Rapid7 hat eine komplexe Angriffskampagne der chinesischen APT-Gruppe Lotus Blossom aufgedeckt, die seit 2009 aktiv ist und primär Regierungsbehörden, Telekommunikation, Luftfahrt und kritische Infrastrukturen in Südostasien und Zentralamerika ins Visier nimmt. Der Angriffsvektor nutzte kompromittierte Notepad++-Infrastruktur zur Verbreitung einer bisher unbekannten Backdoor namens Chrysalis.
Die Infektion beginnt über eine manipulierte update.exe, die als NSIS-Installer getarnt ist. Dieser installiert legitime Bitdefender-Software, die durch DLL-Sideloading eine schädliche log.dll lädt. Die Malware verwendet mehrschichtige Verschlüsselung mit RC4 und benutzerdefinierten XOR-Algorithmen, kommuniziert über HTTPS mit api.skycloudcenter.com und tarnt sich dabei als DeepSeek-API-Traffic. Chrysalis verfügt über umfangreiche Backdoor-Funktionen: interaktive Reverse-Shell, Datei-Upload/-Download, Prozessausführung und vollständige Systemkontrolle.
Erkennungsmerkmale: Versteckte Bluetooth-Ordner in %AppData%, Prozesse wie BluetoothService.exe zusammen mit log.dll, Netzwerkverbindungen zu api.skycloudcenter.com oder api.wiresguard.com, Registry-Einträge für Persistenz, Mutex „Global\Jdhfv_1.0.1“.
Empfehlung: Prüfen Sie Ihre Systeme auf die genannten Indikatoren, besonders wenn Notepad++ kürzlich aktualisiert wurde. Nutzen Sie EDR-Lösungen mit Verhaltensanalyse, da signaturbasierte Erkennung durch API-Hashing und Obfuskierung erschwert wird. Blockieren Sie die genannten C2-Domains auf Netzwerkebene.
Quelle: https://www.rapid7.com/blog/post/2026/02/02/the-chrysalis-backdoor/
