🔍 Contexte

Document publié le 02/04/2026 sur le site officiel de Notepad++ (notepad-plus-plus.org), émanant de l’ancien fournisseur d’hébergement. Ce document partage des indicateurs de compromission (IOCs) observés dans l’environnement d’hébergement lors de l’incident impliquant une mise à jour malveillante de Notepad++. L’hébergeur précise ne pas avoir hébergé la mise à jour malveillante elle-même et ne pas avoir de visibilité sur la chaîne d’attaque complète ni sur l’impact pour les utilisateurs finaux.

🌐 Infrastructure attaquante observée

Onze adresses IP associées à l’activité de l’acteur malveillant ont été identifiées :

  • 10 adresses IPv4 : 212.30.60.8, 94.190.195.237, 146.70.113.105, 194.114.136.211, 8.216.128.215, 116.251.216.119, 217.69.5.44, 188.166.199.140, 61.4.102.97, 172.233.246.7
  • 1 adresse IPv6 : 2001:19f0:6801:950:5400:5ff:feb2

L’hébergeur précise que ces IPs ne constituent pas des indicateurs définitifs de compromission des utilisateurs finaux et peuvent changer fréquemment.

🕵️ Techniques observées

L’attaquant a créé un tunnel PHP sur l’hébergement partagé, utilisé pour communiquer avec des User-Agent strings spécifiques imitant Firefox et Chrome. Quatre fichiers PHP malveillants ont été déposés sur l’hébergement partagé, dont un outil de tunneling (suo5.php) référençant l’outil open source suo5.

📁 Fichiers malveillants identifiés (SHA-256)

  • .in.compat1.php : 02368c6b62cb392dddd35cfc6cb8c1154f7ebdceb9fb559cefc301982d6fbbf9
  • index1.php : 0dcd846cdfdc793fab39a3c9860e0f6ab68cdbdcf4b03a87e8a02df0d3e1249f
  • index.php : 5dd766a7a378c97eb8c9fe9a4bff678e3c9a05386911f4296e094407b99c23d2
  • suo5.php : 6a7a8aa91109c25d57fe2ca71c150ca09afc1bf10c98376adf959dbc91010394

🌏 Contexte géographique

Les accès aux comptes d’hébergement partagé contrôlés par l’attaquant ont été observés depuis Taiwan, Vietnam, Singapour, Hong Kong, Japon et Chine, via ProtonVPN, avec des adresses IP sources différentes selon les sessions.

📌 Nature du document

Il s’agit d’une publication d’IOCs à usage défensif, produite dans le cadre d’un rapport d’incident partiel. Le document est destiné à soutenir les opérations de réponse à incident et les mesures de sécurité défensive liées à l’incident Notepad++.

🧠 TTPs et IOCs détectés

TTP

  • T1195.002 — Compromise Software Supply Chain (Initial Access)
  • T1505.001 — Server Software Component: SQL Stored Procedures (Persistence)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)

IOC

  • IPv4 : 212.30.60.8
  • IPv4 : 94.190.195.237
  • IPv4 : 146.70.113.105
  • IPv4 : 194.114.136.211
  • IPv4 : 8.216.128.215
  • IPv4 : 116.251.216.119
  • IPv4 : 217.69.5.44
  • IPv4 : 188.166.199.140
  • IPv4 : 61.4.102.97
  • IPv4 : 172.233.246.7
  • IPv6 : 2001:19f0:6801:950:5400:5ff:feb2
  • SHA256 : 02368c6b62cb392dddd35cfc6cb8c1154f7ebdceb9fb559cefc301982d6fbbf9
  • SHA256 : 0dcd846cdfdc793fab39a3c9860e0f6ab68cdbdcf4b03a87e8a02df0d3e1249f
  • SHA256 : 5dd766a7a378c97eb8c9fe9a4bff678e3c9a05386911f4296e094407b99c23d2
  • SHA256 : 6a7a8aa91109c25d57fe2ca71c150ca09afc1bf10c98376adf959dbc91010394
  • Fichiers : .in.compat1.php
  • Fichiers : index1.php
  • Fichiers : index.php
  • Fichiers : suo5.php

Malware / Outils

  • suo5 (tool)

🔗 Source originale : https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt