Kẻ tấn công đã chặn và chuyển hướng có chọn lọc các yêu cầu cập nhật từ một số người dùng nhất định đến các máy chủ độc hại, cung cấp các bản manifest giả mạo bằng cách khai thác lỗ hổng bảo mật trong cơ chế kiểm tra xác minh cập nhật của Notepad++. Một thông báo từ nhà cung cấp dịch vụ lưu trữ cho tính năng cập nhật giải thích rằng, phân tích nhật ký cho thấy kẻ tấn công đã xâm nhập máy chủ bằng ứng dụng cập nhật Notepad++.
Các chuyên gia bảo mật bên thứ 3 trong quá trình hỗ trợ điều tra đã phát hiện cuộc tấn công thực tế bắt đầu từ tháng 6/2025. Theo nhà phát triển, vụ xâm nhập có phạm vi mục tiêu hẹp và chỉ chuyển hướng người dùng cụ thể đến cơ sở hạ tầng của kẻ tấn công.
Thông báo của Notepad++ cho biết: “Nhiều nhà nghiên cứu bảo mật đánh giá rằng tác nhân gây ra mối đe dọa có khả năng là một nhóm tin tặc được Trung Quốc bảo trợ, điều này giải thích cho việc nhắm mục tiêu có tính chọn lọc cao được quan sát thấy trong chiến dịch này”.
Vào tháng 12/2025, Notepad++ đã phát hành phiên bản 8.8.9 để khắc phục lỗ hổng bảo mật trong công cụ cập nhật WinGUp, sau khi nhiều nhà nghiên cứu báo cáo trình cập nhật này nhận được các gói phần mềm độc hại thay vì các gói hợp pháp. Nhà nghiên cứu Kevin Beaumont cảnh báo rằng ông phát hiện ít nhất ba tổ chức bị ảnh hưởng bởi các vụ tấn công chiếm quyền kiểm soát WinGUp, sau đó là các hoạt động do thám trực tiếp trên mạng.
Notepad++ giải thích cuộc tấn công xảy ra vào tháng 6/2025, khi nhà cung cấp dịch vụ lưu trữ phần mềm bị xâm nhập, cho phép kẻ tấn công thực hiện chuyển hướng lưu lượng truy cập có chủ đích.
Đầu tháng 9/2025, kẻ tấn công tạm thời mất quyền truy cập khi kernel hệ điều hành và firmware máy chủ được cập nhật. Tuy nhiên, tin tặc đã giành lại được quyền kiểm soát bằng cách sử dụng thông tin đăng nhập dịch vụ nội bộ đã có được trước đó và không bị thay đổi.
Tình trạng này tiếp diễn cho đến ngày 02/12/2025, khi nhà cung cấp dịch vụ lưu trữ cuối cùng phát hiện ra sự xâm nhập và chấm dứt quyền truy cập của kẻ tấn công. Kể từ đó, Notepad++ đã chuyển toàn bộ khách hàng sang nhà cung cấp dịch vụ lưu trữ mới với bảo mật mạnh mẽ hơn, thay đổi toàn bộ thông tin đăng nhập có thể bị kẻ tấn công đánh cắp, khắc phục lỗ hổng đã bị khai thác và phân tích chi tiết nhật ký để xác nhận hoạt động độc hại đã chấm dứt.
Sau khi điều tra vụ việc, nhà cung cấp dịch vụ lưu trữ đã thay đổi tất cả secret và đưa ra một loạt các hành động được khuyến nghị để nhà phát triển Notepad++ thực hiện, bao gồm:
- Thay đổi thông tin đăng nhập cho SSH, FTP/SFTP và MySQL.
- Xem lại tài khoản quản trị WordPress, thiết lập mật khẩu và xóa người dùng không cần thiết.
- Cập nhật WordPress, các plugin và giao diện, đồng thời bật tính năng cập nhật tự động nếu có thể.
Bắt đầu từ phiên bản Notepad++ 8.8.9, WinGup sẽ xác minh chứng thư số và đảm bảo tệp XML cập nhật được ký số. Nhà phát triển cũng cho biết họ dự định sẽ bắt buộc xác minh chứng thư số trong phiên bản 8.9.2, dự kiến sẽ được phát hành trong khoảng một tháng nữa.
Don Ho, nhà phát triển chính của Notepad++ cho biết, sau khi phân tích nhật ký máy chủ, nhóm ứng phó sự cố đã phát hiện dấu hiệu xâm nhập nhưng không tìm thấy bất kỳ chỉ báo xâm nhập (IoC) nào.
Tuy nhiên, các nhà nghiên cứu của Rapid 7 đã phát hiện ra chiến dịch này và cho rằng nó do nhóm APT Trung Quốc Lotus Blossom (còn gọi là Raspberry Typhoon, Bilbug, Spring Dragon) triển khai backdoor tùy chỉnh chưa từng được ghi nhận trước đây có tên gọi là Chrysalis. Dựa trên các phát hiện, các nhà nghiên cứu nhận định Chrysalis là một công cụ tinh vi có vai trò duy trì sự bền bỉ lâu dài trên hệ thống của nạn nhân.
Các nhà nghiên cứu cũng công bố một phân tích kỹ thuật chi tiết về phần mềm độc hại và lưu ý họ không tìm thấy bất kỳ dấu vết rõ ràng nào để xác nhận việc khai thác cơ chế liên quan đến trình cập nhật. “Hành vi duy nhất được xác nhận là việc thực thi notepad++.exe và sau đó là GUP.exe đã diễn ra trước khi thực thi một tiến trình đáng ngờ update.exe”, Rapid 7 cho biết.
