Pesquisadores de segurança da Rapid7 identificaram o grupo hacker responsável pelo ataque ao editor de códigos Notepad++, que ocorreu no dia 2 de outubro. Embora os cibercriminosos não tenham assumido a autoria do incidente, a análise aponta para o Lotus Blossom (também conhecido como Lotus Panda ou Billbug), um grupo ligado ao governo chinês.
Detalhes do ataque
O ataque teve como alvo a infraestrutura do Notepad++, visando roubar o sistema de atualização para entregar downloads maliciosos disfarçados. A nova backdoor chamada Chrysalis foi utilizada, permitindo acesso permanente e sofisticado aos sistemas atacados. Os hackers exploraram a vulnerabilidade através do instalador NSIS, um formato frequentemente utilizado por grupos maliciosos chineses.
Impacto e setores afetados
O grupo Lotus Blossom é conhecido por realizar ciberespionagem em setores de alto valor, como governos, telecomunicações, aviação, infraestrutura e mídia, principalmente na Ásia e América Central. Apesar da gravidade do ataque, não há um número confirmado de vítimas até o momento.
Reações e análises
Don Ho, um dos desenvolvedores do Notepad++, comentou que não pode garantir a origem do ataque, mas confia na análise da Rapid7. O arquivo executável envolvido no ataque é o BluetoothService.exe, que foi renomeado como um instalador do Bitdefender para facilitar a carga lateral de DLL, uma técnica comum utilizada por hackers chineses.
Opinião
A equipe da Rapid7 publicou indicadores de possíveis infecções e destacou similaridades com ataques anteriores, mas ainda não há certeza absoluta sobre os responsáveis. O uso de cadeias de execução e chaves públicas da Cobalt Strike contribui para uma confiança moderada nas conclusões apresentadas.
Opinião
O ataque ao Notepad++ evidencia a crescente ameaça da ciberespionagem e a necessidade de proteção robusta em setores críticos.
