Notepad++ fue hackeado durante meses y se sospecha del grupo Lotus Blossom, vinculado a intereses chinos

El popular editor de código abierto Notepad++ fue utilizado durante meses como vector de distribución de malware en una campaña de ciberespionaje altamente selectiva que, según múltiples análisis, estaría vinculada a agentes del gobierno chino. Así lo ha confirmado su desarrollador principal, Don Ho, en una entrada publicada esta semana en el blog oficial del proyecto.

El desarrollador del editor, Don Ho, sostiene que el patrón del ataque encaja con operaciones asociadas a intereses estatales chinos, entre otras cosas por el tipo de selección de víctimas y por el modo en que se mantuvo la campaña con discreción. No se trató de infectar a “todo el mundo”, sino de interceptar a unos pocos en el momento exacto, cuando el software miraba al exterior para comprobar si había una versión nueva.

La firma de ciberseguridad Rapid7, que investigó el incidente, atribuye la operación a Lotus Blossom, un grupo de espionaje activo desde hace años y vinculado a intereses estatales chinos. Según la investigación, los objetivos incluían organizaciones de los sectores gubernamental, telecomunicaciones, aviación, infraestructuras críticas y medios de comunicación.

Según la reconstrucción publicada por el proyecto y los informes técnicos difundidos por varias firmas de seguridad, los atacantes no “reescribieron” el código fuente de Notepad++ ni convirtieron el ejecutable principal en un caballo de Troya universal. El golpe se dio en la ruta, en el tramo más frágil de muchos proyectos veteranos: el alojamiento y el mecanismo de actualización.

Ho reconoce que el mecanismo técnico exacto de la intrusión sigue bajo investigación, aunque sí ha detallado parte del proceso. El sitio web de Notepad++ estaba alojado en un servidor compartido, y los atacantes se centraron específicamente en su dominio para explotar una vulnerabilidad que permitía redirigir a ciertos usuarios a un servidor malicioso. Desde ahí se entregaban las falsas actualizaciones hasta que el fallo fue corregido en noviembre y el acceso de los atacantes bloqueado a principios de diciembre. Según los registros, se intentó reexplotar la vulnerabilidad tras el parche, sin éxito.

El investigador de seguridad Kevin Beaumont, que detectó inicialmente la intrusión y publicó sus hallazgos en diciembre, señaló que los atacantes lograron comprometer a varias organizaciones con intereses en Asia Oriental después de que alguno de sus empleados utilizara una versión contaminada del programa. En esos casos, los atacantes obtuvieron acceso directo a los equipos afectados.

Qué deben hacer usuarios y organizaciones

El proyecto pide a los usuarios actualizar a la versión más reciente y extremar la prudencia con las rutas de descarga, además de revisar señales de comportamiento anómalo relacionadas con el proceso de actualización. Diversos análisis señalan que, tras el incidente, Notepad++ reforzó comprobaciones de verificación y endureció su cadena de actualización, precisamente para que el “camino” sea tan resistente como el destino.

Sigue el canal de MeriStation en Twitter. Tu web de videojuegos y de entretenimiento, para conocer todas las noticias, novedades y última hora sobre el mundo del videojuego, cine, series, manga y anime. Avances, análisis, entrevistas, tráileres, gameplays, podcasts y mucho más.

Esta noticia ha sido potenciada con IA

¡Suscríbete! Si estás interesado en licenciar este contenido, pincha aquí.