TL;DR : L’essentiel
- De juin au 2 décembre 2025, les attaquants ont compromis les serveurs d’hébergement officiels de Notepad++ pour rediriger sélectivement les mises à jour vers leurs infrastructures malveillantes.
- L’infection de Notepad++ repose sur un faux installateur « update.exe » qui exploite un exécutable Bitdefender légitime pour charger une DLL malveillante et exécuter la charge utile.
- Le malware Chrysalis, injecté via Notepad++, utilise le framework d’obfuscation Microsoft Warbird pour se dissimuler, exfiltrant des données et exécutant des commandes arbitraires à distance.
- Ciblant principalement les secteurs gouvernementaux et télécoms en Asie-Pacifique et Amérique du Sud, cette campagne sophistiquée contre les utilisateurs de Notepad++ mêle outils sur mesure et frameworks commerciaux.
Une compromission silencieuse de l’écosystème logiciel a permis à un acteur étatique de transformer Notepad++, cet outil open-source populaire, en vecteur d’espionnage ciblé durant six mois. Plutôt que de s’attaquer au code source de l’application, les pirates ont visé l’infrastructure d’hébergement pour intercepter les requêtes de mise à jour légitimes.
L’infrastructure de Notepad++ détournée au niveau de l’hébergeur
L’attaque ne résulte pas d’une vulnérabilité directe dans le code de l’application Notepad++, mais d’une prise de contrôle des serveurs du fournisseur d’hébergement mutualisé. Selon les investigations techniques relayées par The Hacker News, les assaillants ont exploité cet accès privilégié pour intercepter le trafic généré par le processus de mise à jour « GUP.exe » de l’éditeur. Cette position stratégique leur a permis de rediriger spécifiquement certaines requêtes vers des adresses IP malveillantes, livrant une version altérée du logiciel uniquement aux cibles présentant un intérêt pour le groupe Lotus Blossom.
Ce mécanisme de redirection sélective a rendu la détection du piratage de Notepad++ particulièrement complexe. Les attaquants, disposant des identifiants des services internes, ont pu maintenir leur emprise sur le flux de distribution bien après la maintenance serveur initiale de septembre. Comme le précise Wired, cette intrusion a conduit à des incidents de sécurité majeurs où des opérateurs menaçants ont pris le contrôle total des systèmes à distance au sein de trois organisations ayant des intérêts en Asie de l’Est, contournant les vérifications de certificats insuffisantes des anciennes versions de Notepad++.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Chrysalis : Une sophistication technique dissimulée
La charge utile délivrée aux utilisateurs de Notepad++, un backdoor inédit nommé Chrysalis, illustre une montée en gamme des capacités techniques du groupe Lotus Blossom. L’implant utilise des techniques avancées de « DLL side-loading », abusant notamment d’un exécutable légitime, l’assistant de soumission Bitdefender renommé « BluetoothService.exe », pour charger le code malveillant. Les experts cités par Security Affairs soulignent l’utilisation du framework de protection de code non documenté Microsoft Warbird, ainsi que des appels système obscurs, démontrant une volonté claire d’échapper aux solutions de détection modernes tout en intégrant des outils standards comme Cobalt Strike.
Une persistance neutralisée par la migration
La réponse à cet incident critique a nécessité une refonte complète de l’architecture de distribution de Notepad++. Le maintien de l’accès pirate jusqu’au 2 décembre 2025 a forcé l’équipe de développement à migrer vers un nouveau fournisseur d’hébergement appliquant des protocoles de sécurité renforcés et une rotation complète des identifiants. Dans un communiqué officiel, le site de Notepad++ confirme que les vulnérabilités exploitées ont été corrigées et que les futures versions du logiciel, à partir de la 8.9.2, imposeront une vérification stricte de la signature XMLDSig pour prévenir toute nouvelle tentative de détournement de flux.
Notepad++ piraté par des hackers parrainés par un État | Notepad++
Suite à la divulgation de la faille de sécurité publiée dans l'annonce de la version 8.8.9, l'enquête s'est poursuivie en collaboration avec des experts externes et avec la pleine participation de mon (désormais ancien) fournisseur d'hébergement mutualisé.
FAQ : Comprendre les mécanismes de l’attaque
Qu’est-ce qu’une DLL malveillante ?
Une DLL (Dynamic Link Library) est une « boîte à outils » de code partagée par plusieurs logiciels. Dans cette attaque, les pirates ont remplacé une DLL légitime par une version piégée. Lorsque Notepad++ l’appelle pour fonctionner, il active le virus à son insu, comme s’il ouvrait une porte à un cambrioleur déguisé en réparateur.
Qu’est-ce que le DLL side-loading ?
C’est une technique de piratage qui abuse de la confiance de Windows. Les attaquants déposent un fichier DLL piégé juste à côté d’une application légitime (ici, Bitdefender). Au lancement, l’application se trompe et charge le fichier pirate situé à proximité au lieu du fichier officiel système, permettant au virus de s’exécuter sous une couverture respectable.
À quoi sert un framework d’obfuscation ?
C’est une trousse à outils utilisée pour camoufler le code informatique du virus. L’obfuscation mélange et complexifie les instructions pour rendre le logiciel malveillant illisible aux yeux des analystes de sécurité et invisible pour la plupart des antivirus classiques.
Qu’appelle-t-on une « charge utile » ?
Aussi appelée « payload », c’est la partie active du virus qui réalise l’objectif final de l’attaque. Une fois le logiciel infiltré, la charge utile se déploie pour exécuter la mission réelle : voler des données, prendre le contrôle de la machine ou installer des espions.
Qu’est-ce qu’une backdoor ?
Une « porte dérobée » est un accès secret et permanent installé par les pirates sur l’ordinateur infecté. Elle leur permet de se reconnecter discrètement au système à tout moment pour espionner ou lancer de nouvelles commandes, contournant les systèmes d’authentification normaux.
Pourquoi la signature XMLDSig est-elle cruciale ?
XMLDSig (XML Digital Signature) est un sceau numérique inviolable. Sa « vérification stricte » garantit mathématiquement deux choses : que le fichier de mise à jour provient bien de l’éditeur officiel de Notepad++ et qu’il n’a pas été modifié d’un seul octet par un pirate en cours de route. Si le sceau est brisé, la mise à jour est rejetée.
Cette veille vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
