Selon doublepulsar.com (billet de Kevin Beaumont, 2 déc. 2025), de petites quantités d’incidents ont été observées dans des organisations utilisant Notepad++, où des processus Notepad++/GUP semblent avoir servi de point d’entrée, menant à des activités « hands-on-keyboard » ciblées.

Le billet décrit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour récupérer un gup.xml indiquant l’URL de téléchargement, enregistre l’installateur dans %TEMP% puis l’exécute. La vulnérabilité potentielle réside dans la possibilité de redirection/altération de l’URL dans si le trafic est intercepté (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antérieures utilisaient une racine auto-signée (disponible sur GitHub), avant un retour à GlobalSign en 8.8.7, rendant la vérification de l’intégrité insuffisamment robuste dans certains cas.

Le billet indique qu’en Notepad++ 8.8.8, les téléchargements sont forcés depuis github.com, rendant une interception discrète bien plus difficile. Les incidents rapportés (petit nombre d’organisations, intérêts en Asie de l’Est) seraient récents (≈ deux mois), avec reconnaissance interactive par des acteurs humains.

Indicateurs et comportements à surveiller (IOCs/TTPs) :

  • Réseau: activité de gup.exe vers des domaines autres que: notepad-plus-plus.org, github.com, release-assets.githubusercontent.com.
  • Processus: gup.exe ne devrait lancer que explorer.exe et des installateurs Notepad++ thématiques signés (8.8.7/8.8.8, GlobalSign). Surveiller des sous-processus inhabituels.
  • Fichiers/chemins: présence dans %TEMP% de fichiers update.exe ou AutoUpdater.exe écrits/exécutés par gup.exe; exécution d’AutoUpdater.exe avec l’argument /closeRunningNpp (nom non utilisé par le Notepad++ légitime).
  • Outils réseau: usage de curl.exe (Windows 10+) appelant temp.sh pour des activités de reconnaissance.

Contexte additionnel: le billet note la présence d’annonces de moteurs de recherche menant à des versions cheval de Troie de Notepad++, et rappelle que des « vulnérabilités » relayées récemment étaient fausses ou trompeuses (ex. sideloading non pertinent), tandis que le support des extensions tierces élargit la surface d’attaque. L’article a pour but d’alerter et de sensibiliser sur une situation évolutive et ciblée, avec une correction en 8.8.8 et des IOCs/TTPs à surveiller.

🧠 TTPs et IOCs détectés

TTP

[‘T1203: Exploitation for Client Execution’, ‘T1071: Application Layer Protocol’, ‘T1105: Ingress Tool Transfer’, ‘T1059: Command and Scripting Interpreter’, ‘T1566: Phishing’, ‘T1078: Valid Accounts’, ‘T1027: Obfuscated Files or Information’, ‘T1218: Signed Binary Proxy Execution’]

IOC

{‘domains’: [’notepad-plus-plus.org’, ‘github.com’, ‘release-assets.githubusercontent.com’], ‘processes’: [‘gup.exe’, ‘AutoUpdater.exe’, ‘curl.exe’], ‘files’: [’%TEMP%\update.exe’, ‘%TEMP%\AutoUpdater.exe’], ’network_activity’: [‘gup.exe contacting domains other than notepad-plus-plus.org, github.com, release-assets.githubusercontent.com’]}

🔗 Source originale : https://doublepulsar.com/small-numbers-of-notepad-users-reporting-security-woes-371d7a3fd2d9