Un nouveau rapport publié par Kaspersky met en évidence trois chaînes d’infection différentes où les pirates sont parvenus à abuser du système de mises à jour de Notepad++. Voici ce que l’on sait sur ces attaques concrètes réalisées au niveau de la chaine d’approvisionnement.
Cet article fait suite à celui-ci : Notepad++ : les mises à jour détournées par des pirates pendant 6 mois
Le rapport publié par les chercheurs en sécurité de Kaspersky contient des éléments très intéressants sur la façon dont les pirates ont pu détourner le mécanisme de mises à jour de Notepad++ pour délivrer des payloads (composants malveillants). Tout d’abord, on comprend que les pirates ont fait de nombreux efforts pour rester discrets, notamment en faisant évoluer régulièrement leur infrastructure.
Georgy Kucherin et Anton Kargin, chercheurs en sécurité chez Kaspersky, expliquent : “Au cours de quatre mois, de juillet à octobre 2025, les attaquants qui ont compromis Notepad++ ont constamment alterné les adresses de serveurs C2 utilisées pour distribuer les mises à jour malveillantes, les téléchargeurs utilisés pour la livraison des implants, ainsi que les charges utiles finales.” – Tout en détournant à chaque fois le processus de mises à jour légitime de Notepad++ : WinGUp.
Les chercheurs sont parvenus à identifier une douzaine de victimes ciblées par ces attaques, notamment :
Des particuliers situés au Vietnam, au Salvador et en Australie,
Une organisation gouvernementale située aux Philippines,
Une organisation financière située au Salvador,
Un prestataire de services informatiques situé au Vietnam.
À chaque fois, une connexion à un serveur externe a été suivie par l’exécution d’un fichier douteux : update.exe. Il s’agit d’un installeur NSIS (Nullsoft Scriptable Install System) qui contient plusieurs fichiers, dont une bibliothèque malveillante (log.dll). Les chercheurs de chez Kaspersky vous recommandent d’ailleurs de vérifier la présence du fichier %localappdata%\Temp\ns.tmp sur votre machine, et s’il existe, contrôlez son contenu. Un autre signe : des communications vers l’adresse temp[.]sh utilisée par les pirates.
La chaine d’infection quant à elle a évolué au fil du temps en trois phases :
Chaîne d’infection n°1 (de fin juillet à début août 2025) : l’exécutable malveillant établissait une connexion vers l’IP 45.76.155[.]202, et cette méthode utilisait la technique du DLL side-loading. L’installateur abusait d’un binaire légitime du logiciel ProShow pour exécuter deux shellcodes. Le premier servait de leurre, tandis que le second déchiffrait un téléchargeur Metasploit pour récupérer au final une balise Cobalt Strike.
Chaîne d’infection n°2 (mi-septembre à fin septembre 2025) : toujours via la même adresse IP, les attaquants ont modifié l’installateur NSIS pour exfiltrer davantage de données (dont les résultats des commandes whoami, tasklist, et netstat). Ici, la différence réside dans l’utilisation d’un script Lua conçu pour exécuter le shellcode Metasploit. Des variantes ont ensuite modifié les URL d’exfiltration vers self-dns.it[.]com/list.
Chaîne d’infection n°3 (octobre 2025) : ici, l’URL de distribution a été changée, pour pointer vers un autre serveur : 45.32.144[.]255. À partir de la mi-octobre, une combinaison des précédentes chaînes d’infection a été observée via de nouvelles URL (95.179.213[.]0), mélangeant les techniques pour brouiller les pistes. Puis, en novembre : plus rien.
Source : Kaspersky
“Les attaquants ont fait un effort pour éviter de perdre l’accès à ce vecteur d’infection — ils diffusaient les implants malveillants de manière ciblée, et ils étaient assez compétents pour changer radicalement les chaînes d’infection environ une fois par mois.”, précisent les chercheurs de Kaspersky.
Le rapport de Kaspersky mentionne de nombreux indicateurs de compromission, y compris les adresses IP malveillantes associées à cette campagne d’attaques.
Des attaques orchestrées par Lotus Blossom ?
D’après des informations relayées par The Hacker News, un groupe de pirates chinois connu sous le nom de Lotus Blossom serait à l’origine de ces attaques. Même s’il y a tout de même des doutes (degré de confiance moyen en cette information), ce groupe soutenu par la Chine serait à l’origine de la compromission de l’hébergement de Notepad++.
“Actif depuis 2009, ce groupe est connu pour ses campagnes d’espionnage ciblées qui touchent principalement des organisations en Asie du Sud-Est et, plus récemment, en Amérique centrale, en se concentrant sur les secteurs gouvernementaux, des télécommunications, de l’aviation, des infrastructures critiques et des médias.”, précise un rapport de Rapid7 au sujet de cette attaque. Cela semble cohérent vis-à-vis des victimes identifiées par Kaspersky.
Une porte dérobée surnommée Chrysalis par les chercheurs de Rapid7, et inconnue jusqu’ici, aurait été déployée sur les machines ciblées par ces attaques.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.