Rapid7的安全研究人员发布了一份全面分析报告,将持续六个月的Notepad++供应链入侵归因于Lotus Blossom,这是一个与中国政府相关的高级持续性威胁组织,同时披露了针对特定受害者部署的名为Chrysalis的复杂新后门的详细技术规格。
该归因于周一以中等置信度宣布,此前几天Notepad++维护者Don Ho披露,攻击者在2025年6月至12月期间入侵了该应用程序的托管基础设施。威胁行为者选择性地将某些用户的更新流量重定向到攻击者控制的服务器,这些服务器分发恶意负载,整个过程没有触及实际源代码或破坏任何数字签名。
Rapid7的托管检测和响应团队将该恶意软件识别为一个木马化的NSIS安装程序,包含三个组件:一个重命名的合法Bitdefender提交向导可执行文件BluetoothService.exe、一个加密的shellcode文件,以及一个在合法可执行文件运行时被侧加载的恶意DLL。这种技术使恶意软件能够逃避简单的基于文件名的检测工具。
Chrysalis后门本身代表了Lotus Blossom技术手法的重大演进。研究人员发现它在加载器和主模块中都使用自定义API哈希、多层混淆以及结构化的命令与控制通信方法。该后门可以生成交互式shell、创建进程、执行文件操作、上传和下载文件,以及从被入侵的系统中自我删除。
特别令人担忧的是发现了一个利用Microsoft Warbird的加载器变体,这是一个通常由微软自己使用的复杂代码保护框架。该加载器滥用NtQuerySystemInformation系统调用与一个未记录的类来绕过用户模式钩子和标准端点检测与响应监控,标志着向更具弹性的隐身技术的明显转变。
Rapid7的归因基于与赛门铁克先前研究的强烈重叠,包括相同使用重命名的Bitdefender工具进行DLL侧加载,以及从恢复的负载中提取的匹配的Cobalt Strike公钥。Lotus Blossom,也被称为Billbug、Bronze Elgin和Raspberry Typhoon,自2009年以来一直活跃,通常针对东南亚和中美洲的政府、电信、航空和关键基础设施组织。
卡巴斯基研究人员独立观察到三个不同的感染链,针对越南、萨尔瓦多和澳大利亚的约十几台属于个人的机器,以及菲律宾的一个政府组织、萨尔瓦多的一家金融机构和越南的一家IT服务提供商。高度选择性的目标表明这是典型的间谍活动而非广泛的网络犯罪行为。
评论