Một tác nhân đe dọa liên kết với Trung Quốc, được biết đến với tên gọi Lotus Blossom, đã được quy trách nhiệm với mức độ tin cậy trung bình đối với vụ xâm phạm cơ sở hạ tầng lưu trữ Notepad++ được phát hiện gần đây.
Cuộc tấn công đã cho phép nhóm tin tặc do nhà nước bảo trợ này phát tán một backdoor chưa từng được biết đến trước đây, có tên mã Chrysalis, đến người dùng của trình soạn thảo mã nguồn mở, theo những phát hiện mới từ Rapid7.
Sự việc này diễn ra ngay sau khi người duy trì Notepad++, Don Ho, cho biết rằng một sự cố xâm phạm ở cấp độ nhà cung cấp dịch vụ lưu trữ đã cho phép các tác nhân đe dọa chiếm quyền kiểm soát lưu lượng cập nhật bắt đầu từ tháng 6 năm 2025 và chọn lọc chuyển hướng các yêu cầu cập nhật từ một số người dùng nhất định đến các máy chủ độc hại để phân phối bản cập nhật bị giả mạo, bằng cách khai thác các kiểm soát xác minh cập nhật không đủ mạnh tồn tại trong các phiên bản cũ hơn của tiện ích.
Lỗ hổng này đã được khắc phục vào tháng 12 năm 2025 với việc phát hành phiên bản 8.8.9. Sau đó, người ta phát hiện ra rằng nhà cung cấp dịch vụ lưu trữ phần mềm đã bị xâm nhập để thực hiện các chuyển hướng lưu lượng truy cập có chủ đích cho đến ngày 2 tháng 12 năm 2025, khi quyền truy cập của kẻ tấn công bị chấm dứt. Notepad++ kể từ đó đã chuyển sang một nhà cung cấp dịch vụ lưu trữ mới với bảo mật mạnh mẽ hơn và đã thay đổi tất cả các thông tin đăng nhập.
Phân tích của Rapid7 về vụ việc đã không tìm thấy bằng chứng hoặc artifacts nào cho thấy cơ chế liên quan đến trình cập nhật đã bị khai thác để phân phối malware.
"Hành vi duy nhất được xác nhận là việc thực thi 'notepad++.exe' và sau đó là 'GUP.exe' đã diễn ra trước khi một tiến trình đáng ngờ 'update.exe' được tải xuống từ 95.179.213.0 được thực thi," nhà nghiên cứu bảo mật Ivan Feigl cho biết.
"update.exe" là một trình cài đặt Nullsoft Scriptable Install System (NSIS) chứa nhiều tệp -
- Một kịch bản cài đặt NSIS
- BluetoothService.exe, một phiên bản đổi tên của Bitdefender Submission Wizard được sử dụng để DLL side-loading (một kỹ thuật được các nhóm tin tặc Trung Quốc sử dụng rộng rãi)
- BluetoothService, shellcode được mã hóa (còn gọi là Chrysalis)
- log.dll, một DLL độc hại được sideload để giải mã và thực thi shellcode
Chrysalis là một implant tùy chỉnh, giàu tính năng, thu thập thông tin hệ thống và liên hệ với một máy chủ bên ngoài ("api.skycloudcenter[.]com") để có thể nhận các lệnh bổ sung nhằm thực thi trên máy chủ bị nhiễm.
Máy chủ command-and-control (C2) hiện đang ngoại tuyến. Tuy nhiên, một cuộc kiểm tra sâu hơn về artifact bị che giấu đã tiết lộ rằng nó có khả năng xử lý các phản hồi HTTP đến để tạo một interactive shell, tạo các tiến trình, thực hiện các thao tác tệp, tải lên/tải xuống tệp và tự gỡ cài đặt.
"Nhìn chung, mẫu mã này trông giống như thứ đã được phát triển tích cực theo thời gian," Rapid7 cho biết, đồng thời nói thêm rằng họ cũng đã xác định một tệp có tên "conf.c" được thiết kế để truy xuất một Cobalt Strike beacon bằng một custom loader nhúng Metasploit block API shellcode.
Một loader như vậy, "ConsoleApplication2.exe", đáng chú ý vì việc sử dụng Microsoft Warbird, một framework bảo vệ và che giấu mã nội bộ không có tài liệu, để thực thi shellcode. Tác nhân đe dọa này đã được phát hiện sao chép và sửa đổi một proof-of-concept (PoC) đã có sẵn được công bố bởi công ty an ninh mạng Đức Cirosec vào tháng 9 năm 2024.
Rapid7 đã quy kết Chrysalis cho Lotus Blossom (còn được gọi là Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon và Thrip) dựa trên những điểm tương đồng với các chiến dịch trước đây do tác nhân đe dọa này thực hiện, bao gồm một chiến dịch được Symantec, thuộc sở hữu của Broadcom, ghi lại vào tháng 4 năm 2025, liên quan đến việc sử dụng các tệp thực thi hợp pháp từ Trend Micro và Bitdefender để sideload các DLL độc hại.
"Trong khi nhóm này tiếp tục dựa vào các kỹ thuật đã được chứng minh như DLL side-loading và service persistence, thì loader shellcode nhiều lớp của họ và việc tích hợp các undocumented system calls (NtQuerySystemInformation) đánh dấu một sự thay đổi rõ ràng theo hướng một chiến thuật bền bỉ và tàng hình hơn," công ty cho biết.
"Điều đáng chú ý là sự kết hợp của các công cụ: việc triển khai malware tùy chỉnh (Chrysalis) cùng với các framework thương mại như Metasploit và Cobalt Strike, cùng với việc nhanh chóng điều chỉnh nghiên cứu công khai (đặc biệt là việc lạm dụng Microsoft Warbird). Điều này cho thấy Billbug đang tích cực cập nhật playbook của mình để vượt lên trước các phương pháp phát hiện hiện đại."
