Unit 42 Incident Response
Résumé exécutif
Entre juin et décembre 2025, l'infrastructure d'hébergement officielle de l'éditeur de texte Notepad++ a été compromise par un groupe de menaces parrainé par un État, connu sous le nom de Lotus Blossom. Les attaquants ont pénétré l'environnement du fournisseur d'hébergement mutualisé.
Cela a permis aux attaquants d'intercepter et de rediriger le trafic destiné au serveur de mise à jour de Notepad++. Cette interception au niveau de l'infrastructure a permis aux attaquants de cibler sélectivement des utilisateurs spécifiques. Les cibles étaient principalement situées en Asie du Sud-Est, dans les secteurs du gouvernement, des télécommunications et des infrastructures critiques. Les attaquants ont envoyé à ces cibles des manifestes de mise à jour malveillants au lieu des mises à jour logicielles légitimes.
Nous avons identifié une infrastructure supplémentaire non signalée, liée à cette campagne. Nous avons observé deux chaînes d'infection, dont une variante d'injection de script Lua ayant entraîné la distribution d’une balise Cobalt Strike (beacon), ainsi qu'un détournement de DLL (DLL side-loading) pour distribuer une porte dérobée Chrysalis. Unit 42 a également constaté que cette activité malveillante cible davantage de secteurs et de régions que ce qui avait été initialement rapporté.
Cette campagne a également touché les secteurs suivants en Amérique du Sud, aux États-Unis, en Europe et en Asie du Sud-Est :
- Hébergement cloud
- Énergie
- Finance
- Gouvernement
- Industrie manufacturière
- Développement logiciel
Notepad++ est un éditeur de code et un utilitaire de remplacement de texte open-source et léger. Cet outil est largement plébiscité pour sa rapidité, son vaste écosystème de plugins et sa capacité unique à gérer des fichiers de données volumineux tout en conservant les sessions non sauvegardées par les utilisateurs.
Dans les environnements d'entreprise, Notepad++ sert souvent d'outil fondamental pour les administrateurs systèmes, les ingénieurs réseau et le personnel DevOps. Ces professionnels utilisent couramment cet outil pour modifier des configurations de serveurs, analyser des journaux système volumineux et auditer du code sur des serveurs de rebond (jump boxes) sécurisés où des applications plus lourdes ne sont pas adaptées.
Ce profil spécifique d'utilisateurs fait de Notepad++ une cible stratégiquement critique pour les acteurs de la menace. Compromettre cet outil unique permet aux attaquants de contourner efficacement les défenses du périmètre et de s'immiscer dans les sessions des utilisateurs les plus privilégiés de l'organisation, obtenant ainsi un accès administratif implicite à l'infrastructure centrale du réseau.
Les clients de Palo Alto Networks bénéficient de protections et de mesures d'atténuation contre les activités décrites dans cet article de la manière suivante :
- Advanced URL Filtering et Advanced DNS Security identifient comme malveillants les URL et domaines connus associés à cette activité.
- Les modèles d'apprentissage automatique et les techniques d'analyse d'Advanced WildFire ont été revus et mis à jour à la lumière des indicateurs partagés dans cette recherche.
- Cortex Cloud aide à détecter et à prévenir les opérations malveillantes, les modifications de configuration ou les exploitations mentionnées dans cet article.
- Cortex XDR et XSIAM en utilisant le moteur de prévention des malwares (Malware Prevention Engine).
- Le pare-feu de nouvelle génération (Next-Generation Firewall) avec Advanced Threat Prevention est conçu pour défendre les réseaux contre les menaces courantes et les menaces ciblées.
L'équipe de réponse aux incidents de Unit 42 peut également être sollicitée pour aider en cas de compromission ou pour fournir une évaluation proactive afin de réduire vos risques.
| Sujets Unit 42 associés | DLL Sideloading, Backdoors, Supply Chain, Cobalt Strike |
Détails de l'attaque contre Notepad++
Cette attaque de la chaîne d'approvisionnement reposait sur l'exploitation de contrôles de vérification insuffisants dans les anciennes versions du programme de mise à jour de Notepad++, WinGUp. Cette exploitation a permis au groupe de menaces de rediriger le trafic vers des serveurs contrôlés par les attaquants.
Lorsque les victimes visées tentaient de mettre à jour leur logiciel, elles téléchargeaient un programme d'installation NSIS malveillant. Cet installeur — souvent nommé update.exe — initiait une chaîne d'infection complexe. Cette chaîne utilisait des techniques de détournement de DLL (DLL side-loading) et détournait un composant légitime de Bitdefender (BluetoothService.exe) pour charger une bibliothèque malveillante (log.dll) qui décryptait et exécutait une porte dérobée personnalisée. Dans une autre chaîne d'infection, les attaquants ont utilisé un installeur NSIS pour exécuter une commande lançant un script Lua malveillant afin de charger un beacon Cobalt Strike.
Ce malware, nommé Chrysalis, employait des techniques d'évasion avancées, notamment :
- L'utilisation du framework de protection de code Microsoft Warbird.
- Une fonction de hachage d'API personnalisée pour réduire la détection par les antivirus.
- L'établissement d'un contrôle à distance persistant sur les systèmes infectés.
Activités d'exploitation supplémentaires dans cette campagne
Unit 42 a observé des preuves de deux séquences d'attaque distinctes :
- L'une dans laquelle un installeur NSIS malveillant dépose un script Lua compilé contenant un installeur pour télécharger et exécuter une charge utile Cobalt Strike Beacon.
- L'autre dans laquelle les attaquants ont utilisé le détournement de DLL pour injecter la porte dérobée Chrysalis en mémoire.
Nous avons observé une activité supplémentaire entre la mi-août et novembre 2025, cohérente avec cette activité d'exploitation. Lors d'un incident en août, nous avons observé une communication avec une adresse IP de commande et contrôle (C2) 45.76.155[.]202. Après plusieurs jours de trafic de balisage C2 vers cette adresse IP, les attaquants sont passés à un second serveur C2 à l'adresse 45.77.31[.]210, avec une communication ayant duré jusqu'en septembre.
Dans certains cas entre septembre et novembre 2025, nous avons observé une activité correspondant à des connexions sortantes vers un serveur C2. Celles-ci ont été suivies de demandes de téléchargement ultérieures pour update.exe cohérentes avec la porte dérobée Chrysalis signalée. Dans certains cas, les tentatives de téléchargement ont été faites vers une adresse IP, tandis que d'autres l'ont été vers des domaines. Les balisages réussis vers les serveurs malveillants se produisaient dans les secondes suivant le téléchargement réussi de la charge utile malveillante et se poursuivaient pendant une durée indéterminée.
En septembre et octobre 2025, nous avons observé une variante d'injection de script Lua déployant des scripts Lua malveillants pour injecter du shellcode. Cette attaque utilisait l'API EnumWindowStationsW et entraînait la distribution d’une balise Cobalt Strike. Dans ce cas, le téléchargement s'est fait à partir de l'adresse :
- 45.76.155[.]202/update/update.exe
Parallèlement, nous avons également observé une variante de détournement de DLL via Bluetooth dans le même cas. Cette variante Lua utilise des techniques de détournement de DLL de service Bluetooth pour déployer la porte dérobée Chrysalis. Les tentatives de téléchargement pour cette variante ont été effectuées à partir d'un serveur malveillant différent :
- 45.32.144[.]255/update/update.exe
Conseils provisoires
Notepad++ recommande les mesures suivantes :
- Télécharger la version 8.9.1, qui inclut l'amélioration de sécurité correspondante.
- Exécuter l'installeur pour mettre à jour Notepad++ manuellement.
Selon Notepad++, ils ont migré leur site web vers un nouveau fournisseur d'hébergement avec des pratiques de sécurité nettement plus rigoureuses.
Au sein même de Notepad++, ils ont amélioré le programme de mise à jour WinGup dans la version 8.8.9 pour vérifier à la fois le certificat et la signature de l'installeur téléchargé.
De plus, ils notent également que :
- L'XML renvoyé par le serveur de mise à jour est désormais signé (XMLDSig).
- La vérification du certificat et de la signature sera imposée à partir de la prochaine version 8.9.2, dont la sortie est prévue dans environ un mois.
Requêtes de Threat Hunting gérées par Unit 42
L'équipe Unit 42 Managed Threat Hunting continue de traquer tout signe d'utilisation abusive ou d'activité anormale, en utilisant Cortex XDR et les requêtes XQL ci-dessous. Les clients Cortex XDR peuvent également utiliser ces requêtes XQL pour faciliter leurs enquêtes ou leurs recherches.
Comme la majorité de l'activité a probablement eu lieu avant le 2 décembre, nous recommandons de vérifier les limites de rétention des données pour déterminer si ces requêtes seront efficaces dans votre environnement. Si cela est possible dans votre environnement, vous pouvez envisager d'interroger les données au-delà des limites de rétention active (*hot retention*) en utilisant des requêtes sur le "stockage à froid" (cold_dataset = xdr_data). Veuillez noter que l'exécution de requêtes sur le stockage à froid consomme des unités de calcul.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
// Name: DLL sideloading via BYO application // Description: Identifies renamed Bitdefender utility loading a log.dll file // MITRE TTP ID: T1574.001 config case_sensitive = false | dataset = xdr_data | fields actor_process_signature_vendor, actor_process_signature_product, action_module_path, actor_process_image_path, actor_process_image_sha256, agent_os_type, event_type, event_id, agent_hostname, _time, actor_process_image_name | filter event_type = ENUM.LOAD_IMAGE and agent_os_type = ENUM.AGENT_OS_WINDOWS | filter actor_process_signature_vendor contains "Bitdefender SRL" and action_module_path contains "log.dll" | filter actor_process_image_path not contains "Program Files\Bitdefender" | filter not actor_process_image_name in ("eps.rmm64.exe", "downloader.exe", "installer.exe", "epconsole.exe", "EPHost.exe", "epintegrationservice.exe", "EPPowerConsole.exe", "epprotectedservice.exe", "DiscoverySrv.exe", "epsecurityservice.exe", "EPSecurityService.exe", "epupdateservice.exe", "testinitsigs.exe", "EPHost.Integrity.exe", "WatchDog.exe", "ProductAgentService.exe", "EPLowPrivilegeWorker.exe", "Product.Configuration.Tool.exe", "eps.rmm.exe") |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
// Name: Chrysalis Mutex // Description: Identifies a Mutex known to be related to the chrysalis backdoor malware // MITRE TTP ID: T1480.002 config case_sensitive = false | dataset = xdr_data | fields _time, agent_hostname, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, event_type, event_sub_type, action_syscall_string_params | filter event_type = ENUM.SYSTEM_CALL and event_sub_type = ENUM.SYSTEM_CALL_NT_CREATE_MUTANT | alter mutex = json_extract_scalar(action_syscall_string_params, "$.1") | filter mutex = "Global\\Jdhfv_1.0.1" |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
// Name: GUP.exe Writing Unusual Files to Temp Folder // Description: Detects cases where the Notepad++ updater (gup.exe) writes files to a temp folder that that deviate from the normal and expected. // MITRE TTP ID: T1036.005 config case_sensitive = false | dataset = xdr_data | fields _time, agent_hostname, event_type, event_sub_type, action_file_name, action_file_path, actor_effective_username, action_file_extension, action_file_previous_file_path, action_file_sha256, action_file_size, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_image_sha256, causality_actor_process_image_name, causality_actor_process_image_path, os_actor_primary_username, os_actor_process_command_line, os_actor_process_image_name, os_actor_process_image_path, agent_os_type | filter event_type = ENUM.FILE and event_sub_type = ENUM.FILE_WRITE | filter lowercase(actor_process_image_name) = "gup.exe" and action_file_sha256 != null | filter lowercase(actor_process_command_line) !~= "((\\notepad\+\+(?:_?x?\d+?)??|\\nppp?[\.\d]*?(?:portable)??(?:\.x64)??).*?\\plugins|-ihttps:\/\/notepad-plus-plus\.org\/update\/getdownloadurl\.php)" and lowercase(action_file_path) ~= "(\\appdata\\local\\temp\\|\\windows\\temp)" and lowercase(action_file_name) !~= "(npp[\.\d]+?installer)" | sort desc _time |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
// Name: GUP.exe Downloading Improperly Signed Installer // MITRE TTP ID: T1036.001 config case_sensitive = false | dataset = xdr_data | fields _time, agent_hostname, event_type, event_sub_type, action_process_username, action_process_user_sid, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_os_pid, action_process_cwd, action_process_file_info, action_process_file_size, action_process_file_web_mark, action_process_signature_vendor, action_process_signature_product, action_process_signature_status, actor_effective_username, actor_effective_user_sid, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_signature_vendor, actor_process_signature_product, actor_process_signature_status, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_image_command_line, os_actor_process_image_sha256, action_process_instance_id, actor_process_instance_id, causality_actor_process_instance_id, agent_os_type, agent_id | filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START and _product = "XDR agent" and _vendor = "PANW" | filter lowercase(actor_process_image_name) = "gup.exe" and actor_process_signature_status not in (null, ENUM.UNSUPPORTED, ENUM.FAILED_TO_OBTAIN ) and action_process_signature_status not in (null, ENUM.UNSUPPORTED, ENUM.FAILED_TO_OBTAIN ) and action_process_image_sha256 not in ( "71431fa7b66f8132453e18e3a5f8ef0af3ca079a7793f828df06fdb5d7bd915d", "2dd5473736ef51e4340cae005e3fc8cdf0e42ec649bc6ed186484a79be409928", "a19aa1cd7ecb9ca3f1fd0e118fffd0d673fba404ced8c39c2e210a63b70f9c15", "e22abc9af328d063e652f0829819124a6a748c224bc8b10f98473f87cda2c0cd", "61c3077b989e272117167c90fc35e7f06bea4f992f3395b40ccee083d7258082", "49d2531893b09cb6a8e3429ca0a734e871a2d96fa2575c0eec3229d383fa233a", "32aa12d3c9521477a5a1e086e400ec0f77f8a97a8190806a0f1953688b883cfb", "8117c82a3821965d92ee3f9f3ae10efcd602bd4b6e52a2fe957d70aafe479744", "05abc57952974d08feafa399d6fdb37945a3fd0a10f37833dd837a5788e421d5", "c6d1e5aacbf69aa18df4caf1346fd69638491a5ad0085729bae91c662d1c62bb", "e1df78704001bba1a3d343f62a1242a4484ff6ad269170714263c03b802eb0b1", "7094a07167648628e47249a16d9d6db922e5aa1255ac4322a2e4900d233372dd" ) | filter lowercase(action_process_image_name) ~= "(npp[\.\d]+?installer)" | dedup agent_id by desc _time | filter action_process_signature_status != ENUM.SIGNED or lowercase(action_process_signature_vendor) != "notepad++" | sort desc _time |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
// Name: GUP.exe Spawning Unusual Subprocesses // Description: Detects cases where the Notepad++ updater (gup.exe) spawns child processes that deviate from the normal and expected. // MITRE TTP ID: T1202 config case_sensitive = false | dataset = xdr_data | fields _time, agent_hostname, event_type, event_sub_type, action_process_username, action_process_user_sid, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_os_pid, action_process_cwd, action_process_file_info, action_process_file_size, action_process_file_web_mark, action_process_signature_vendor, action_process_signature_product, action_process_signature_status, actor_effective_username, actor_effective_user_sid, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_signature_vendor, actor_process_signature_product, actor_process_signature_status, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_image_command_line, os_actor_process_image_sha256, action_process_instance_id, actor_process_instance_id, causality_actor_process_instance_id, agent_os_type, agent_id | filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START | filter lowercase(actor_process_image_name) = "gup.exe" | filter lowercase(action_process_image_name) !~= "(npp[\.\d]+?installer|consent\.exe|explorer\.exe|werfault\.exe|smartscreen\.exe|adminbyrequest\.exe|openwith\.exe)" and lowercase(action_process_image_command_line) !~= "(https:\/\/notepad-plus-plus\.org\/|https:\/\/npp-user-manual\.org\/)" and lowercase(actor_process_command_line) !~= "(\\notepad\+\+\\plugins|https:\/\/notepad-plus-plus\.org\/)" | sort desc _time |
Conclusion
Cette campagne marque une évolution notable dans les méthodes opérationnelles des acteurs de la menace de ce type, représentant un passage du positionnement préalable sur de larges infrastructures à une interception ciblée et subtile de la chaîne d'approvisionnement. Les campagnes récentes de groupes comme Volt Typhoon et Salt Typhoon se sont principalement concentrées sur la compromission des structures centrales d'infrastructures critiques et des équipements de périphérie (edge devices), en s'appuyant sur des techniques de "living-off-the-land" et un minimum de malware. Cette opération met plutôt en lumière une priorité stratégique distincte axée sur les détenteurs de privilèges administratifs.
Le détournement du flux de trafic d'un utilitaire de confiance plutôt que l'injection de code dans le pipeline de construction du logiciel a permis aux acteurs de la menace d'armer leur mécanisme de distribution sans alerter l'éditeur. Cette capacité d'interception de type "Adversary-in-the-Middle" (AitM) a permis un profilage dynamique des demandes de mise à jour entrantes, autorisant un filtrage hautement sélectif des cibles prioritaires.
Cette campagne n'est pas axée sur la perturbation, mais sur l'obtention de renseignements de grande valeur à long terme. Cela est illustré par la combinaison de la victimologie sélective de l'acteur de la menace — concentrée sur les administrateurs systèmes et les développeurs dans de nombreuses régions géopolitiquement stratégiques — et son choix d'utiliser une porte dérobée légère et discrète.
Palo Alto Networks a partagé ses conclusions avec les autres membres de la Cyber Threat Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour déployer rapidement des protections pour leurs clients et pour perturber systématiquement les acteurs cyber-malveillants. En savoir plus sur la Cyber Threat Alliance.
Les clients de Palo Alto Networks sont mieux protégés par nos produits, comme listé ci-dessous. Nous mettrons à jour ce bulletin de menace à mesure que des informations plus pertinentes seront disponibles.
Protections des produits Palo Alto Networks
Les clients de Palo Alto Networks peuvent s'appuyer sur une variété de protections et de mises à jour de produits pour identifier et se défendre contre cette menace.
Si vous pensez avoir été compromis ou si vous avez une question urgente, contactez l'équipe de réponse aux incidents de Unit 42 ou appelez :
- Amérique du Nord : Numéro gratuit : +1 (866) 486-4842 (866.4.UNIT42)
- Royaume-Uni : +44.20.3743.3660
- Europe et Moyen-Orient : +31.20.299.3130
- Asie : +65.6983.8730
- Japon : +81.50.1790.0200
- Australie : +61.2.4062.7950
- Inde : 000 800 050 45107
- Corée du Sud : +82.080.467.8774
Advanced WildFire
Les modèles d'apprentissage automatique et les techniques d'analyse d'Advanced WildFire ont été revus et mis à jour à la lumière des indicateurs partagés dans cette recherche.
Pare-feu de nouvelle génération avec Advanced Threat Prevention
Le pare-feu de nouvelle génération (Next-Generation Firewall) avec Advanced Threat Prevention est conçu pour défendre les réseaux contre les menaces courantes et les menaces ciblées.
Services de sécurité livrés par le cloud pour le pare-feu de nouvelle génération
Advanced URL Filtering et Advanced DNS Security identifient comme malveillants les URL et domaines connus associés à cette activité.
Cortex XDR et XSIAM
Cortex XDR et XSIAM aident à prévenir les menaces décrites dans cet article en utilisant le moteur de prévention des malwares (Malware Prevention Engine). Cette approche combine plusieurs couches de protection, notamment Advanced WildFire, la protection comportementale contre les menaces (Behavioral Threat Protection) et le module d'analyse locale, pour empêcher les malwares connus et inconnus de nuire aux points de terminaison.
Cortex Cloud
Les organisations utilisant Cortex Cloud, comme celles de l'industrie de l'hébergement cloud qui ont été activement ciblées au cours de cette campagne, sont mieux protégées contre le téléchargement et l'exécution des malwares mentionnés dans cet article grâce au déploiement approprié de l'agent de point de terminaison XDR de Cortex Cloud et des agents serverless au sein d'un environnement cloud.
Conçu pour protéger la posture d'un cloud et les opérations d'exécution contre ces menaces, Cortex Cloud aide à détecter et à prévenir les opérations malveillantes, les modifications de configuration ou les exploitations mentionnées dans cet article.
Indicateurs de compromission
- 1f6d28370f4c2b13f3967b38f67f77eee7f5fba9e7743b6c66a8feb18ae8f33e
- a3cf1c86731703043b3614e085b9c8c224d4125370f420ad031ad63c14d6c3ec
- a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9
- skycloudcenter[.]com
- self-dns[.]it[.]com
- safe-dns[.]it[.]com
- cdncheck[.]it[.]com
- 95[.]179[.]213[.]0
- 45[.]76[.]155[.]202
- 45[.]77[.]31[.]210
- 61[.]4[.]102[.]97
- 59[.]110[.]7[.]32
- 95[.]179[.]213[.]0/update/AutoUpdater.exe
- 95[.]179[.]213[.]0/update/Upgrade.exe
- 45[.]32[.]144[.]255/update/update.exe
- 45[.]76[.]155[.]202/update/update.exe
- 59[.]110[.]7[.]32/dpixel
- self-dns[.]it[.]com/help/Get-Start
- self-dns[.]it[.]com/resolve
- self-dns[.]it[.]com/dns-query
- safe-dns[.]it[.]com/help/Get-Start
- safe-dns[.]it[.]com/resolve
- safe-dns[.]it[.]com/dns-query
SOMMAIRE
Associé Malware Ressources
Abonnez-vous aux infos d’Unit 42 