{"id":173019,"date":"2026-02-11T09:14:49","date_gmt":"2026-02-11T17:14:49","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=173019"},"modified":"2026-02-13T09:47:58","modified_gmt":"2026-02-13T17:47:58","slug":"notepad-infrastructure-compromise","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/","title":{"rendered":"Actores de amenazas de estados-naci\u00f3n explotan la cadena de suministro de Notepad++"},"content":{"rendered":"<h2><a id=\"post-173019-_bu0yv4f4b7mk\"><\/a>Resumen ejecutivo<\/h2>\n<p>Entre junio y diciembre de 2025, la infraestructura oficial de hosting del editor de texto<a href=\"https:\/\/notepad-plus-plus.org\/news\/hijacked-incident-info-update\/\" target=\"_blank\" rel=\"noopener\"> Notepad++ fue comprometida<\/a> por un grupo de amenazas patrocinado por un estado conocido como<a href=\"https:\/\/www.rapid7.com\/blog\/post\/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit\/\" target=\"_blank\" rel=\"noopener\"> Lotus Blossom<\/a>. Los atacantes vulneraron el entorno del proveedor de hosting compartido.<\/p>\n<p>Esto permiti\u00f3 a los atacantes interceptar y redireccionar el tr\u00e1fico destinado al servidor de actualizaciones de Notepad++. Este secuestro (hijack) a nivel de infraestructura permiti\u00f3 a los atacantes dirigirse selectivamente a usuarios espec\u00edficos. Los objetivos se localizaron principalmente en el sudeste asi\u00e1tico, abarcando sectores gubernamentales, de telecomunicaciones e infraestructura cr\u00edtica. En lugar de actualizaciones de software leg\u00edtimas, los atacantes entregaron a estos objetivos manifiestos de actualizaci\u00f3n maliciosos.<\/p>\n<p>Hemos identificado infraestructura adicional no reportada vinculada a esta campa\u00f1a. Observamos dos cadenas de infecci\u00f3n, incluyendo una variante de inyecci\u00f3n de script Lua que result\u00f3 en la entrega del malware Cobalt Strike beacon, as\u00ed como side-loading de DLL para entregar un backdoor Chrysalis. Unit 42 tambi\u00e9n descubri\u00f3 que esta actividad de amenazas est\u00e1 afectando a m\u00e1s sectores y regiones de lo que se hab\u00eda informado anteriormente.<\/p>\n<p>Esta campa\u00f1a tambi\u00e9n afect\u00f3 a los siguientes sectores en Sudam\u00e9rica, Estados Unidos, Europa y el sudeste asi\u00e1tico:<\/p>\n<ul>\n<li>Hosting en la nube<\/li>\n<li>Energ\u00eda<\/li>\n<li>Financiero<\/li>\n<li>Gobierno<\/li>\n<li>Manufactura<\/li>\n<li>Desarrollo de software<\/li>\n<\/ul>\n<p>Notepad++ es un editor de c\u00f3digo abierto, ligero y una utilidad de reemplazo de texto. Esta herramienta es ampliamente preferida por su velocidad, su extenso ecosistema de complementos (plugins) y su capacidad \u00fanica para manejar archivos de datos masivos manteniendo sesiones que los usuarios a\u00fan no han guardado.<\/p>\n<p>En entornos empresariales, Notepad++ suele ser un instrumento fundamental para administradores de sistemas, ingenieros de redes y personal de DevOps. Este personal suele utilizar la herramienta para modificar configuraciones de servidores, analizar logs pesados del sistema y auditar c\u00f3digo en jump boxes seguros donde aplicaciones m\u00e1s robustas resultan poco pr\u00e1cticas.<\/p>\n<p>Este perfil demogr\u00e1fico de usuarios convierte a Notepad++ en un objetivo estrat\u00e9gicamente cr\u00edtico para los actores de amenazas. Comprometer esta \u00fanica herramienta permite a los atacantes evadir eficazmente las defensas perimetrales y aprovechar las sesiones de los usuarios con mayores privilegios en la organizaci\u00f3n, obteniendo acceso administrativo impl\u00edcito a la infraestructura central de la red.<\/p>\n<p>Los clientes de Palo Alto Networks reciben protecciones y mitigaciones contra la actividad analizada en este art\u00edculo a trav\u00e9s de:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\"> Advanced DNS Security<\/a>, que identifican como maliciosos las URL y dominios conocidos asociados con esta actividad.<\/li>\n<li>Los modelos de machine learning y las t\u00e9cnicas de an\u00e1lisis de<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\"> Advanced WildFire<\/a> han sido revisados y actualizados a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a>, que ayuda a detectar y prevenir las operaciones maliciosas, alteraciones de configuraci\u00f3n o explotaciones analizadas en este art\u00edculo.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a>, mediante el empleo del<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\"> Malware Prevention Engine<\/a>.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> con<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced Threat Prevention<\/a>, dise\u00f1ado para defender las redes tanto de amenazas comunes como de ataques dirigidos.<\/li>\n<\/ul>\n<p>El<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de Unit 42<\/a> tambi\u00e9n puede ser contratado para ayudar con un compromiso o para proporcionar una evaluaci\u00f3n proactiva que reduzca su riesgo.<\/p>\n<table style=\"width: 95.6009%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados de Unit 42<\/b><\/td>\n<td style=\"width: 143.073%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/dll-sideloading\/\" target=\"_blank\" rel=\"noopener\"><b>DLL Sideloading<\/b><\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/backdoor\/\" target=\"_blank\" rel=\"noopener\"><b>Backdoors<\/b><\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/supply-chain-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Supply Chain<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cobalt-strike\/\" target=\"_blank\" rel=\"noopener\">Cobalt Strike<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2>Detalles del ataque a Notepad++<\/h2>\n<p>Este ataque a la cadena de suministro se bas\u00f3 en la explotaci\u00f3n de controles de verificaci\u00f3n insuficientes en versiones anteriores del actualizador de Notepad++,<a href=\"https:\/\/wingup.org\/\" target=\"_blank\" rel=\"noopener\"> WinGUp<\/a>. Esta explotaci\u00f3n permiti\u00f3 al grupo de amenazas redirigir el tr\u00e1fico a servidores controlados por los atacantes.<\/p>\n<p>Cuando las v\u00edctimas intentaban actualizar su software, descargaban un instalador NSIS malicioso. Este instalador \u2014a menudo llamado update.exe\u2014 iniciaba una compleja cadena de infecci\u00f3n. Esta cadena utilizaba t\u00e9cnicas de DLL sideloading y abusaba de un componente leg\u00edtimo de Bitdefender (BluetoothService.exe) para cargar una biblioteca maliciosa (log.dll) que descifraba y ejecutaba un backdoor personalizado. En otra cadena de infecci\u00f3n, los atacantes<a href=\"https:\/\/securelist.com\/notepad-supply-chain-attack\/118708\/\" target=\"_blank\" rel=\"noopener\"> utilizaron<\/a> un instalador NSIS para ejecutar un comando que corr\u00eda un script Lua malicioso para cargar un Beacon de Cobalt Strike.<\/p>\n<p>Este malware llamado<a href=\"https:\/\/www.rapid7.com\/blog\/post\/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit\/\" target=\"_blank\" rel=\"noopener\"> Chrysalis<\/a> empleaba t\u00e9cnicas avanzadas de evasi\u00f3n, que inclu\u00edan:<\/p>\n<ul>\n<li>El uso del framework de protecci\u00f3n de c\u00f3digo de Microsoft<a href=\"https:\/\/websec.net\/blog\/a-deep-dive-into-microsoft-warbird-mss-kernel-mode-dynamic-packer-68ee2c87b251081f55ec8c31\" target=\"_blank\" rel=\"noopener\"> Warbird<\/a>.<\/li>\n<li>Hashing personalizado de la API para reducir la detecci\u00f3n por antivirus.<\/li>\n<li>Establecimiento de control remoto persistente sobre los sistemas infectados.<\/li>\n<\/ul>\n<h3>Actividad adicional de explotaci\u00f3n en esta campa\u00f1a<\/h3>\n<p>Unit 42 observ\u00f3 evidencia de dos secuencias de ataque separadas:<\/p>\n<ul>\n<li>Una en la que un instalador NSIS malicioso ejecuta un script Lua compilado que contiene un instalador para descargar y ejecutar un payload de Cobalt Strike Beacon.<\/li>\n<li>Otra en la que los atacantes utilizaron DLL sideloading para inyectar el backdoor Chrysalis en la memoria.<\/li>\n<\/ul>\n<p>Observamos actividad adicional entre mediados de agosto y noviembre de 2025 que fue consistente con esta actividad de explotaci\u00f3n. En un incidente de agosto, observamos comunicaci\u00f3n con una direcci\u00f3n IP de comando y control (C2) <span style=\"font-family: 'courier new', courier, monospace;\">45.76.155[.]202<\/span>. Despu\u00e9s de d\u00edas de tr\u00e1fico de beacon de C2 hacia esta IP, los atacantes cambiaron a un segundo servidor C2 en <span style=\"font-family: 'courier new', courier, monospace;\">45.77.31[.]210<\/span>, con comunicaciones que duraron hasta septiembre.<\/p>\n<p>En casos entre septiembre y noviembre de 2025, observamos actividad consistente con conexiones salientes a un servidor C2. Estas fueron seguidas por solicitudes de descarga posteriores para <span style=\"font-family: 'courier new', courier, monospace;\">update.exe<\/span> que son consistentes con el backdoor Chrysalis reportado. En algunos casos, los intentos de descarga se realizaron a una direcci\u00f3n IP, mientras que otros se hicieron a dominios. Los beacons exitosos a servidores maliciosos ocurrieron a los pocos segundos de la descarga exitosa del payload malicioso y continuaron durante un tiempo no especificado.<\/p>\n<p>En septiembre y octubre de 2025, observamos una variante de inyecci\u00f3n de script Lua que desplegaba scripts Lua maliciosos para inyectar shellcode. Este ataque utiliz\u00f3 la API <span style=\"font-family: 'courier new', courier, monospace;\">EnumWindowStationsW<\/span> y result\u00f3 en la entrega del malware Cobalt Strike beacon. En este caso, la descarga se origin\u00f3 desde:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.76.155[.]202\/update\/update.exe<\/span><\/li>\n<\/ul>\n<p>Por separado, tambi\u00e9n observamos una variante de DLL sideloading de Bluetooth en el mismo caso. Esta variante de Lua utiliza t\u00e9cnicas de sideloading de DLL del servicio de Bluetooth para desplegar el backdoor Chrysalis. Los intentos de descarga para esta variante se realizaron desde un servidor malicioso diferente:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.32.144[.]255\/update\/update.exe<\/span><\/li>\n<\/ul>\n<h2>Gu\u00eda provisional<\/h2>\n<p><a href=\"https:\/\/notepad-plus-plus.org\/news\/hijacked-incident-info-update\/\" target=\"_blank\" rel=\"noopener\">Notepad++ recomienda<\/a> lo siguiente:<\/p>\n<ul>\n<li>Descargar la versi\u00f3n 8.9.1, que incluye la mejora de seguridad correspondiente.<\/li>\n<li>Ejecutar el instalador para actualizar su Notepad++ manualmente.<\/li>\n<\/ul>\n<p>Seg\u00fan Notepad++, han migrado su sitio web a un nuevo proveedor de hosting con pr\u00e1cticas de seguridad significativamente m\u00e1s s\u00f3lidas.<\/p>\n<p>Dentro de Notepad++, mejoraron el actualizador WinGup en la v8.8.9 para verificar tanto el certificado como la firma del instalador descargado.<\/p>\n<p>Adicionalmente, tambi\u00e9n se\u00f1alan que:<\/p>\n<ul>\n<li>El XML devuelto por el servidor de actualizaciones ahora est\u00e1 firmado (XMLDSig).<\/li>\n<li>La verificaci\u00f3n del certificado y la firma se har\u00e1 obligatoria a partir de la pr\u00f3xima versi\u00f3n 8.9.2, que esperan lanzar en aproximadamente un mes.<\/li>\n<\/ul>\n<h2>Consultas de Unit 42 Managed Threat Hunting<\/h2>\n<p>El equipo de Unit 42 Managed Threat Hunting contin\u00faa rastreando cualquier signo de uso indebido o actividad an\u00f3mala, utilizando Cortex XDR y las consultas XQL a continuaci\u00f3n. Los clientes de Cortex XDR tambi\u00e9n pueden usar estas consultas XQL para ayudar con sus investigaciones o b\u00fasqueda de amenazas (hunting).<\/p>\n<p>Dado que la mayor\u00eda de la actividad probablemente ocurri\u00f3 antes del 2 de diciembre, recomendamos revisar los l\u00edmites de retenci\u00f3n de datos para determinar si estas consultas ser\u00e1n efectivas en su entorno. Si est\u00e1 disponible en su entorno, puede considerar el uso de consultas de \"almacenamiento en fr\u00edo\" (cold_dataset = xdr_data) para consultar datos m\u00e1s all\u00e1 de los l\u00edmites de retenci\u00f3n activa. Tenga en cuenta que ejecutar consultas contra el almacenamiento en fr\u00edo consumir\u00e1 unidades de c\u00f3mputo.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Name: DLL sideloading via BYO application\r\n\r\n\/\/ Description: Identifies renamed Bitdefender utility loading a log.dll file\r\n\r\n\/\/ MITRE TTP ID: T1574.001\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields actor_process_signature_vendor, actor_process_signature_product, action_module_path, actor_process_image_path, actor_process_image_sha256, agent_os_type, event_type, event_id, agent_hostname, _time, actor_process_image_name\r\n\r\n| filter event_type = ENUM.LOAD_IMAGE and agent_os_type = ENUM.AGENT_OS_WINDOWS\r\n\r\n| filter actor_process_signature_vendor contains \"Bitdefender SRL\" and action_module_path contains \"log.dll\"\r\n\r\n| filter actor_process_image_path not contains \"Program Files\\Bitdefender\"\r\n\r\n| filter not actor_process_image_name in (\"eps.rmm64.exe\", \"downloader.exe\", \"installer.exe\", \"epconsole.exe\", \"EPHost.exe\", \"epintegrationservice.exe\", \"EPPowerConsole.exe\", \"epprotectedservice.exe\", \"DiscoverySrv.exe\", \"epsecurityservice.exe\", \"EPSecurityService.exe\", \"epupdateservice.exe\", \"testinitsigs.exe\", \"EPHost.Integrity.exe\", \"WatchDog.exe\", \"ProductAgentService.exe\", \"EPLowPrivilegeWorker.exe\", \"Product.Configuration.Tool.exe\", \"eps.rmm.exe\")<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Name: Chrysalis Mutex\r\n\r\n\/\/ Description: Identifies a Mutex known to be related to the chrysalis backdoor malware\r\n\r\n\/\/ MITRE TTP ID: T1480.002\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, agent_hostname, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, event_type, event_sub_type, action_syscall_string_params\r\n\r\n| filter event_type = ENUM.SYSTEM_CALL and event_sub_type = ENUM.SYSTEM_CALL_NT_CREATE_MUTANT\r\n\r\n| alter mutex = json_extract_scalar(action_syscall_string_params, \"$.1\")\r\n\r\n| filter mutex = \"Global\\\\Jdhfv_1.0.1\"<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Name: GUP.exe Writing Unusual Files to Temp Folder\r\n\r\n\/\/ Description: Detects cases where the Notepad++ updater (gup.exe) writes files to a temp folder that that deviate from the normal and expected.\r\n\r\n\/\/ MITRE TTP ID: T1036.005\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, agent_hostname, event_type, event_sub_type, action_file_name, action_file_path, actor_effective_username, action_file_extension, action_file_previous_file_path, action_file_sha256, action_file_size, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_image_sha256, causality_actor_process_image_name, causality_actor_process_image_path, os_actor_primary_username, os_actor_process_command_line, os_actor_process_image_name, os_actor_process_image_path, agent_os_type\r\n\r\n| filter event_type = ENUM.FILE and event_sub_type = ENUM.FILE_WRITE\r\n\r\n| filter lowercase(actor_process_image_name) = \"gup.exe\" and action_file_sha256 != null\r\n\r\n| filter lowercase(actor_process_command_line) !~= \"((\\\\notepad\\+\\+(?:_?x?\\d+?)??|\\\\nppp?[\\.\\d]*?(?:portable)??(?:\\.x64)??).*?\\\\plugins|-ihttps:\\\/\\\/notepad-plus-plus\\.org\\\/update\\\/getdownloadurl\\.php)\" and lowercase(action_file_path) ~= \"(\\\\appdata\\\\local\\\\temp\\\\|\\\\windows\\\\temp)\" and lowercase(action_file_name) !~= \"(npp[\\.\\d]+?installer)\"\r\n\r\n| sort desc _time<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Name: GUP.exe Downloading Improperly Signed Installer\r\n\r\n\/\/ MITRE TTP ID: T1036.001\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, agent_hostname, event_type, event_sub_type, action_process_username, action_process_user_sid, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_os_pid, action_process_cwd, action_process_file_info, action_process_file_size, action_process_file_web_mark, action_process_signature_vendor, action_process_signature_product, action_process_signature_status, actor_effective_username, actor_effective_user_sid, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_signature_vendor, actor_process_signature_product, actor_process_signature_status, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_image_command_line, os_actor_process_image_sha256, action_process_instance_id, actor_process_instance_id, causality_actor_process_instance_id, agent_os_type, agent_id\r\n\r\n| filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START and _product = \"XDR agent\" and _vendor = \"PANW\"\r\n\r\n| filter lowercase(actor_process_image_name) = \"gup.exe\" and actor_process_signature_status not in (null, ENUM.UNSUPPORTED, ENUM.FAILED_TO_OBTAIN ) and action_process_signature_status not in (null, ENUM.UNSUPPORTED, ENUM.FAILED_TO_OBTAIN ) and action_process_image_sha256 not in ( \"71431fa7b66f8132453e18e3a5f8ef0af3ca079a7793f828df06fdb5d7bd915d\", \"2dd5473736ef51e4340cae005e3fc8cdf0e42ec649bc6ed186484a79be409928\", \"a19aa1cd7ecb9ca3f1fd0e118fffd0d673fba404ced8c39c2e210a63b70f9c15\", \"e22abc9af328d063e652f0829819124a6a748c224bc8b10f98473f87cda2c0cd\", \"61c3077b989e272117167c90fc35e7f06bea4f992f3395b40ccee083d7258082\", \"49d2531893b09cb6a8e3429ca0a734e871a2d96fa2575c0eec3229d383fa233a\", \"32aa12d3c9521477a5a1e086e400ec0f77f8a97a8190806a0f1953688b883cfb\", \"8117c82a3821965d92ee3f9f3ae10efcd602bd4b6e52a2fe957d70aafe479744\", \"05abc57952974d08feafa399d6fdb37945a3fd0a10f37833dd837a5788e421d5\", \"c6d1e5aacbf69aa18df4caf1346fd69638491a5ad0085729bae91c662d1c62bb\", \"e1df78704001bba1a3d343f62a1242a4484ff6ad269170714263c03b802eb0b1\", \"7094a07167648628e47249a16d9d6db922e5aa1255ac4322a2e4900d233372dd\" )\r\n\r\n| filter lowercase(action_process_image_name) ~= \"(npp[\\.\\d]+?installer)\"\r\n\r\n| dedup agent_id by desc _time\r\n\r\n| filter action_process_signature_status != ENUM.SIGNED or lowercase(action_process_signature_vendor) != \"notepad++\"\r\n\r\n| sort desc _time<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Name: GUP.exe Spawning Unusual Subprocesses\r\n\r\n\/\/ Description: Detects cases where the Notepad++ updater (gup.exe) spawns child processes that deviate from the normal and expected.\r\n\r\n\/\/ MITRE TTP ID: T1202\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, agent_hostname, event_type, event_sub_type, action_process_username, action_process_user_sid, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_os_pid, action_process_cwd, action_process_file_info, action_process_file_size, action_process_file_web_mark, action_process_signature_vendor, action_process_signature_product, action_process_signature_status, actor_effective_username, actor_effective_user_sid, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_signature_vendor, actor_process_signature_product, actor_process_signature_status, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_image_command_line, os_actor_process_image_sha256, action_process_instance_id, actor_process_instance_id, causality_actor_process_instance_id, agent_os_type, agent_id\r\n\r\n| filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START\r\n\r\n| filter lowercase(actor_process_image_name) = \"gup.exe\"\r\n\r\n| filter lowercase(action_process_image_name) !~= \"(npp[\\.\\d]+?installer|consent\\.exe|explorer\\.exe|werfault\\.exe|smartscreen\\.exe|adminbyrequest\\.exe|openwith\\.exe)\" and lowercase(action_process_image_command_line) !~= \"(https:\\\/\\\/notepad-plus-plus\\.org\\\/|https:\\\/\\\/npp-user-manual\\.org\\\/)\" and lowercase(actor_process_command_line) !~= \"(\\\\notepad\\+\\+\\\\plugins|https:\\\/\\\/notepad-plus-plus\\.org\\\/)\"\r\n\r\n| sort desc _time<\/pre>\n<h2>Conclusi\u00f3n<\/h2>\n<p>Esta campa\u00f1a marca una evoluci\u00f3n notable en las t\u00e1cticas operativas de los actores de amenazas de este tipo, representando un giro desde el posicionamiento previo en infraestructura amplia hacia una interdicci\u00f3n de cadena de suministro \"blanda\" altamente dirigida. Campa\u00f1as recientes de grupos como Volt Typhoon y Salt Typhoon se han centrado principalmente en comprometer infraestructuras troncales cr\u00edticas y dispositivos de borde, bas\u00e1ndose en t\u00e9cnicas de \"living-off-the-land\" y malware m\u00ednimo. En cambio, esta operaci\u00f3n ilumina una prioridad estrat\u00e9gica distinta: centrarse en los custodios de las claves administrativas.<\/p>\n<p>Secuestrar el flujo de tr\u00e1fico de una utilidad confiable, en lugar de inyectar c\u00f3digo en la l\u00ednea de compilaci\u00f3n del software, permiti\u00f3 a los actores de amenazas convertir su mecanismo de entrega en un arma sin alertar al proveedor. Esta capacidad de adversario en el medio (AitM) permiti\u00f3 el fingerprinting din\u00e1mico de las solicitudes de actualizaci\u00f3n entrantes, lo que posibilit\u00f3 un filtrado altamente selectivo de objetivos prioritarios.<\/p>\n<p>Esta campa\u00f1a no se centra en la disrupci\u00f3n, sino en la obtenci\u00f3n de inteligencia valiosa a largo plazo. Esto se ilustra por la combinaci\u00f3n de la victimolog\u00eda selectiva del actor de amenazas \u2014centrada en administradores de sistemas y desarrolladores en muchas regiones estrat\u00e9gicas desde el punto de vista geopol\u00edtico\u2014 y su elecci\u00f3n de utilizar un backdoor ligero con un perfil bajo.<\/p>\n<p>Palo Alto Networks ha compartido nuestros hallazgos con nuestros colegas miembros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para desplegar r\u00e1pidamente protecciones para sus clientes y desbaratar sistem\u00e1ticamente a los actores cibern\u00e9ticos maliciosos. Obtenga m\u00e1s informaci\u00f3n sobre la<a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos por nuestros productos, como se detalla a continuaci\u00f3n. Actualizaremos este informe de amenazas a medida que haya m\u00e1s informaci\u00f3n relevante disponible.<\/p>\n<h2>Protecciones de productos de Palo Alto Networks<\/h2>\n<p>Los clientes de Palo Alto Networks pueden aprovechar una variedad de protecciones y actualizaciones de productos para identificar y defenderse contra esta amenaza.<\/p>\n<p>Si cree que puede haber sido comprometido o tiene un asunto urgente, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\"> equipo de Respuesta a Incidentes de Unit 42<\/a> o llame al:<\/p>\n<ul>\n<li>Am\u00e9rica del Norte: L\u00ednea gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Medio Oriente: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 000 800 050 45107<\/li>\n<li>Corea del Sur: +82.080.467.8774<\/li>\n<\/ul>\n<h3>Advanced WildFire<\/h3>\n<p>Los modelos de machine learning y las t\u00e9cnicas de an\u00e1lisis de<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\"> Advanced WildFire<\/a> han sido revisados y actualizados a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/p>\n<h3>Next-Generation Firewalls con Advanced Threat Prevention<\/h3>\n<p>El<a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\"> Next-Generation Firewall<\/a> con<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced Threat Prevention<\/a> est\u00e1 dise\u00f1ado para defender las redes tanto de amenazas comunes como de amenazas dirigidas.<\/p>\n<h3>Servicios de seguridad entregados en la nube para el Next-Generation Firewall<\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifican como maliciosos las URL y dominios conocidos asociados con esta actividad.<\/p>\n<h3>Cortex XDR y XSIAM<\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> ayudan a prevenir las amenazas descritas en este art\u00edculo mediante el empleo del<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\"> Malware Prevention Engine<\/a>. Este enfoque combina varias capas de protecci\u00f3n, incluyendo<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\"> Advanced WildFire<\/a>, Behavioral Threat Protection y el m\u00f3dulo de An\u00e1lisis Local, para evitar que el malware, tanto conocido como desconocido, cause da\u00f1os a los endpoints.<\/p>\n<h3>Cortex Cloud<\/h3>\n<p>Las organizaciones que utilizan<a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\"> Cortex Cloud<\/a>, como las de la industria de hosting en la nube que fueron objetivos activos durante esta campa\u00f1a, est\u00e1n mejor protegidas contra la descarga y ejecuci\u00f3n del malware mencionado en este art\u00edculo mediante la colocaci\u00f3n adecuada del<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\"> agente de endpoint XDR<\/a> de Cortex Cloud y los<a href=\"https:\/\/www.google.com\/search?q=https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/Use-cases\" target=\"_blank\" rel=\"noopener\"> agentes serverless<\/a> dentro de un entorno de nube.<\/p>\n<p>Dise\u00f1ado para proteger la postura de una nube y las operaciones de tiempo de ejecuci\u00f3n contra estas amenazas, Cortex Cloud ayuda a detectar y prevenir las operaciones maliciosas, alteraciones de configuraci\u00f3n o explotaciones analizadas en este art\u00edculo.<\/p>\n<h2>Indicadores de compromiso<\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1f6d28370f4c2b13f3967b38f67f77eee7f5fba9e7743b6c66a8feb18ae8f33e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a3cf1c86731703043b3614e085b9c8c224d4125370f420ad031ad63c14d6c3ec<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">skycloudcenter[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">self-dns[.]it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">safe-dns[.]it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cdncheck[.]it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">95[.]179[.]213[.]0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45[.]76[.]155[.]202<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45[.]77[.]31[.]210<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">61[.]4[.]102[.]97<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">59[.]110[.]7[.]32<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">95[.]179[.]213[.]0\/update\/AutoUpdater.exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">95[.]179[.]213[.]0\/update\/Upgrade.exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45[.]32[.]144[.]255\/update\/update.exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45[.]76[.]155[.]202\/update\/update.exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">59[.]110[.]7[.]32\/dpixel<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">self-dns[.]it[.]com\/help\/Get-Start<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">self-dns[.]it[.]com\/resolve<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">self-dns[.]it[.]com\/dns-query<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">safe-dns[.]it[.]com\/help\/Get-Start<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">safe-dns[.]it[.]com\/resolve<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">safe-dns[.]it[.]com\/dns-query<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Unit 42 revela una nueva infraestructura asociada al ataque contra Notepad++. Esto ampl\u00eda la comprensi\u00f3n de las operaciones de los actores de amenazas y la distribuci\u00f3n de malware.<\/p>\n","protected":false},"author":23,"featured_media":172793,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8775,8793],"tags":[9934,9935,9936,9519],"product_categories":[8922,8923,8924,8925,8921,8932,8933,8934,8935,8946,8938,8890],"coauthors":[1025],"class_list":["post-173019","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-es-la","category-malware-es-la","tag-backdoor","tag-cobalt-strike","tag-dll-sideloading","tag-supply-chain-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-managed-threat-hunting-es-la","product_categories-next-generation-firewall-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Actores de amenazas de estados-naci\u00f3n explotan la cadena de suministro de Notepad++<\/title>\n<meta name=\"description\" content=\"Unit 42 revela una nueva infraestructura asociada al ataque contra Notepad++. Esto ampl\u00eda la comprensi\u00f3n de las operaciones de los actores de amenazas y la distribuci\u00f3n de malware.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Actores de amenazas de estados-naci\u00f3n explotan la cadena de suministro de Notepad++\" \/>\n<meta property=\"og:description\" content=\"Unit 42 revela una nueva infraestructura asociada al ataque contra Notepad++. Esto ampl\u00eda la comprensi\u00f3n de las operaciones de los actores de amenazas y la distribuci\u00f3n de malware.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-11T17:14:49+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-13T17:47:58+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Actores de amenazas de estados-naci\u00f3n explotan la cadena de suministro de Notepad++","description":"Unit 42 revela una nueva infraestructura asociada al ataque contra Notepad++. Esto ampl\u00eda la comprensi\u00f3n de las operaciones de los actores de amenazas y la distribuci\u00f3n de malware.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/","og_locale":"es_LA","og_type":"article","og_title":"Actores de amenazas de estados-naci\u00f3n explotan la cadena de suministro de Notepad++","og_description":"Unit 42 revela una nueva infraestructura asociada al ataque contra Notepad++. Esto ampl\u00eda la comprensi\u00f3n de las operaciones de los actores de amenazas y la distribuci\u00f3n de malware.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/","og_site_name":"Unit 42","article_published_time":"2026-02-11T17:14:49+00:00","article_modified_time":"2026-02-13T17:47:58+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Actores de amenazas de estados-naci\u00f3n explotan la cadena de suministro de Notepad++","datePublished":"2026-02-11T17:14:49+00:00","dateModified":"2026-02-13T17:47:58+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/"},"wordCount":2092,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","keywords":["backdoor","Cobalt Strike","DLL Sideloading","supply chain"],"articleSection":["Amenazas sofisticadas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/","name":"Actores de amenazas de estados-naci\u00f3n explotan la cadena de suministro de Notepad++","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","datePublished":"2026-02-11T17:14:49+00:00","dateModified":"2026-02-13T17:47:58+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Unit 42 revela una nueva infraestructura asociada al ataque contra Notepad++. Esto ampl\u00eda la comprensi\u00f3n de las operaciones de los actores de amenazas y la distribuci\u00f3n de malware.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of Notepad++ supply chain compromise. A digital rendering of Earth from space, focusing on North and South America. The continents are illuminated in blue, with red lines and dots indicating data connections across various locations. Dark background highlights the vibrant network representation."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/notepad-infrastructure-compromise\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Actores de amenazas de estados-naci\u00f3n explotan la cadena de suministro de Notepad++"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/173019","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=173019"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/173019\/revisions"}],"predecessor-version":[{"id":173022,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/173019\/revisions\/173022"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/172793"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=173019"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=173019"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=173019"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=173019"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=173019"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}