Les chercheurs en sécurité de Rapid7 ont publié une analyse complète attribuant la compromission de six mois de la chaîne d'approvisionnement de Notepad++ à Lotus Blossom, un groupe de menaces persistantes avancées lié au gouvernement chinois, tout en révélant les spécifications techniques détaillées d'une nouvelle porte dérobée sophistiquée baptisée Chrysalis déployée contre des victimes ciblées.
L'attribution, annoncée avec une confiance modérée lundi, intervient quelques jours après que le mainteneur de Notepad++ Don Ho a révélé que des attaquants avaient compromis l'infrastructure d'hébergement de l'application entre juin et décembre 2025. Les acteurs malveillants ont sélectivement redirigé le trafic de mise à jour de certains utilisateurs vers des serveurs contrôlés par les attaquants qui livraient des charges malveillantes, le tout sans toucher au code source réel ni casser aucune signature numérique.
L'équipe de détection et réponse gérée de Rapid7 a identifié le malware comme un installateur NSIS trojanisé contenant trois composants : un exécutable légitime renommé Bitdefender Submission Wizard appelé BluetoothService.exe, un fichier shellcode chiffré et une DLL malveillante qui se charge latéralement lorsque l'exécutable légitime s'exécute. Cette technique permet au malware d'échapper aux outils de détection simples basés sur les noms de fichiers.
La porte dérobée Chrysalis elle-même représente une évolution significative dans les techniques de Lotus Blossom. Les chercheurs ont découvert qu'elle utilise un hachage d'API personnalisé dans le chargeur et le module principal, plusieurs couches d'obfuscation et une approche structurée de la communication de commande et contrôle. La porte dérobée peut créer des shells interactifs, créer des processus, effectuer des opérations sur les fichiers, télécharger et téléverser des fichiers, et se supprimer des systèmes compromis.
Particulièrement préoccupante est la découverte d'une variante de chargeur qui exploite Microsoft Warbird, un cadre complexe de protection de code généralement utilisé par Microsoft lui-même. Ce chargeur abuse de l'appel système NtQuerySystemInformation avec une classe non documentée pour contourner les hooks en mode utilisateur et la surveillance EDR standard, marquant un virage clair vers des techniques furtives plus résilientes.
Rapid7 a basé son attribution sur de forts recoupements avec des recherches antérieures de Symantec, notamment l'utilisation identique d'outils Bitdefender renommés pour le chargement latéral de DLL et des clés publiques Cobalt Strike correspondantes extraites des charges récupérées. Lotus Blossom, également connu sous les noms de Billbug, Bronze Elgin et Raspberry Typhoon, est actif depuis 2009 et cible généralement les organisations gouvernementales, de télécommunications, d'aviation et d'infrastructures critiques en Asie du Sud-Est et en Amérique centrale.
Commentaires