{"id":173016,"date":"2026-02-11T09:08:07","date_gmt":"2026-02-11T17:08:07","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=173016"},"modified":"2026-04-15T08:01:54","modified_gmt":"2026-04-15T15:01:54","slug":"notepad-infrastructure-compromise","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/","title":{"rendered":"Des acteurs \u00e9tatiques exploitent la cha\u00eene d'approvisionnement de Notepad++"},"content":{"rendered":"<h2><a id=\"post-173016-_7ctriwr09me6\"><\/a>R\u00e9sum\u00e9 ex\u00e9cutif<\/h2>\n<p>Entre juin et d\u00e9cembre 2025, l'infrastructure d'h\u00e9bergement officielle de l'\u00e9diteur de texte<a href=\"https:\/\/notepad-plus-plus.org\/news\/hijacked-incident-info-update\/\" target=\"_blank\" rel=\"noopener\"> Notepad++ a \u00e9t\u00e9 compromise<\/a> par un groupe de menaces parrain\u00e9 par un \u00c9tat, connu sous le nom de<a href=\"https:\/\/www.rapid7.com\/blog\/post\/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit\/\" target=\"_blank\" rel=\"noopener\"> Lotus Blossom<\/a>. Les attaquants ont p\u00e9n\u00e9tr\u00e9 l'environnement du fournisseur d'h\u00e9bergement mutualis\u00e9.<\/p>\n<p>Cela a permis aux attaquants d'intercepter et de rediriger le trafic destin\u00e9 au serveur de mise \u00e0 jour de Notepad++. Cette interception au niveau de l'infrastructure a permis aux attaquants de cibler s\u00e9lectivement des utilisateurs sp\u00e9cifiques. Les cibles \u00e9taient principalement situ\u00e9es en Asie du Sud-Est, dans les secteurs du gouvernement, des t\u00e9l\u00e9communications et des infrastructures critiques. Les attaquants ont envoy\u00e9 \u00e0 ces cibles des manifestes de mise \u00e0 jour malveillants au lieu des mises \u00e0 jour logicielles l\u00e9gitimes.<\/p>\n<p>Nous avons identifi\u00e9 une infrastructure suppl\u00e9mentaire non signal\u00e9e, li\u00e9e \u00e0 cette campagne. Nous avons observ\u00e9 deux cha\u00eenes d'infection, dont une variante d'injection de script Lua ayant entra\u00een\u00e9 la distribution d\u2019une balise Cobalt Strike (beacon), ainsi qu'un d\u00e9tournement de DLL (DLL side-loading) pour distribuer une porte d\u00e9rob\u00e9e Chrysalis. Unit 42 a \u00e9galement constat\u00e9 que cette activit\u00e9 malveillante cible davantage de secteurs et de r\u00e9gions que ce qui avait \u00e9t\u00e9 initialement rapport\u00e9.<\/p>\n<p>Cette campagne a \u00e9galement touch\u00e9 les secteurs suivants en Am\u00e9rique du Sud, aux \u00c9tats-Unis, en Europe et en Asie du Sud-Est :<\/p>\n<ul>\n<li>H\u00e9bergement cloud<\/li>\n<li>\u00c9nergie<\/li>\n<li>Finance<\/li>\n<li>Gouvernement<\/li>\n<li>Industrie manufacturi\u00e8re<\/li>\n<li>D\u00e9veloppement logiciel<\/li>\n<\/ul>\n<p>Notepad++ est un \u00e9diteur de code et un utilitaire de remplacement de texte open-source et l\u00e9ger. Cet outil est largement pl\u00e9biscit\u00e9 pour sa rapidit\u00e9, son vaste \u00e9cosyst\u00e8me de plugins et sa capacit\u00e9 unique \u00e0 g\u00e9rer des fichiers de donn\u00e9es volumineux tout en conservant les sessions non sauvegard\u00e9es par les utilisateurs.<\/p>\n<p>Dans les environnements d'entreprise, Notepad++ sert souvent d'outil fondamental pour les administrateurs syst\u00e8mes, les ing\u00e9nieurs r\u00e9seau et le personnel DevOps. Ces professionnels utilisent couramment cet outil pour modifier des configurations de serveurs, analyser des journaux syst\u00e8me volumineux et auditer du code sur des serveurs de rebond (jump boxes) s\u00e9curis\u00e9s o\u00f9 des applications plus lourdes ne sont pas adapt\u00e9es.<\/p>\n<p>Ce profil sp\u00e9cifique d'utilisateurs fait de Notepad++ une cible strat\u00e9giquement critique pour les acteurs de la menace. Compromettre cet outil unique permet aux attaquants de contourner efficacement les d\u00e9fenses du p\u00e9rim\u00e8tre et de s'immiscer dans les sessions des utilisateurs les plus privil\u00e9gi\u00e9s de l'organisation, obtenant ainsi un acc\u00e8s administratif implicite \u00e0 l'infrastructure centrale du r\u00e9seau.<\/p>\n<p>Les clients de Palo Alto Networks b\u00e9n\u00e9ficient de protections et de mesures d'att\u00e9nuation contre les activit\u00e9s d\u00e9crites dans cet article de la mani\u00e8re suivante :<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifient comme malveillants les URL et domaines connus associ\u00e9s \u00e0 cette activit\u00e9.<\/li>\n<li>Les mod\u00e8les d'apprentissage automatique et les techniques d'analyse d'<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> ont \u00e9t\u00e9 revus et mis \u00e0 jour \u00e0 la lumi\u00e8re des indicateurs partag\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> aide \u00e0 d\u00e9tecter et \u00e0 pr\u00e9venir les op\u00e9rations malveillantes, les modifications de configuration ou les exploitations mentionn\u00e9es dans cet article.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> en utilisant le moteur de pr\u00e9vention des malwares (<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">Malware Prevention Engine<\/a>).<\/li>\n<li>Le pare-feu de nouvelle g\u00e9n\u00e9ration (<a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a>) avec<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced Threat Prevention<\/a> est con\u00e7u pour d\u00e9fendre les r\u00e9seaux contre les menaces courantes et les menaces cibl\u00e9es.<\/li>\n<\/ul>\n<p>L'<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe de r\u00e9ponse aux incidents de Unit 42<\/a> peut \u00e9galement \u00eatre sollicit\u00e9e pour aider en cas de compromission ou pour fournir une \u00e9valuation proactive afin de r\u00e9duire vos risques.<\/p>\n<table style=\"width: 97.8926%; height: 24px;\">\n<thead>\n<tr style=\"height: 24px;\">\n<td style=\"width: 35%; height: 24px;\"><b>Sujets Unit 42 associ\u00e9s<\/b><\/td>\n<td style=\"width: 146.502%; height: 24px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/dll-sideloading\/\" target=\"_blank\" rel=\"noopener\"><b>DLL Sideloading<\/b><\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/backdoor\/\" target=\"_blank\" rel=\"noopener\"><b>Backdoors<\/b><\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/supply-chain-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Supply Chain<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cobalt-strike-fr\/\" target=\"_blank\" rel=\"noopener\">Cobalt Strike<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-173016-_6vmfmvjbivdi\"><\/a>D\u00e9tails de l'attaque contre Notepad++<\/h2>\n<p>Cette attaque de la cha\u00eene d'approvisionnement reposait sur l'exploitation de contr\u00f4les de v\u00e9rification insuffisants dans les anciennes versions du programme de mise \u00e0 jour de Notepad++,<a href=\"https:\/\/wingup.org\/\" target=\"_blank\" rel=\"noopener\"> WinGUp<\/a>. Cette exploitation a permis au groupe de menaces de rediriger le trafic vers des serveurs contr\u00f4l\u00e9s par les attaquants.<\/p>\n<p>Lorsque les victimes vis\u00e9es tentaient de mettre \u00e0 jour leur logiciel, elles t\u00e9l\u00e9chargeaient un programme d'installation NSIS malveillant. Cet installeur \u2014 souvent nomm\u00e9 update.exe \u2014 initiait une cha\u00eene d'infection complexe. Cette cha\u00eene utilisait des techniques de d\u00e9tournement de DLL (DLL side-loading) et d\u00e9tournait un composant l\u00e9gitime de Bitdefender (BluetoothService.exe) pour charger une biblioth\u00e8que malveillante (log.dll) qui d\u00e9cryptait et ex\u00e9cutait une porte d\u00e9rob\u00e9e personnalis\u00e9e. Dans une autre cha\u00eene d'infection, les attaquants ont<a href=\"https:\/\/securelist.com\/notepad-supply-chain-attack\/118708\/\" target=\"_blank\" rel=\"noopener\"> utilis\u00e9<\/a> un installeur NSIS pour ex\u00e9cuter une commande lan\u00e7ant un script Lua malveillant afin de charger un beacon Cobalt Strike.<\/p>\n<p>Ce malware, nomm\u00e9<a href=\"https:\/\/www.rapid7.com\/blog\/post\/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit\/\" target=\"_blank\" rel=\"noopener\"> Chrysalis<\/a>, employait des techniques d'\u00e9vasion avanc\u00e9es, notamment :<\/p>\n<ul>\n<li>L'utilisation du framework de protection de code Microsoft<a href=\"https:\/\/websec.net\/blog\/a-deep-dive-into-microsoft-warbird-mss-kernel-mode-dynamic-packer-68ee2c87b251081f55ec8c31\" target=\"_blank\" rel=\"noopener\"> Warbird<\/a>.<\/li>\n<li>Une fonction de hachage d'API personnalis\u00e9e pour r\u00e9duire la d\u00e9tection par les antivirus.<\/li>\n<li>L'\u00e9tablissement d'un contr\u00f4le \u00e0 distance persistant sur les syst\u00e8mes infect\u00e9s.<\/li>\n<\/ul>\n<h3><a id=\"post-173016-_xszwbh3hj2tm\"><\/a><strong>Activit\u00e9s<\/strong> d'exploitation<strong> suppl\u00e9mentaires dans cette campagne<\/strong><\/h3>\n<p>Unit 42 a observ\u00e9 des preuves de deux s\u00e9quences d'attaque distinctes :<\/p>\n<ul>\n<li>L'une dans laquelle un installeur NSIS malveillant d\u00e9pose un script Lua compil\u00e9 contenant un installeur pour t\u00e9l\u00e9charger et ex\u00e9cuter une charge utile Cobalt Strike Beacon.<\/li>\n<li>L'autre dans laquelle les attaquants ont utilis\u00e9 le d\u00e9tournement de DLL pour injecter la porte d\u00e9rob\u00e9e Chrysalis en m\u00e9moire.<\/li>\n<\/ul>\n<p>Nous avons observ\u00e9 une activit\u00e9 suppl\u00e9mentaire entre la mi-ao\u00fbt et novembre 2025, coh\u00e9rente avec cette activit\u00e9 d'exploitation. Lors d'un incident en ao\u00fbt, nous avons observ\u00e9 une communication avec une adresse IP de commande et contr\u00f4le (C2) <span style=\"font-family: 'courier new', courier, monospace;\">45.76.155[.]202<\/span>. Apr\u00e8s plusieurs jours de trafic de balisage C2 vers cette adresse IP, les attaquants sont pass\u00e9s \u00e0 un second serveur C2 \u00e0 l'adresse <span style=\"font-family: 'courier new', courier, monospace;\">45.77.31[.]210<\/span>, avec une communication ayant dur\u00e9 jusqu'en septembre.<\/p>\n<p>Dans certains cas entre septembre et novembre 2025, nous avons observ\u00e9 une activit\u00e9 correspondant \u00e0 des connexions sortantes vers un serveur C2. Celles-ci ont \u00e9t\u00e9 suivies de demandes de t\u00e9l\u00e9chargement ult\u00e9rieures pour update.exe coh\u00e9rentes avec la porte d\u00e9rob\u00e9e Chrysalis signal\u00e9e. Dans certains cas, les tentatives de t\u00e9l\u00e9chargement ont \u00e9t\u00e9 faites vers une adresse IP, tandis que d'autres l'ont \u00e9t\u00e9 vers des domaines. Les balisages r\u00e9ussis vers les serveurs malveillants se produisaient dans les secondes suivant le t\u00e9l\u00e9chargement r\u00e9ussi de la charge utile malveillante et se poursuivaient pendant une dur\u00e9e ind\u00e9termin\u00e9e.<\/p>\n<p>En septembre et octobre 2025, nous avons observ\u00e9 une variante d'injection de script Lua d\u00e9ployant des scripts Lua malveillants pour injecter du shellcode. Cette attaque utilisait l'API <span style=\"font-family: 'courier new', courier, monospace;\">EnumWindowStationsW<\/span> et entra\u00eenait la distribution d\u2019une balise Cobalt Strike. Dans ce cas, le t\u00e9l\u00e9chargement s'est fait \u00e0 partir de l'adresse :<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.76.155[.]202\/update\/update.exe<\/span><\/li>\n<\/ul>\n<p>Parall\u00e8lement, nous avons \u00e9galement observ\u00e9 une variante de d\u00e9tournement de DLL via Bluetooth dans le m\u00eame cas. Cette variante Lua utilise des techniques de d\u00e9tournement de DLL de service Bluetooth pour d\u00e9ployer la porte d\u00e9rob\u00e9e Chrysalis. Les tentatives de t\u00e9l\u00e9chargement pour cette variante ont \u00e9t\u00e9 effectu\u00e9es \u00e0 partir d'un serveur malveillant diff\u00e9rent :<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.32.144[.]255\/update\/update.exe<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-173016-_kteumbdbz3bm\"><\/a>Conseils provisoires<\/h2>\n<p><a href=\"https:\/\/notepad-plus-plus.org\/news\/hijacked-incident-info-update\/\" target=\"_blank\" rel=\"noopener\">Notepad++ recommande<\/a> les mesures suivantes :<\/p>\n<ul>\n<li>T\u00e9l\u00e9charger la version 8.9.1, qui inclut l'am\u00e9lioration de s\u00e9curit\u00e9 correspondante.<\/li>\n<li>Ex\u00e9cuter l'installeur pour mettre \u00e0 jour Notepad++ manuellement.<\/li>\n<\/ul>\n<p>Selon Notepad++, ils ont migr\u00e9 leur site web vers un nouveau fournisseur d'h\u00e9bergement avec des pratiques de s\u00e9curit\u00e9 nettement plus rigoureuses.<\/p>\n<p>Au sein m\u00eame de Notepad++, ils ont am\u00e9lior\u00e9 le programme de mise \u00e0 jour WinGup dans la version 8.8.9 pour v\u00e9rifier \u00e0 la fois le certificat et la signature de l'installeur t\u00e9l\u00e9charg\u00e9.<\/p>\n<p>De plus, ils notent \u00e9galement que :<\/p>\n<ul>\n<li>L'XML renvoy\u00e9 par le serveur de mise \u00e0 jour est d\u00e9sormais sign\u00e9 (XMLDSig).<\/li>\n<li>La v\u00e9rification du certificat et de la signature sera impos\u00e9e \u00e0 partir de la prochaine version 8.9.2, dont la sortie est pr\u00e9vue dans environ un mois.<\/li>\n<\/ul>\n<h2><a id=\"post-173016-_vuhv44vq49b2\"><\/a>Requ\u00eates de Threat Hunting g\u00e9r\u00e9es par Unit 42<\/h2>\n<p>L'\u00e9quipe Unit 42 Managed Threat Hunting continue de traquer tout signe d'utilisation abusive ou d'activit\u00e9 anormale, en utilisant Cortex XDR et les requ\u00eates XQL ci-dessous. Les clients Cortex XDR peuvent \u00e9galement utiliser ces requ\u00eates XQL pour faciliter leurs enqu\u00eates ou leurs recherches.<\/p>\n<p>Comme la majorit\u00e9 de l'activit\u00e9 a probablement eu lieu avant le 2 d\u00e9cembre, nous recommandons de v\u00e9rifier les limites de r\u00e9tention des donn\u00e9es pour d\u00e9terminer si ces requ\u00eates seront efficaces dans votre environnement. Si cela est possible dans votre environnement, vous pouvez envisager d'interroger les donn\u00e9es au-del\u00e0 des limites de r\u00e9tention active (*hot retention*) en utilisant des requ\u00eates sur le \"stockage \u00e0 froid\" (cold_dataset = xdr_data). Veuillez noter que l'ex\u00e9cution de requ\u00eates sur le stockage \u00e0 froid consomme des unit\u00e9s de calcul.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Name: DLL sideloading via BYO application\r\n\r\n\/\/ Description: Identifies renamed Bitdefender utility loading a log.dll file\r\n\r\n\/\/ MITRE TTP ID: T1574.001\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields actor_process_signature_vendor, actor_process_signature_product, action_module_path, actor_process_image_path, actor_process_image_sha256, agent_os_type, event_type, event_id, agent_hostname, _time, actor_process_image_name\r\n\r\n| filter event_type = ENUM.LOAD_IMAGE and agent_os_type = ENUM.AGENT_OS_WINDOWS\r\n\r\n| filter actor_process_signature_vendor contains \"Bitdefender SRL\" and action_module_path contains \"log.dll\"\r\n\r\n| filter actor_process_image_path not contains \"Program Files\\Bitdefender\"\r\n\r\n| filter not actor_process_image_name in (\"eps.rmm64.exe\", \"downloader.exe\", \"installer.exe\", \"epconsole.exe\", \"EPHost.exe\", \"epintegrationservice.exe\", \"EPPowerConsole.exe\", \"epprotectedservice.exe\", \"DiscoverySrv.exe\", \"epsecurityservice.exe\", \"EPSecurityService.exe\", \"epupdateservice.exe\", \"testinitsigs.exe\", \"EPHost.Integrity.exe\", \"WatchDog.exe\", \"ProductAgentService.exe\", \"EPLowPrivilegeWorker.exe\", \"Product.Configuration.Tool.exe\", \"eps.rmm.exe\")<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Name: Chrysalis Mutex\r\n\r\n\/\/ Description: Identifies a Mutex known to be related to the chrysalis backdoor malware\r\n\r\n\/\/ MITRE TTP ID: T1480.002\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, agent_hostname, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, event_type, event_sub_type, action_syscall_string_params\r\n\r\n| filter event_type = ENUM.SYSTEM_CALL and event_sub_type = ENUM.SYSTEM_CALL_NT_CREATE_MUTANT\r\n\r\n| alter mutex = json_extract_scalar(action_syscall_string_params, \"$.1\")\r\n\r\n| filter mutex = \"Global\\\\Jdhfv_1.0.1\"<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Name: GUP.exe Writing Unusual Files to Temp Folder\r\n\r\n\/\/ Description: Detects cases where the Notepad++ updater (gup.exe) writes files to a temp folder that that deviate from the normal and expected.\r\n\r\n\/\/ MITRE TTP ID: T1036.005\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, agent_hostname, event_type, event_sub_type, action_file_name, action_file_path, actor_effective_username, action_file_extension, action_file_previous_file_path, action_file_sha256, action_file_size, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_image_sha256, causality_actor_process_image_name, causality_actor_process_image_path, os_actor_primary_username, os_actor_process_command_line, os_actor_process_image_name, os_actor_process_image_path, agent_os_type\r\n\r\n| filter event_type = ENUM.FILE and event_sub_type = ENUM.FILE_WRITE\r\n\r\n| filter lowercase(actor_process_image_name) = \"gup.exe\" and action_file_sha256 != null\r\n\r\n| filter lowercase(actor_process_command_line) !~= \"((\\\\notepad\\+\\+(?:_?x?\\d+?)??|\\\\nppp?[\\.\\d]*?(?:portable)??(?:\\.x64)??).*?\\\\plugins|-ihttps:\\\/\\\/notepad-plus-plus\\.org\\\/update\\\/getdownloadurl\\.php)\" and lowercase(action_file_path) ~= \"(\\\\appdata\\\\local\\\\temp\\\\|\\\\windows\\\\temp)\" and lowercase(action_file_name) !~= \"(npp[\\.\\d]+?installer)\"\r\n\r\n| sort desc _time<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Name: GUP.exe Downloading Improperly Signed Installer\r\n\r\n\/\/ MITRE TTP ID: T1036.001\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, agent_hostname, event_type, event_sub_type, action_process_username, action_process_user_sid, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_os_pid, action_process_cwd, action_process_file_info, action_process_file_size, action_process_file_web_mark, action_process_signature_vendor, action_process_signature_product, action_process_signature_status, actor_effective_username, actor_effective_user_sid, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_signature_vendor, actor_process_signature_product, actor_process_signature_status, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_image_command_line, os_actor_process_image_sha256, action_process_instance_id, actor_process_instance_id, causality_actor_process_instance_id, agent_os_type, agent_id\r\n\r\n| filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START and _product = \"XDR agent\" and _vendor = \"PANW\"\r\n\r\n| filter lowercase(actor_process_image_name) = \"gup.exe\" and actor_process_signature_status not in (null, ENUM.UNSUPPORTED, ENUM.FAILED_TO_OBTAIN ) and action_process_signature_status not in (null, ENUM.UNSUPPORTED, ENUM.FAILED_TO_OBTAIN ) and action_process_image_sha256 not in ( \"71431fa7b66f8132453e18e3a5f8ef0af3ca079a7793f828df06fdb5d7bd915d\", \"2dd5473736ef51e4340cae005e3fc8cdf0e42ec649bc6ed186484a79be409928\", \"a19aa1cd7ecb9ca3f1fd0e118fffd0d673fba404ced8c39c2e210a63b70f9c15\", \"e22abc9af328d063e652f0829819124a6a748c224bc8b10f98473f87cda2c0cd\", \"61c3077b989e272117167c90fc35e7f06bea4f992f3395b40ccee083d7258082\", \"49d2531893b09cb6a8e3429ca0a734e871a2d96fa2575c0eec3229d383fa233a\", \"32aa12d3c9521477a5a1e086e400ec0f77f8a97a8190806a0f1953688b883cfb\", \"8117c82a3821965d92ee3f9f3ae10efcd602bd4b6e52a2fe957d70aafe479744\", \"05abc57952974d08feafa399d6fdb37945a3fd0a10f37833dd837a5788e421d5\", \"c6d1e5aacbf69aa18df4caf1346fd69638491a5ad0085729bae91c662d1c62bb\", \"e1df78704001bba1a3d343f62a1242a4484ff6ad269170714263c03b802eb0b1\", \"7094a07167648628e47249a16d9d6db922e5aa1255ac4322a2e4900d233372dd\" )\r\n\r\n| filter lowercase(action_process_image_name) ~= \"(npp[\\.\\d]+?installer)\"\r\n\r\n| dedup agent_id by desc _time\r\n\r\n| filter action_process_signature_status != ENUM.SIGNED or lowercase(action_process_signature_vendor) != \"notepad++\"\r\n\r\n| sort desc _time<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Name: GUP.exe Spawning Unusual Subprocesses\r\n\r\n\/\/ Description: Detects cases where the Notepad++ updater (gup.exe) spawns child processes that deviate from the normal and expected.\r\n\r\n\/\/ MITRE TTP ID: T1202\r\n\r\nconfig case_sensitive = false\r\n\r\n| dataset = xdr_data\r\n\r\n| fields _time, agent_hostname, event_type, event_sub_type, action_process_username, action_process_user_sid, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_os_pid, action_process_cwd, action_process_file_info, action_process_file_size, action_process_file_web_mark, action_process_signature_vendor, action_process_signature_product, action_process_signature_status, actor_effective_username, actor_effective_user_sid, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_signature_vendor, actor_process_signature_product, actor_process_signature_status, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_image_command_line, os_actor_process_image_sha256, action_process_instance_id, actor_process_instance_id, causality_actor_process_instance_id, agent_os_type, agent_id\r\n\r\n| filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START\r\n\r\n| filter lowercase(actor_process_image_name) = \"gup.exe\"\r\n\r\n| filter lowercase(action_process_image_name) !~= \"(npp[\\.\\d]+?installer|consent\\.exe|explorer\\.exe|werfault\\.exe|smartscreen\\.exe|adminbyrequest\\.exe|openwith\\.exe)\" and lowercase(action_process_image_command_line) !~= \"(https:\\\/\\\/notepad-plus-plus\\.org\\\/|https:\\\/\\\/npp-user-manual\\.org\\\/)\" and lowercase(actor_process_command_line) !~= \"(\\\\notepad\\+\\+\\\\plugins|https:\\\/\\\/notepad-plus-plus\\.org\\\/)\"\r\n\r\n| sort desc _time<\/pre>\n<h2><a id=\"post-173016-_ou5mkhese11m\"><\/a>Conclusion<\/h2>\n<p>Cette campagne marque une \u00e9volution notable dans les m\u00e9thodes op\u00e9rationnelles des acteurs de la menace de ce type, repr\u00e9sentant un passage du positionnement pr\u00e9alable sur de larges infrastructures \u00e0 une interception cibl\u00e9e et subtile de la cha\u00eene d'approvisionnement. Les campagnes r\u00e9centes de groupes comme Volt Typhoon et Salt Typhoon se sont principalement concentr\u00e9es sur la compromission des structures centrales d'infrastructures critiques et des \u00e9quipements de p\u00e9riph\u00e9rie (edge devices), en s'appuyant sur des techniques de \"living-off-the-land\" et un minimum de malware. Cette op\u00e9ration met plut\u00f4t en lumi\u00e8re une priorit\u00e9 strat\u00e9gique distincte ax\u00e9e sur les d\u00e9tenteurs de privil\u00e8ges administratifs.<\/p>\n<p>Le d\u00e9tournement du flux de trafic d'un utilitaire de confiance plut\u00f4t que l'injection de code dans le pipeline de construction du logiciel a permis aux acteurs de la menace d'armer leur m\u00e9canisme de distribution sans alerter l'\u00e9diteur. Cette capacit\u00e9 d'interception de type \"Adversary-in-the-Middle\" (AitM) a permis un profilage dynamique des demandes de mise \u00e0 jour entrantes, autorisant un filtrage hautement s\u00e9lectif des cibles prioritaires.<\/p>\n<p>Cette campagne n'est pas ax\u00e9e sur la perturbation, mais sur l'obtention de renseignements de grande valeur \u00e0 long terme. Cela est illustr\u00e9 par la combinaison de la victimologie s\u00e9lective de l'acteur de la menace \u2014 concentr\u00e9e sur les administrateurs syst\u00e8mes et les d\u00e9veloppeurs dans de nombreuses r\u00e9gions g\u00e9opolitiquement strat\u00e9giques \u2014 et son choix d'utiliser une porte d\u00e9rob\u00e9e l\u00e9g\u00e8re et discr\u00e8te.<\/p>\n<p>Palo Alto Networks a partag\u00e9 ses conclusions avec les autres membres de la Cyber Threat Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des protections pour leurs clients et pour perturber syst\u00e9matiquement les acteurs cyber-malveillants. En savoir plus sur la<a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s par nos produits, comme list\u00e9 ci-dessous. Nous mettrons \u00e0 jour ce bulletin de menace \u00e0 mesure que des informations plus pertinentes seront disponibles.<\/p>\n<h2><a id=\"post-173016-_w0kqdru8yjw\"><\/a>Protections des produits Palo Alto Networks<\/h2>\n<p>Les clients de Palo Alto Networks peuvent s'appuyer sur une vari\u00e9t\u00e9 de protections et de mises \u00e0 jour de produits pour identifier et se d\u00e9fendre contre cette menace.<\/p>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une question urgente, contactez l'<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe de r\u00e9ponse aux incidents de Unit 42<\/a> ou appelez :<\/p>\n<ul>\n<li>Am\u00e9rique du Nord : Num\u00e9ro gratuit : +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni : +44.20.3743.3660<\/li>\n<li>Europe et Moyen-Orient : +31.20.299.3130<\/li>\n<li>Asie : +65.6983.8730<\/li>\n<li>Japon : +81.50.1790.0200<\/li>\n<li>Australie : +61.2.4062.7950<\/li>\n<li>Inde : 000 800 050 45107<\/li>\n<li>Cor\u00e9e du Sud : +82.080.467.8774<\/li>\n<\/ul>\n<h3><a id=\"post-173016-_fnpcc5zaj73u\"><\/a>Advanced WildFire<\/h3>\n<p>Les mod\u00e8les d'apprentissage automatique et les techniques d'analyse d'<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> ont \u00e9t\u00e9 revus et mis \u00e0 jour \u00e0 la lumi\u00e8re des indicateurs partag\u00e9s dans cette recherche.<\/p>\n<h3><a id=\"post-173016-_82ys6nhnk71r\"><\/a>Pare-feu de nouvelle g\u00e9n\u00e9ration avec Advanced Threat Prevention<\/h3>\n<p>Le pare-feu de nouvelle g\u00e9n\u00e9ration (<a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a>) avec<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced Threat Prevention<\/a> est con\u00e7u pour d\u00e9fendre les r\u00e9seaux contre les menaces courantes et les menaces cibl\u00e9es.<\/p>\n<h3><a id=\"post-173016-_3vuy62aaxos\"><\/a>Services de s\u00e9curit\u00e9 livr\u00e9s par le cloud pour le pare-feu de nouvelle g\u00e9n\u00e9ration<\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifient comme malveillants les URL et domaines connus associ\u00e9s \u00e0 cette activit\u00e9.<\/p>\n<h3><a id=\"post-173016-_njtkwyt33dwk\"><\/a>Cortex XDR et XSIAM<\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> et<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> aident \u00e0 pr\u00e9venir les menaces d\u00e9crites dans cet article en utilisant le moteur de pr\u00e9vention des malwares (<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">Malware Prevention Engine<\/a>). Cette approche combine plusieurs couches de protection, notamment<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\"> Advanced WildFire<\/a>, la protection comportementale contre les menaces (Behavioral Threat Protection) et le module d'analyse locale, pour emp\u00eacher les malwares connus et inconnus de nuire aux points de terminaison.<\/p>\n<h3><a id=\"post-173016-_fpg3eg7lwnst\"><\/a>Cortex Cloud<\/h3>\n<p>Les organisations utilisant<a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\"> Cortex Cloud<\/a>, comme celles de l'industrie de l'h\u00e9bergement cloud qui ont \u00e9t\u00e9 activement cibl\u00e9es au cours de cette campagne, sont mieux prot\u00e9g\u00e9es contre le t\u00e9l\u00e9chargement et l'ex\u00e9cution des malwares mentionn\u00e9s dans cet article gr\u00e2ce au d\u00e9ploiement appropri\u00e9 de l'<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\">agent de point de terminaison XDR<\/a> de Cortex Cloud et des<a href=\"https:\/\/www.google.com\/search?q=https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/Use-cases\" target=\"_blank\" rel=\"noopener\"> agents serverless<\/a> au sein d'un environnement cloud.<\/p>\n<p>Con\u00e7u pour prot\u00e9ger la posture d'un cloud et les op\u00e9rations d'ex\u00e9cution contre ces menaces, Cortex Cloud aide \u00e0 d\u00e9tecter et \u00e0 pr\u00e9venir les op\u00e9rations malveillantes, les modifications de configuration ou les exploitations mentionn\u00e9es dans cet article.<\/p>\n<h2><a id=\"post-173016-_bbdlprkdtjo1\"><\/a>Indicateurs de compromission<\/h2>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1f6d28370f4c2b13f3967b38f67f77eee7f5fba9e7743b6c66a8feb18ae8f33e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a3cf1c86731703043b3614e085b9c8c224d4125370f420ad031ad63c14d6c3ec<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">skycloudcenter[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">self-dns[.]it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">safe-dns[.]it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cdncheck[.]it[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">95[.]179[.]213[.]0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45[.]76[.]155[.]202<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45[.]77[.]31[.]210<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">61[.]4[.]102[.]97<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">59[.]110[.]7[.]32<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">95[.]179[.]213[.]0\/update\/AutoUpdater.exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">95[.]179[.]213[.]0\/update\/Upgrade.exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45[.]32[.]144[.]255\/update\/update.exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45[.]76[.]155[.]202\/update\/update.exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">59[.]110[.]7[.]32\/dpixel<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">self-dns[.]it[.]com\/help\/Get-Start<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">self-dns[.]it[.]com\/resolve<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">self-dns[.]it[.]com\/dns-query<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">safe-dns[.]it[.]com\/help\/Get-Start<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">safe-dns[.]it[.]com\/resolve<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">safe-dns[.]it[.]com\/dns-query<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Unit 42 r\u00e9v\u00e8le une nouvelle infrastructure associ\u00e9e \u00e0 l'attaque contre Notepad++. Cette d\u00e9couverte permet de mieux comprendre les op\u00e9rations des acteurs de la menace et la distribution de malwares.<\/p>\n","protected":false},"author":23,"featured_media":172786,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8787,8769],"tags":[9932,9835,9933,9515],"product_categories":[8956,8965,8973,8979,8955,9041,9046,9053,9064,9155,9083,9151],"coauthors":[1025],"class_list":["post-173016","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-fr","category-top-cyberthreats-fr","tag-backdoor","tag-cobalt-strike-fr","tag-dll-sideloading","tag-supply-chain-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-threat-prevention-fr","product_categories-advanced-url-filtering-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-managed-threat-hunting-fr","product_categories-next-generation-firewall-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Des acteurs \u00e9tatiques exploitent la cha\u00eene d&#039;approvisionnement de Notepad++<\/title>\n<meta name=\"description\" content=\"Unit 42 r\u00e9v\u00e8le une nouvelle infrastructure associ\u00e9e \u00e0 l&#039;attaque contre Notepad++. Cette d\u00e9couverte permet de mieux comprendre les op\u00e9rations des acteurs de la menace et la distribution de malwares.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Des acteurs \u00e9tatiques exploitent la cha\u00eene d&#039;approvisionnement de Notepad++\" \/>\n<meta property=\"og:description\" content=\"Unit 42 r\u00e9v\u00e8le une nouvelle infrastructure associ\u00e9e \u00e0 l&#039;attaque contre Notepad++. Cette d\u00e9couverte permet de mieux comprendre les op\u00e9rations des acteurs de la menace et la distribution de malwares.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-11T17:08:07+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-04-15T15:01:54+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Des acteurs \u00e9tatiques exploitent la cha\u00eene d'approvisionnement de Notepad++","description":"Unit 42 r\u00e9v\u00e8le une nouvelle infrastructure associ\u00e9e \u00e0 l'attaque contre Notepad++. Cette d\u00e9couverte permet de mieux comprendre les op\u00e9rations des acteurs de la menace et la distribution de malwares.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/","og_locale":"fr_FR","og_type":"article","og_title":"Des acteurs \u00e9tatiques exploitent la cha\u00eene d'approvisionnement de Notepad++","og_description":"Unit 42 r\u00e9v\u00e8le une nouvelle infrastructure associ\u00e9e \u00e0 l'attaque contre Notepad++. Cette d\u00e9couverte permet de mieux comprendre les op\u00e9rations des acteurs de la menace et la distribution de malwares.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/","og_site_name":"Unit 42","article_published_time":"2026-02-11T17:08:07+00:00","article_modified_time":"2026-04-15T15:01:54+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Des acteurs \u00e9tatiques exploitent la cha\u00eene d'approvisionnement de Notepad++","datePublished":"2026-02-11T17:08:07+00:00","dateModified":"2026-04-15T15:01:54+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/"},"wordCount":2361,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","keywords":["backdoor","Cobalt Strike","DLL Sideloading","supply chain"],"articleSection":["Malware","Menaces de grande envergure"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/","name":"Des acteurs \u00e9tatiques exploitent la cha\u00eene d'approvisionnement de Notepad++","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","datePublished":"2026-02-11T17:08:07+00:00","dateModified":"2026-04-15T15:01:54+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Unit 42 r\u00e9v\u00e8le une nouvelle infrastructure associ\u00e9e \u00e0 l'attaque contre Notepad++. Cette d\u00e9couverte permet de mieux comprendre les op\u00e9rations des acteurs de la menace et la distribution de malwares.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/11_Security-Technology_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of Notepad++ supply chain compromise. A digital rendering of Earth from space, focusing on North and South America. The continents are illuminated in blue, with red lines and dots indicating data connections across various locations. Dark background highlights the vibrant network representation."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/notepad-infrastructure-compromise\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Des acteurs \u00e9tatiques exploitent la cha\u00eene d'approvisionnement de Notepad++"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/173016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=173016"}],"version-history":[{"count":4,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/173016\/revisions"}],"predecessor-version":[{"id":177970,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/173016\/revisions\/177970"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/172786"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=173016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=173016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=173016"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=173016"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=173016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}