I ricercatori di sicurezza di Rapid7 hanno pubblicato un'analisi completa che attribuisce la compromissione di sei mesi della catena di approvvigionamento di Notepad++ a Lotus Blossom, un gruppo di minacce persistenti avanzate legato al governo cinese, rivelando al contempo le specifiche tecniche dettagliate di una nuova sofisticata backdoor denominata Chrysalis dispiegata contro vittime mirate.
L'attribuzione, annunciata con moderata fiducia lunedì, arriva giorni dopo che il manutentore di Notepad++ Don Ho ha rivelato che gli aggressori avevano compromesso l'infrastruttura di hosting dell'applicazione tra giugno e dicembre 2025. Gli attori della minaccia hanno reindirizzato selettivamente il traffico degli aggiornamenti di alcuni utenti verso server controllati dagli aggressori che distribuivano payload malevoli, il tutto senza toccare il codice sorgente effettivo né violare alcuna firma digitale.
Il team di rilevamento e risposta gestita di Rapid7 ha identificato il malware come un installer NSIS trojanizzato contenente tre componenti: un eseguibile legittimo rinominato di Bitdefender Submission Wizard chiamato BluetoothService.exe, un file shellcode crittografato e una DLL malevola che viene caricata lateralmente quando l'eseguibile legittimo viene eseguito. La tecnica permette al malware di eludere gli strumenti di rilevamento semplici basati sui nomi dei file.
La backdoor Chrysalis stessa rappresenta un'evoluzione significativa nelle tecniche di Lotus Blossom. I ricercatori hanno scoperto che impiega hashing API personalizzato sia nel loader che nel modulo principale, molteplici livelli di offuscamento e un approccio strutturato alla comunicazione di comando e controllo. La backdoor può generare shell interattive, creare processi, eseguire operazioni sui file, caricare e scaricare file e rimuoversi dai sistemi compromessi.
Particolarmente preoccupante è la scoperta di una variante del loader che sfrutta Microsoft Warbird, un complesso framework di protezione del codice tipicamente utilizzato da Microsoft stessa. Questo loader abusa della chiamata di sistema NtQuerySystemInformation con una classe non documentata per aggirare gli hook in modalità utente e il monitoraggio EDR standard, segnando un chiaro spostamento verso tecniche stealth più resistenti.
Rapid7 ha basato la sua attribuzione su forti sovrapposizioni con ricerche precedenti di Symantec, incluso l'uso identico di strumenti Bitdefender rinominati per il sideloading di DLL e chiavi pubbliche Cobalt Strike corrispondenti estratte dai payload recuperati. Lotus Blossom, noto anche come Billbug, Bronze Elgin e Raspberry Typhoon, è attivo dal 2009 e tipicamente prende di mira organizzazioni governative, di telecomunicazioni, aviazione e infrastrutture critiche nel sud-est asiatico e in America centrale.
Commenti