テキストエディタ「Notepad++」の配布基盤を悪用したサイバー攻撃を確認：セキュリティニュースアラート

Rapid7は、テキストエディタ「Notepad++」の配布基盤を不正に利用するサイバー攻撃を確認したと伝えた。未公表のカスタムバックドア「Chrysalis」を配布する。中国系APT「Lotus Blossom」の関与が疑われている。

[ITmedia エンタープライズ編集部]

　Rapid7は2026年2月3日（現地時間）、中国系APT「Lotus Blossom」に帰属する巧妙なサイバー攻撃活動を特定したと発表した。攻撃ではテキストエディタ「Notepad++」の配布基盤が不正に利用され、未公表のカスタムバックドア「Chrysalis」が配布されたことを報告した。

　Lotus Blossomは2009年以降に活動が確認されている中国系APTグループで政府機関や通信、重要インフラ、報道機関を中心に諜報活動を実行してきたという。

Notepad++の配布基盤を悪用　未公表のカスタムバックドアを配布

　この攻撃キャンペーンではNotepad++の配布・更新インフラが侵害され、不審な実行ファイル「update.exe」が動作することが調査で明らかにされている。このファイルは実際にはNSISインストーラーで、内部に複数の不正コンポーネントを含んでいた。展開された実行ファイルの一つである「BluetoothService.exe」は正規のBitdefender製ツールを改変したもので、DLLサイドローディングに悪用された。隣接配置されたlog.dllが読み込まれ、暗号化済みシェルコードの復号と実行を担った。

　復号処理では独自アルゴリズムが使われ、API名はハッシュ化によって解決された。検出回避を意識した設計で、標準API呼び出しの痕跡が残りにくい構造となっていた。最終的に展開されるChrysalisは多機能な常駐型バックドアで、情報収集、C2通信、追加モジュール実行機能を備えていた。

　設定情報はRC4で暗号化され、C2はクラウドAPI風のURL形式を装っていた。通信には一般的なWebブラウザのユーザーエージェント文字列が使われ、正規トラフィックに紛れ込む工夫が見られた。永続化はサービス作成やレジストリー経由で実行され、端末識別子生成にはFNV系ハッシュが使われた。

　感染端末では別系統のローダーも確認された。「Tiny C Compiler」を「svchost.exe」に偽装し、Cソース形式の「conf.c」からシェルコードを実行する手口とされ、ここから取得された第2段階ペイロードはMetasploit由来コードを経て、最終的に「Cobalt Strike」ビーコンに接続した。

　「ConsoleApplication2.exe」と呼ばれるローダーに関して、Microsoftの内部保護技術「Warbird」機能を悪用してコード実行を実現していた点が注目されている。通常のメモリ実行とは異なる経路を使い、署名済みバイナリのメモリ内で実行することで防御製品の検知を回避した。

　Rapid7は、本件が既知のLotus Blossom関連活動と手法、ツール構成、公開鍵情報などで共通点を持つと説明した。カスタムマルウェアと市販攻撃フレームワーク、公開研究の迅速な取り込みが組み合わされており、同グループの技術水準が上昇したと評価している。