Notepad++: Compromiso del Mecanismo de Actualización por Actores Patrocinados por el Estado
- Security Team
- hace 23 horas
- 2 Min. de lectura
El CTI de ICS Labs identificó la explotación activa de un compromiso en la cadena de suministro (Supply Chain) que involucra a Notepad++, un editor de texto ampliamente utilizado en entornos corporativos y técnicos.
Según el mantenedor del proyecto, actores patrocinados por un Estado comprometieron la infraestructura del proveedor de hosting, permitiendo la interceptación y redireccionamiento selectivo del tráfico de actualización del WinGUp (actualizador del Notepad++), sin la explotación directa de fallas en el código de la aplicación.
La actividad maliciosa habría comenzado en junio de 2025 y permaneció activa por más de seis meses antes de su detección pública.
Visión general de la amenaza
La campaña se caracteriza como un ataque sofisticado, dirigido y sigiloso, que explota fallas en el proceso de verificación de integridad y autenticidad de las actualizaciones de Notepad++.
Principales características observadas:
Redireccionamiento del tráfico de actualización hacia servidores maliciosos
Distribución de ejecutables adulterados (poisoned binaries)
Ataque altamente dirigido, afectando solo subconjuntos específicos de usuarios
Explotación a nivel de infraestructura (proveedor de hosting)
Investigaciones independientes atribuyen la actividad al grupo Violet Typhoon (APT31), previamente asociado a campañas de espionaje cibernético llevadas a cabo por actores estatales chinos.
Acciones recomendadas
Monitorear y restringir actualizaciones automáticas de Notepad++ en entornos corporativos.
Validar hashes y firmas digitales de los binarios del programa instalados.
Revisar registros de firewall y EDR para detectar descargas sospechosas y ejecuciones anómalas del actualizador WinGUp.
Activar alertas para la ejecución de binarios recién creados y conexiones externas inesperadas tras actualizaciones.
Medidas de Fortalecimiento y Protección
Centralizar la distribución de software mediante repositorios internos confiables.
Realizar un escaneo en endpoints donde el software haya sido actualizado entre junio y diciembre de 2025.
Aplicar el principio de mínimo privilegio.
Actualizar Notepad++ a su versión más reciente.
IOCs:
INDICADORES | TIPO |
Actualizaciones de Notepad++ fuera del dominio oficial | Evento |
Divergencia de hash entre versiones instaladas | Firma |
Comunicación con infraestructura desconocida durante procesos de actualización de Notepad++ | Evento |
95.179.213.0 | IP |
api[.]skycloudcenter[.]com | Dominio |
api[.]wiresguard[.]com | Dominio |
61.4.102.97 | IP |
59.110.7.32 | IP |
124.222.137.114 | IP |
Últimas actualizaciones
Junio de 2025: Inicio estimado de la explotación.
Septiembre de 2025: Pérdida de acceso al servidor del proveedor por parte de los actores maliciosos.
9 de diciembre de 2025: El blog oficial de Notepad++ revela que el tráfico del actualizador está siendo redirigido a servidores maliciosos debido a una vulnerabilidad en WinGUp.
Diciembre de 2025: Inactivación de las credenciales que permitieron a los atacantes acceder a servicios internos del proveedor incluso sin acceso a los servidores.
2 de febrero de 2026: El blog oficial de Notepad++ divulga detalles del análisis del incidente realizado por especialistas en seguridad.
5 de febrero de 2026: El blog oficial publica un artículo aclarando dudas de usuarios y compartiendo fuentes de IOCs.
Comentarios