Hace poco se confirmó lo que muchos temían: un editor de texto muy popular entre desarrolladores y usuarios avanzados fue usado como vector para introducir malware en máquinas objetivo. El culpable no fue una vulnerabilidad del propio Notepad++, sino una intrusión a nivel del proveedor que alojaba sus actualizaciones, que permitió a un actor vinculado a China redirigir tráfico selectivo y suministrar una actualización manipulada a determinados usuarios.
La firma de respuesta a incidentes Rapid7 publicó un análisis detallado en el que documenta cómo el atacante aprovechó esa ventana de oportunidad para entregar un backdoor hasta entonces desconocido, bautizado como Chrysalis. El informe reúne pruebas técnicas sobre la muestra, su cadena de ejecución y las técnicas usadas para ejecutarla y persistir en sistemas comprometidos. Puedes leer el informe completo de Rapid7 aquí: Rapid7 — TR: Chrysalis backdoor.
Según la investigación, la secuencia observada empezó con la ejecución legítima de Notepad++ y su actualizador (GUP.exe). A continuación se descargó y lanzó un instalador llamado update.exe desde una IP controlada por los atacantes. Ese instalador es un paquete NSIS que incluye varios componentes: un ejecutable renombrado que sirve para realizar DLL side-loading, una DLL maliciosa encargada de descifrar y ejecutar shellcode, y el propio payload ofuscado, Chrysalis.
La técnica de DLL side-loading no es nueva y ha sido recurrida con frecuencia por grupos con apoyo estatal. Consiste en aprovechar la forma en que una aplicación legítima carga bibliotecas dinámicas para forzar la carga de una DLL maliciosa con el mismo nombre que una dependencia esperada. Rapid7 señala que en este caso se reutilizaron binarios legítimos de proveedores de seguridad como parte del engaño, una táctica que también aparecía en campañas documentadas anteriormente por Broadcom/Symantec contra el mismo actor conocido por varios alias, entre ellos Lotus Blossom o Billbug.
Chrysalis, por su parte, es un implante sofisticado: recopila información del sistema y contacta a un servidor de mando y control (C2) para recibir instrucciones adicionales. Aunque el C2 documentado en el análisis ya no responde, el código del backdoor revela capacidades para abrir una shell interactiva, crear procesos, manejar archivos, subir y descargar datos, y hasta desinstalarse. Rapid7 también encontró en el paquete componentes diseñados para cargar una carga útil de Cobalt Strike mediante un cargador personalizado que incorpora el conocido Metasploit block API, cuyo repositorio está disponible públicamente: Metasploit — block_api.asm.
Otro hallazgo relevante es la utilización de técnicas de ofuscación y protección no documentadas, como el abuso de una herramienta interna de Microsoft llamada Warbird para la ejecución de shellcode en modo kernel, adaptada desde una prueba de concepto publicada por investigadores alemanes. El trabajo de Cirosec que describe ese abuso puede consultarse aquí: Cirosec — Abusing Microsoft Warbird, y un análisis adicional sobre Warbird aparece en este artículo técnico: Websec — Microsoft Warbird deep dive.
La atribución que propone Rapid7 vincula este conjunto de herramientas y tácticas al actor conocido como Lotus Blossom, basándose en similitudes con campañas anteriores: la reutilización de ejecutables legítimos para el sideloading de DLLs, el patrón de cargas útiles customizadas junto a frameworks comerciales como Cobalt Strike, y la rápida adopción de técnicas públicas por parte del atacante. Broadcom/Symantec ya había documentado actividades de este actor en abril de 2025, lo que encaja con la evolución mostrada ahora.
Desde la perspectiva de la comunidad de Notepad++, el mantenedor Don Ho señaló que la intrusión se produjo a nivel del hosting y permitió redirecciones selectivas del tráfico de actualización desde junio de 2025; la organización parcheó la debilidad y publicó una versión segura en diciembre de 2025. El equipo migró a un nuevo proveedor de alojamiento y rotó credenciales, medidas que son el primer paso lógico tras descubrir una intrusión en la cadena de suministro. Puedes consultar la página de releases del proyecto Notepad++ para verificar versiones y notas oficiales: Notepad++ — Releases.
Es importante subrayar que, según Rapid7, no hay evidencia de que el mecanismo del actualizador se usara de forma masiva para distribuir malware a toda la base de usuarios; el actor realizaba redirecciones selectivas y la confirmación técnica de la infección se limita a sistemas concretos donde se observaron las ejecuciones anómalas. Aun así, una campaña dirigida hacia usuarios específicos de una aplicación tan difundida ilustra el peligro de los ataques a la cadena de suministro, donde la confianza en la integridad de las actualizaciones puede convertirse en un vector de compromiso.
La noticia ha generado cobertura en medios especializados que han seguido los detalles técnicos y el impacto sobre usuarios: entre otros, BleepingComputer publicó un resumen accesible de lo sucedido y las recomendaciones para los afectados. Puedes leer más en: BleepingComputer — Notepad++ users targeted.
¿Qué lecciones prácticas deja este incidente? Primero, la importancia de verificar la autenticidad de las actualizaciones y de preferir mecanismos de firma y validación criptográfica robustos. Segundo, la urgencia de asegurar no sólo el software, sino toda la cadena de distribución: proveedores de hosting, repositorios y procesos de publicación deben ser tratados como parte del perímetro de seguridad. Y tercero, que los atacantes continúan mezclando herramientas propias con marcos comerciales conocidos y con investigación pública, lo que acelera su capacidad para evadir detecciones convencionales.
Si eres usuario de Notepad++ o de cualquier aplicación crítica, conviene comprobar que estás en la versión más reciente publicada después de la mitigación, reinstalar desde fuentes oficiales y, cuando sea posible, habilitar la validación de firmas o sumas de comprobación ofrecidas por los desarrolladores. Para equipos corporativos, la recomendación es revisar registros, buscar indicios de ejecutables no esperados (como actualizaciones descargadas desde IPs extrañas) y, de ser necesario, reconstruir sistemas comprometidos a partir de imágenes limpias.
Este episodio vuelve a poner en primer plano una realidad inquietante: proteger software popular exige mirar más allá del código y asegurar cada eslabón de la cadena de distribución. Mientras los grupos con recursos siguen sofisticando su arsenal, la mejor defensa es una combinación de controles técnicos, procesos rigurosos y vigilancia constante.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...