Lotus Blossom

Selon Unit 42 (Palo Alto Networks), entre juin et décembre 2025, l’infrastructure d’hébergement officielle de Notepad++ a été compromise par le groupe étatique Lotus Blossom, permettant un détournement du trafic vers le serveur d’update et une distribution sélective de mises à jour malveillantes. Les cibles principales se trouvaient en Asie du Sud-Est (gouvernement, télécoms, infrastructures critiques), avec une extension observée vers l’Amérique du Sud, les États-Unis et l’Europe sur des secteurs variés (cloud, énergie, finance, gouvernement, manufacturing, développement logiciel). Cette attaque de la chaîne d’approvisionnement s’appuie sur une capacité AitM pour profiler et filtrer dynamiquement les victimes prioritaires, notamment des administrateurs et développeurs. ...

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuée à l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et récemment l’Amérique centrale). L’enquête met au jour le backdoor sur mesure “Chrysalis”, livré via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. • Chaîne d’infection et loaders. L’accès initial est en ligne avec l’abus public de Notepad++ (exécution de notepad++.exe puis GUP.exe avant un “update.exe” téléchargé depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exécutable légitime renommé (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, déchiffrent et exécutent du shellcode via une dérivation de clé (LCG + finaliseur MurmurHash-like) et résolution d’API par hash (FNV-1a + avalanche). Le shellcode déchiffre le module principal (clé XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaînes obfusquées et résout les APIs en marchant le PEB. ...