Advanced DNS Security
Unit 42 Incident Response
Resumo Executivo
Entre junho e dezembro de 2025, a infraestrutura oficial de hospedagem do editor de texto Notepad++ foi comprometida por um grupo de ameaças patrocinado por um Estado, conhecido como Lotus Blossom. Os invasores invadiram o ambiente do provedor de hospedagem compartilhada.
Isso permitiu que os atacantes interceptassem e redirecionassem o tráfego destinado ao servidor de atualização do Notepad++. Esse sequestro em nível de infraestrutura permitiu que os invasores visassem seletivamente usuários específicos. Os alvos estavam localizados principalmente no sudeste asiático, abrangendo os setores governamental, de telecomunicações e de infraestrutura crítica. Os atacantes serviram a esses alvos manifestos de atualização maliciosos em vez de atualizações de software legítimas.
Identificamos infraestrutura adicional não reportada anteriormente, que está vinculada a esta campanha. Observamos duas cadeias de infecção, incluindo uma variante de injeção de script Lua que resultou na entrega do beacon do malware Cobalt Strike, bem como DLL side-loading para entregar um backdoor Chrysalis. A Unit 42 também descobriu que essa atividade de ameaça está visando mais setores e mais regiões do que o relatado anteriormente.
Esta campanha também afetou os seguintes setores na América do Sul, nos EUA, na Europa e no Sudeste Asiático:
- Hospedagem em nuvem (Cloud hosting)
- Energia
- Financeiro
- Governo
- Manufatura
- Desenvolvimento de software
O Notepad++ é um editor de código de código aberto, leve, e utilitário de substituição de texto. Esta ferramenta é amplamente favorecida por sua velocidade, extenso ecossistema de plugins e capacidade única de lidar com arquivos de dados massivos, mantendo sessões que os usuários ainda não salvaram.
Em ambientes corporativos, o Notepad++ geralmente serve como um instrumento fundamental para administradores de sistemas, engenheiros de rede e pessoal de DevOps. Esses profissionais costumam usar essa ferramenta para modificar configurações de servidor, analisar logs pesados de sistema e auditar códigos em jump boxes seguras, onde aplicações mais pesadas são impraticáveis.
Este perfil demográfico específico de usuários torna o Notepad++ um alvo estrategicamente crítico para os atores de ameaças. Comprometer essa única ferramenta permite que os invasores contornem efetivamente as defesas de perímetro e peguem carona nas sessões dos usuários mais privilegiados da organização, obtendo acesso administrativo implícito à infraestrutura central da rede.
Os clientes da Palo Alto Networks recebem proteções e mitigações para a atividade discutida neste artigo das seguintes formas:
- Advanced URL Filtering e Advanced DNS Security identificam URLs e domínios conhecidos associados a esta atividade como maliciosos
- Os modelos de machine learning e técnicas de análise do Advanced WildFire foram revisados e atualizados à luz dos indicadores compartilhados nesta pesquisa.
- Cortex Cloud ajuda a detectar e prevenir as operações maliciosas ou alterações de configuração ou explorações discutidas neste artigo
- Cortex XDR e XSIAM empregando o Malware Prevention Engine
- Next-Generation Firewall com o Advanced Threat Prevention projetado para defender redes contra ameaças comuns e ameaças direcionadas.
A equipe de Resposta a Incidentes da Unit 42 também pode ser acionada para ajudar com um comprometimento ou para fornecer uma avaliação proativa para reduzir seu risco.
| Tópicos Relacionados da Unit 42 | DLL Sideloading, Backdoors, Cadeia de Suprimentos (Supply Chain), Cobalt Strike |
Detalhes do Ataque ao Notepad++
Este ataque à cadeia de suprimentos baseou-se na exploração de controles de verificação insuficientes em versões mais antigas do atualizador do Notepad++, o WinGUp. Esta exploração permitiu ao grupo de ameaça redirecionar o tráfego para servidores controlados pelos atacantes.
Quando as vítimas alvo tentavam atualizar seu software, baixavam um instalador NSIS malicioso. Este instalador — frequentemente nomeado como update.exe — iniciava uma cadeia de infecção complexa. Esta cadeia utilizava técnicas de DLL sideloading e fazia uso indevido de um componente legítimo da Bitdefender (BluetoothService.exe) para carregar uma biblioteca maliciosa (log.dll) que desencriptava e executava um backdoor personalizado. Em outra cadeia de infecção, os atacantes utilizaram um instalador NSIS para executar um comando que rodava um script Lua malicioso para carregar o Beacon do Cobalt Strike.
Este malware, chamado Chrysalis, empregava técnicas avançadas de evasão. Estas incluíam:
- Uso do framework de proteção de código Microsoft Warbird
- Hashing de API personalizado para reduzir a detecção por antivírus
- Estabelecimento de controle remoto persistente sobre os sistemas infectados
Atividade Adicional de Exploração nesta Campanha
A Unit 42 observou evidências de duas sequências de ataque separadas:
- Uma na qual um instalador NSIS malicioso solta (drops) um script Lua compilado contendo um instalador para baixar e executar um payload de Beacon do Cobalt Strike
- Outra na qual os atacantes usaram DLL side-loading para injetar o backdoor Chrysalis na memória
Observamos atividades adicionais datadas entre meados de agosto e novembro de 2025 que eram consistentes com esta atividade de exploração. Em um incidente de agosto, observamos a comunicação com um endereço IP de comando e controle (C2) 45.76.155[.]202. Após dias de tráfego de beacon C2 para este endereço IP, os atacantes mudaram para um segundo servidor C2 em 45.77.31[.]210, com a comunicação durando até setembro.
Em casos entre setembro e novembro de 2025, observamos atividade consistente com conexões de saída para um servidor C2. Estas foram seguidas por solicitações de download subsequentes para update.exe que são consistentes com o backdoor Chrysalis relatado. Em alguns casos, as tentativas de download foram feitas para um endereço IP, enquanto outras foram feitas para domínios. Beacons bem-sucedidos para servidores maliciosos ocorreram segundos após o download bem-sucedido do payload malicioso e continuaram por um período de tempo não especificado.
Em setembro e outubro de 2025, observamos uma variante de injeção de script Lua implantando scripts Lua maliciosos para injetar shellcode. Este ataque usou a API EnumWindowStationsW e resultou na entrega do beacon do malware Cobalt Strike. Neste caso, o download originou-se de:
- 45.76.155[.]202/update/update.exe
Separadamente, também observamos uma variante de DLL sideloading de Bluetooth no mesmo caso. Esta variante Lua usa técnicas de DLL sideloading do serviço de Bluetooth para implantar o backdoor Chrysalis. Tentativas de download para esta variante foram feitas de um servidor malicioso diferente:
- 45.32.144[.]255/update/update.exe
Orientação Provisória
O Notepad++ recomenda o seguinte:
- Baixar a versão 8.9.1, que inclui a melhoria de segurança relevante
- Executar o instalador para atualizar seu Notepad++ manualmente
De acordo com o Notepad++, eles migraram seu site para um novo provedor de hospedagem com práticas de segurança significativamente mais robustas.
Dentro do próprio Notepad++, eles aprimoraram o atualizador WinGup na v8.8.9 para verificar tanto o certificado quanto a assinatura do instalador baixado.
Além disso, eles também observam:
- O XML retornado pelo servidor de atualização agora é assinado (XMLDSig)
- A verificação de certificado e assinatura será obrigatória a partir da próxima versão 8.9.2, que esperam lançar em cerca de um mês
Consultas de Managed Threat Hunting da Unit 42
A equipe de Managed Threat Hunting da Unit 42 continua rastreando quaisquer sinais de uso indevido ou atividade anômala, usando o Cortex XDR e as consultas XQL abaixo. Clientes do Cortex XDR também podem usar estas consultas XQL para auxiliar em suas investigações ou caça de ameaças (hunting).
Como a maioria da atividade provavelmente ocorreu antes de 2 de dezembro, recomendamos revisar os limites de retenção de dados para determinar se estas consultas serão eficazes em seu ambiente. Se disponível em seu ambiente, você pode considerar o uso de consultas de "armazenamento frio" (cold_dataset = xdr_data) para consultar dados além dos limites de retenção a quente. Observe que a execução de consultas contra o armazenamento frio consumirá unidades de computação.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
// Name: DLL sideloading via BYO application // Description: Identifies renamed Bitdefender utility loading a log.dll file // MITRE TTP ID: T1574.001 config case_sensitive = false | dataset = xdr_data | fields actor_process_signature_vendor, actor_process_signature_product, action_module_path, actor_process_image_path, actor_process_image_sha256, agent_os_type, event_type, event_id, agent_hostname, _time, actor_process_image_name | filter event_type = ENUM.LOAD_IMAGE and agent_os_type = ENUM.AGENT_OS_WINDOWS | filter actor_process_signature_vendor contains "Bitdefender SRL" and action_module_path contains "log.dll" | filter actor_process_image_path not contains "Program Files\Bitdefender" | filter not actor_process_image_name in ("eps.rmm64.exe", "downloader.exe", "installer.exe", "epconsole.exe", "EPHost.exe", "epintegrationservice.exe", "EPPowerConsole.exe", "epprotectedservice.exe", "DiscoverySrv.exe", "epsecurityservice.exe", "EPSecurityService.exe", "epupdateservice.exe", "testinitsigs.exe", "EPHost.Integrity.exe", "WatchDog.exe", "ProductAgentService.exe", "EPLowPrivilegeWorker.exe", "Product.Configuration.Tool.exe", "eps.rmm.exe") |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
// Name: Chrysalis Mutex // Description: Identifies a Mutex known to be related to the chrysalis backdoor malware // MITRE TTP ID: T1480.002 config case_sensitive = false | dataset = xdr_data | fields _time, agent_hostname, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, event_type, event_sub_type, action_syscall_string_params | filter event_type = ENUM.SYSTEM_CALL and event_sub_type = ENUM.SYSTEM_CALL_NT_CREATE_MUTANT | alter mutex = json_extract_scalar(action_syscall_string_params, "$.1") | filter mutex = "Global\\Jdhfv_1.0.1" |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
// Name: GUP.exe Writing Unusual Files to Temp Folder // Description: Detects cases where the Notepad++ updater (gup.exe) writes files to a temp folder that that deviate from the normal and expected. // MITRE TTP ID: T1036.005 config case_sensitive = false | dataset = xdr_data | fields _time, agent_hostname, event_type, event_sub_type, action_file_name, action_file_path, actor_effective_username, action_file_extension, action_file_previous_file_path, action_file_sha256, action_file_size, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_image_sha256, causality_actor_process_image_name, causality_actor_process_image_path, os_actor_primary_username, os_actor_process_command_line, os_actor_process_image_name, os_actor_process_image_path, agent_os_type | filter event_type = ENUM.FILE and event_sub_type = ENUM.FILE_WRITE | filter lowercase(actor_process_image_name) = "gup.exe" and action_file_sha256 != null | filter lowercase(actor_process_command_line) !~= "((\\notepad\+\+(?:_?x?\d+?)??|\\nppp?[\.\d]*?(?:portable)??(?:\.x64)??).*?\\plugins|-ihttps:\/\/notepad-plus-plus\.org\/update\/getdownloadurl\.php)" and lowercase(action_file_path) ~= "(\\appdata\\local\\temp\\|\\windows\\temp)" and lowercase(action_file_name) !~= "(npp[\.\d]+?installer)" | sort desc _time |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
// Name: GUP.exe Downloading Improperly Signed Installer // MITRE TTP ID: T1036.001 config case_sensitive = false | dataset = xdr_data | fields _time, agent_hostname, event_type, event_sub_type, action_process_username, action_process_user_sid, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_os_pid, action_process_cwd, action_process_file_info, action_process_file_size, action_process_file_web_mark, action_process_signature_vendor, action_process_signature_product, action_process_signature_status, actor_effective_username, actor_effective_user_sid, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_signature_vendor, actor_process_signature_product, actor_process_signature_status, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_image_command_line, os_actor_process_image_sha256, action_process_instance_id, actor_process_instance_id, causality_actor_process_instance_id, agent_os_type, agent_id | filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START and _product = "XDR agent" and _vendor = "PANW" | filter lowercase(actor_process_image_name) = "gup.exe" and actor_process_signature_status not in (null, ENUM.UNSUPPORTED, ENUM.FAILED_TO_OBTAIN ) and action_process_signature_status not in (null, ENUM.UNSUPPORTED, ENUM.FAILED_TO_OBTAIN ) and action_process_image_sha256 not in ( "71431fa7b66f8132453e18e3a5f8ef0af3ca079a7793f828df06fdb5d7bd915d", "2dd5473736ef51e4340cae005e3fc8cdf0e42ec649bc6ed186484a79be409928", "a19aa1cd7ecb9ca3f1fd0e118fffd0d673fba404ced8c39c2e210a63b70f9c15", "e22abc9af328d063e652f0829819124a6a748c224bc8b10f98473f87cda2c0cd", "61c3077b989e272117167c90fc35e7f06bea4f992f3395b40ccee083d7258082", "49d2531893b09cb6a8e3429ca0a734e871a2d96fa2575c0eec3229d383fa233a", "32aa12d3c9521477a5a1e086e400ec0f77f8a97a8190806a0f1953688b883cfb", "8117c82a3821965d92ee3f9f3ae10efcd602bd4b6e52a2fe957d70aafe479744", "05abc57952974d08feafa399d6fdb37945a3fd0a10f37833dd837a5788e421d5", "c6d1e5aacbf69aa18df4caf1346fd69638491a5ad0085729bae91c662d1c62bb", "e1df78704001bba1a3d343f62a1242a4484ff6ad269170714263c03b802eb0b1", "7094a07167648628e47249a16d9d6db922e5aa1255ac4322a2e4900d233372dd" ) | filter lowercase(action_process_image_name) ~= "(npp[\.\d]+?installer)" | dedup agent_id by desc _time | filter action_process_signature_status != ENUM.SIGNED or lowercase(action_process_signature_vendor) != "notepad++" | sort desc _time |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
// Name: GUP.exe Spawning Unusual Subprocesses // Description: Detects cases where the Notepad++ updater (gup.exe) spawns child processes that deviate from the normal and expected. // MITRE TTP ID: T1202 config case_sensitive = false | dataset = xdr_data | fields _time, agent_hostname, event_type, event_sub_type, action_process_username, action_process_user_sid, action_process_image_name, action_process_image_path, action_process_image_command_line, action_process_image_sha256, action_process_os_pid, action_process_cwd, action_process_file_info, action_process_file_size, action_process_file_web_mark, action_process_signature_vendor, action_process_signature_product, action_process_signature_status, actor_effective_username, actor_effective_user_sid, actor_process_image_name, actor_process_image_path, actor_process_command_line, actor_process_signature_vendor, actor_process_signature_product, actor_process_signature_status, causality_actor_primary_username, causality_actor_process_image_name, causality_actor_process_image_path, causality_actor_process_command_line, os_actor_primary_username, os_actor_process_image_name, os_actor_process_image_path, os_actor_process_image_command_line, os_actor_process_image_sha256, action_process_instance_id, actor_process_instance_id, causality_actor_process_instance_id, agent_os_type, agent_id | filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START | filter lowercase(actor_process_image_name) = "gup.exe" | filter lowercase(action_process_image_name) !~= "(npp[\.\d]+?installer|consent\.exe|explorer\.exe|werfault\.exe|smartscreen\.exe|adminbyrequest\.exe|openwith\.exe)" and lowercase(action_process_image_command_line) !~= "(https:\/\/notepad-plus-plus\.org\/|https:\/\/npp-user-manual\.org\/)" and lowercase(actor_process_command_line) !~= "(\\notepad\+\+\\plugins|https:\/\/notepad-plus-plus\.org\/)" | sort desc _time |
Conclusão
Esta campanha marca uma evolução notável no tradecraft operacional de atores de ameaças deste tipo, representando um pivô do pré-posicionamento amplo de infraestrutura para uma interdição de cadeia de suprimentos "suave" e altamente direcionada. Campanhas recentes de grupos como Volt Typhoon e Salt Typhoon concentraram-se principalmente em comprometer backbone de infraestruturas críticas e dispositivos de borda, baseando-se em técnicas de living-off-the-land e malware mínimo. Esta operação, em vez disso, ilumina uma prioridade estratégica distinta de focar em detentores de chaves administrativas.
Sequestrar o fluxo de tráfego de um utilitário confiável em vez de injetar código no pipeline de construção do software permitiu que os atores de ameaças armassem seu mecanismo de entrega sem alertar o fornecedor. Esta capacidade de adversary-in-the-middle (AitM) permitiu a identificação dinâmica (fingerprinting) de solicitações de atualização recebidas, possibilitando uma filtragem altamente seletiva de alvos prioritários.
Esta campanha não está focada em interrupção, mas em inteligência valiosa de longo prazo. Isso é ilustrado pela combinação da vitimologia seletiva do ator de ameaça — focada em administradores de sistemas e desenvolvedores em muitas regiões geopoliticamente estratégicas — e sua escolha de usar um backdoor leve e de baixo perfil.
A Palo Alto Networks compartilhou nossas descobertas com nossos colegas membros da Cyber Threat Alliance (CTA). Os membros da CTA usam esta inteligência para implantar proteções rapidamente para seus clientes e para interromper sistematicamente atores cibernéticos maliciosos. Saiba mais sobre a Cyber Threat Alliance.
Os clientes da Palo Alto Networks estão melhor protegidos por nossos produtos, conforme listado abaixo. Atualizaremos este threat brief à medida que mais informações relevantes estiverem disponíveis.
Proteções de Produtos Palo Alto Networks
Os clientes da Palo Alto Networks podem aproveitar uma variedade de proteções e atualizações de produtos para identificar e se defender contra esta ameaça.
Se você acredita que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a equipe de Resposta a Incidentes da Unit 42 ou ligue:
- América do Norte: Ligação Gratuita: +1 (866) 486-4842 (866.4.UNIT42)
- Reino Unido: +44.20.3743.3660
- Europa e Oriente Médio: +31.20.299.3130
- Ásia: +65.6983.8730
- Japão: +81.50.1790.0200
- Austrália: +61.2.4062.7950
- Índia: 000 800 050 45107
- Coreia do Sul: +82.080.467.8774
Advanced WildFire
Os modelos de machine learning e técnicas de análise do Advanced WildFire foram revisados e atualizados à luz dos indicadores compartilhados nesta pesquisa.
Next-Generation Firewalls com Advanced Threat Prevention
O Next-Generation Firewall com Advanced Threat Prevention é projetado para defender redes contra ameaças comuns e ameaças direcionadas.
Serviços de Segurança Entregues na Nuvem para o Next-Generation Firewall
O Advanced URL Filtering e o Advanced DNS Security identificam URLs e domínios conhecidos associados a esta atividade como maliciosos.
Cortex XDR e XSIAM
O Cortex XDR e o XSIAM ajudam a prevenir as ameaças descritas neste artigo empregando o Malware Prevention Engine. Esta abordagem combina várias camadas de proteção, incluindo Advanced WildFire, Behavioral Threat Protection e o módulo Local Analysis, para evitar que malwares conhecidos e desconhecidos causem danos aos endpoints.
Cortex Cloud
As organizações que usam o Cortex Cloud, como aquelas no setor de hospedagem em nuvem que foram ativamente visadas durante esta campanha, estão melhor protegidas contra o download e execução do malware mencionado neste artigo através do posicionamento adequado do agente de endpoint XDR do Cortex Cloud e agentes serverless em um ambiente de nuvem.
Projetado para proteger a postura de uma nuvem e as operações de runtime contra estas ameaças, o Cortex Cloud ajuda a detectar e prevenir as operações maliciosas ou alterações de configuração e explorações discutidas neste artigo.
Indicadores de Comprometimento
- 1f6d28370f4c2b13f3967b38f67f77eee7f5fba9e7743b6c66a8feb18ae8f33e
- a3cf1c86731703043b3614e085b9c8c224d4125370f420ad031ad63c14d6c3ec
- a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9
- skycloudcenter[.]com
- self-dns[.]it[.]com
- safe-dns[.]it[.]com
- cdncheck[.]it[.]com
- 95[.]179[.]213[.]0
- 45[.]76[.]155[.]202
- 45[.]77[.]31[.]210
- 61[.]4[.]102[.]97
- 59[.]110[.]7[.]32
- 95[.]179[.]213[.]0/update/AutoUpdater.exe
- 95[.]179[.]213[.]0/update/Upgrade.exe
- 45[.]32[.]144[.]255/update/update.exe
- 45[.]76[.]155[.]202/update/update.exe
- 59[.]110[.]7[.]32/dpixel
- self-dns[.]it[.]com/help/Get-Start
- self-dns[.]it[.]com/resolve
- self-dns[.]it[.]com/dns-query
- safe-dns[.]it[.]com/help/Get-Start
- safe-dns[.]it[.]com/resolve
- safe-dns[.]it[.]com/dns-query
Receba atualizações da Unit 42 