Íntegra

Pesquisadores de segurança da empresa Rapid7 identificaram o grupo hacker responsável pelo ataque ao editor de códigos Notepad++, embora os cibercriminosos não tenham assumido a autoria do incidente. Os atores maliciosos seriam do Lotus Blossom (ou Lotus Panda/Billbug), ligado ao governo chinês, e teriam mirado em alvos de alto valor com uma nova backdoor chamada Chrysalis.

Na última segunda-feira (2), a companhia de ciberseg começou a comentar sobre identificação da iniciativa, que roubou o sistema de atualização do Notepad++ para entregar downloads maliciosos disfarçados. O grupo Lots Blossom costuma atacar organizações no sudeste asiático e, mais recentemente, América Central com ciberespionagem, especialmente em setores governamentais, telecomunicações, aviação, infraestrutura e mídia.

Don Ho, um dos desenvolvedores responsáveis pelo aplicativo, comentou não poder dar certezas sobre a origem do ataque, mas confia na análise da Rapid7. Não é sabido como os hackers tiveram acesso inicial à infraestrutura da ferramenta, mas ela foi explorada com trojans através do instalador NSIS, um formato comumente usado por grupos maliciosos chineses.

O arquivo executável em questão é chamado BluetoothService.exe, renomeado como um Instalador Bitdefender para carregamento lateral de DLL, outra técnica comum na China.

O código shellcode da backdoor Chrysalis, entregue no ataque, tem diversas capacidades e garante acesso permanente, mais sofisticado do que um vírus descartável. Não há, ainda, um número de vítimas confirmado, mas há vários indicadores possíveis de infecção publicados pela equipe da Rapid7 em seu site oficial.

O trabalho dos pesquisadores apontou diversas similaridades entre ataques anteriores e o incidente do Notepad++, se baseando em estudos anteriores da Symantec: não há certeza absoluta sobre os responsáveis. O uso de cadeias de execução conf.c e chaves públicas da Cobalt Strike dão uma confiança moderada nas conclusões da Rapid7, segundo os próprios.