Los desarrolladores del popular editor de texto admiten una brecha de seguridad crítica. Atacantes comprometieron su proveedor de hosting y utilizaron el mecanismo de actualización oficial para infectar objetivos selectos en Asia y Latinoamérica.
Es la pesadilla de cualquier departamento de TI: confiar en una actualización oficial y recibir malware a cambio. Hoy 4 de febrero de 2026, los detalles de un ataque a la cadena de suministro que pasó desapercibido durante cuatro meses, afectando a la infraestructura de actualización de Notepad++.
A diferencia de campañas masivas, este ataque fue quirúrgico. Los hackers, que mantuvieron acceso a los servidores desde junio hasta septiembre de 2025, no infectaron a todos los usuarios, sino que desplegaron cargas útiles maliciosas contra objetivos específicos en Vietnam, El Salvador, Australia y Filipinas, sugiriendo una operación de ciberespionaje altamente dirigida.
El Mecanismo: Confianza Rota
El ataque no explotó un fallo en el software de Notepad++ en sí, sino en la infraestructura que lo rodea.
- La Brecha: Los atacantes comprometieron al proveedor de hosting de Notepad++, ganando acceso a los servidores de actualización.
- El Vector: Modificaron el comportamiento del actualizador legítimo. Cuando un usuario infectado buscaba una nueva versión, el servidor le entregaba un instalador NSIS malicioso.
- Evasión Creativa: En lugar de usar técnicas modernas de “Sideloading”, los atacantes desempolvaron una vulnerabilidad antigua en el software ProShow (de la década de 2010). Al explotar este software obsoleto dentro del paquete de actualización, lograron evadir los sistemas de detección modernos que no buscaban firmas tan antiguas.
Infección en Tres Fases
La campaña demostró una sofisticación operativa notable, rotando su infraestructura de Comando y Control (C2) constantemente:
- Fase 1 (Reconocimiento): El archivo update.exe falso ejecutaba comandos de shell (whoami, tasklist) para perfilar a la víctima y enviaba los datos a servidores usando el servicio temp.sh.
- Fase 2 (Inyección): Si la víctima era de interés, el malware descifraba un cargador de Metasploit oculto en el código.
- Fase 3 (Control Total): Finalmente, desplegaban Cobalt Strike Beacons o un backdoor personalizado llamado Chrysalis, otorgando control total y persistente sobre la red de la víctima.
Impacto Geopolítico
Aunque el número de máquinas confirmadas es bajo (alrededor de una docena), la selección de objetivos (proveedores de servicios TI en Vietnam y organizaciones en Filipinas) apunta a un actor de amenazas avanzado con intereses en la región del Pacífico y espionaje corporativo.
¿Qué deben hacer los usuarios?
- Verificar Hashes: Si descargaste una actualización de Notepad++ entre junio y septiembre de 2025, reinstala el software descargando una copia limpia directamente desde el sitio oficial hoy mismo.
- Monitoreo de Red: Busca en tus logs de firewall conexiones inusuales hacia el dominio temp.sh o resoluciones DNS extrañas asociadas a instaladores NSIS en la carpeta %localappdata%Temp.
- Revisión de Procesos: Investiga cualquier ejecución de curl o comandos de reconocimiento (systeminfo, netstat) que se originen desde procesos de actualización de software.
