avanzadas vinculado al gobierno chino, mientras revelan especificaciones técnicas detalladas de una nueva puerta trasera sofisticada denominada Chrysalis desplegada contra víctimas específicas.
La atribución, anunciada con confianza moderada el lunes, llega días después de que el mantenedor de Notepad++ Don Ho revelara que los atacantes habían comprometido la infraestructura de alojamiento de la aplicación entre junio y diciembre de 2025. Los actores de amenazas redirigieron selectivamente el tráfico de actualizaciones de ciertos usuarios a servidores controlados por los atacantes que entregaban cargas maliciosas, todo sin tocar el código fuente real ni romper ninguna firma digital.
El equipo de detección y respuesta gestionada de Rapid7 identificó el malware como un instalador NSIS troyanizado que contiene tres componentes: un ejecutable legítimo renombrado de Bitdefender Submission Wizard llamado BluetoothService.exe, un archivo de shellcode cifrado y una DLL maliciosa que se carga lateralmente cuando se ejecuta el ejecutable legítimo. La técnica permite que el malware evada las herramientas de detección simples basadas en nombres de archivos.
La puerta trasera Chrysalis representa una evolución significativa en las técnicas de Lotus Blossom. Los investigadores descubrieron que emplea hash de API personalizado tanto en el cargador como en el módulo principal, múltiples capas de ofuscación y un enfoque estructurado para la comunicación de comando y control. La puerta trasera puede generar shells interactivos, crear procesos, realizar operaciones de archivos, cargar y descargar archivos y eliminarse de los sistemas comprometidos.
Particularmente preocupante es el descubrimiento de una variante de cargador que aprovecha Microsoft Warbird, un marco complejo de protección de código típicamente utilizado por Microsoft. Este cargador abusa de la llamada al sistema NtQuerySystemInformation con una clase no documentada para eludir los hooks de modo usuario y el monitoreo EDR estándar, marcando un cambio claro hacia técnicas sigilosas más resilientes.
Rapid7 basó su atribución en fuertes coincidencias con investigaciones anteriores de Symantec, incluyendo el uso idéntico de herramientas Bitdefender renombradas para la carga lateral de DLL y claves públicas de Cobalt Strike coincidentes extraídas de cargas recuperadas. Lotus Blossom, también conocido como Billbug, Bronze Elgin y Raspberry Typhoon, ha estado activo desde 2009 y típicamente apunta a organizaciones gubernamentales, de telecomunicaciones, aviación e infraestructura crítica en el sudeste asiático y América Central.
Comentarios