Lotus Blossom

Um grupo de hackers vinculado à China, conhecido como Lotus Blossom, foi associado com confiança média ao recente comprometimento da infraestrutura que hospeda o Notepad++. A invasão permitiu que o grupo, patrocinado pelo estado, entregasse um backdoor inédito, codinome Chrysalis, aos usuários do editor de código aberto. Segundo a Rapid7, a falha ocorreu devido a um comprometimento no nível do provedor de hospedagem, que permitiu que os atacantes sequestrassem o tráfego de atualização a partir de junho de 2025, redirecionando solicitações de certos usuários para servidores maliciosos. A vulnerabilidade foi corrigida em dezembro de 2025 com o lançamento da versão 8.8.9 do Notepad++. A análise da Rapid7 não encontrou evidências de que o mecanismo de atualização foi explorado para distribuir malware, mas um processo suspeito foi identificado, que baixou um instalador malicioso. O Chrysalis é um implante sofisticado que coleta informações do sistema e se comunica com um servidor externo para receber comandos adicionais. O grupo Lotus Blossom demonstrou uma evolução em suas técnicas, utilizando ferramentas personalizadas e frameworks conhecidos como Metasploit e Cobalt Strike, o que indica uma adaptação contínua para evitar detecções.