Notepad++: Chrysalis-Backdoor der Lotus Blossom APT-Gruppe

Rapid7 hat eine komplexe Angriffskampagne der chinesischen APT-Gruppe Lotus Blossom aufgedeckt, die seit 2009 aktiv ist und primär Regierungsbehörden, Telekommunikation, Luftfahrt und kritische Infrastrukturen in Südostasien und Zentralamerika ins Visier nimmt. Der Angriffsvektor nutzte kompromittierte Notepad++-Infrastruktur zur Verbreitung einer bisher unbekannten Backdoor namens Chrysalis.

Die Infektion beginnt über eine manipulierte update.exe, die als NSIS-Installer getarnt ist. Dieser installiert legitime Bitdefender-Software, die durch DLL-Sideloading eine schädliche log.dll lädt. Die Malware verwendet mehrschichtige Verschlüsselung mit RC4 und benutzerdefinierten XOR-Algorithmen, kommuniziert über HTTPS mit api.skycloudcenter.com und tarnt sich dabei als DeepSeek-API-Traffic. Chrysalis verfügt über umfangreiche Backdoor-Funktionen: interaktive Reverse-Shell, Datei-Upload/-Download, Prozessausführung und vollständige Systemkontrolle.

Erkennungsmerkmale: Versteckte Bluetooth-Ordner in %AppData%, Prozesse wie BluetoothService.exe zusammen mit log.dll, Netzwerkverbindungen zu api.skycloudcenter.com oder api.wiresguard.com, Registry-Einträge für Persistenz, Mutex “Global\Jdhfv_1.0.1”.

Empfehlung: Prüfen Sie Ihre Systeme auf die genannten Indikatoren, besonders wenn Notepad++ kürzlich aktualisiert wurde. Nutzen Sie EDR-Lösungen mit Verhaltensanalyse, da signaturbasierte Erkennung durch API-Hashing und Obfuskierung erschwert wird. Blockieren Sie die genannten C2-Domains auf Netzwerkebene.

Quelle: https://www.rapid7.com/blog/post/2026/02/02/the-chrysalis-backdoor/

Related Posts

Modular DS schließt kritische Privilege-Escalation-Lücke im Modular Connector

Modular DS hat Sicherheitsupdates für den Modular Connector veröffentlicht. Die Versionen 2.5.2 (14. Januar 2026) und 2.6.0 (16. Januar 2026) beheben eine kritische Schwachstelle, die im Rahmen der Untersuchung eines Sicherheitsvorfalls vom 14. Januar identifiziert wurde. Die Lücke ist als CVE-2026-23550 registriert und wird mit dem maximalen CVSS-Score von 10.0 bewertet.

Read More

node-tar: Race Condition durch Unicode-Kollisionen auf macOS ermöglicht File Overwrite

Im npm-Paket tar (node-tar) wurde eine sicherheitsrelevante Race-Condition-Schwachstelle entdeckt, die speziell macOS-Systeme mit APFS- oder HFS+-Dateisystemen betrifft. Die Lücke ist als GHSA-r6q2-hw4h-h46w veröffentlicht und betrifft alle Versionen bis einschließlich 7.5.3. Version 7.5.4 schließt das Problem.

Read More

Kritische Sicherheitslücke in Fortinet-Produkten ermöglicht unbefugten Zugriff

Fortinet warnt vor einer aktiv ausgenutzten Schwachstelle (CVE-2026-24858) mit kritischem CVSS-Score von 9,8. Die Lücke betrifft FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb und erlaubt Angreifern mit einem FortiCloud-Account, sich auf fremden Geräten anzumelden, wenn dort die FortiCloud SSO-Authentifizierung aktiviert ist.

Read More