AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Atribuyen a actores estatales chinos el secuestro del tráfico de actualización de Notepad++ durante seis meses**

admin

### 1. Introducción

El ecosistema de ciberseguridad ha vuelto a poner el foco sobre la cadena de suministro tras conocerse, de manera oficial, que el tráfico de actualización de Notepad++ —uno de los editores de texto más populares en entornos Windows y ampliamente utilizado por desarrolladores y profesionales IT— fue secuestrado durante cerca de medio año. Según el anuncio emitido por Don Ho, desarrollador principal del proyecto, todo apunta a que este ataque fue orquestado por actores estatales chinos. El suceso destaca la criticidad de asegurar los mecanismos de actualización de software y la sofisticación creciente de las amenazas persistentes avanzadas (APT) en la manipulación de infraestructuras de confianza.

### 2. Contexto del Incidente

El incidente comenzó a mediados de 2023, cuando usuarios y sistemas de monitorización empezaron a detectar anomalías en el proceso de actualización de Notepad++. Durante aproximadamente seis meses, el tráfico legítimo relacionado con la comprobación y descarga de actualizaciones fue interceptado y redirigido hacia infraestructura controlada por los atacantes. Esta operación pasó inicialmente desapercibida, dada la técnica empleada y la confianza depositada en los repositorios de actualización oficiales.

No es la primera vez que un proyecto open source se ve afectado por amenazas a la cadena de suministro, pero la atribución a actores estatales y la duración del ataque subrayan la relevancia de este incidente. La comunidad de ciberseguridad ya venía alertando sobre el aumento de ataques similares, especialmente tras los casos de SolarWinds, 3CX y MOVEit, que evidenciaron el potencial devastador de este vector.

### 3. Detalles Técnicos

#### CVE y versiones afectadas

A fecha de redacción de este artículo, no se ha asignado un CVE específico al incidente, aunque se espera que se publique en breve para facilitar la gestión de vulnerabilidades desde los sistemas SIEM y GRC. Las versiones afectadas abarcan todas las releases de Notepad++ distribuidas entre junio de 2023 y enero de 2024.

#### Vectores de ataque y TTPs

El ataque se apoyó en técnicas de secuestro de DNS (DNS hijacking) y en la manipulación de registros A y CNAME asociados al dominio de actualización de Notepad++. Mediante la técnica MITRE ATT&CK T1190 (Exploitation of Public-Facing Application) y T1565 (Data Manipulation), los atacantes lograron desviar el tráfico legítimo hacia servidores bajo su control. Una vez redirigido el tráfico, se suministraban actualizaciones falsas o potencialmente maliciosas.

Se ha detectado además el uso de certificados digitales comprometidos o falsificados para dar mayor credibilidad a las descargas fraudulentas, un modus operandi común en campañas APT respaldadas por estados.

#### IoC y explotación

Entre los indicadores de compromiso (IoC) identificados se encuentran IPs asociadas a infraestructura previamente vinculada a grupos como APT41 o Mustang Panda, ambos con historial de campañas de espionaje y manipulación de software. No se ha evidenciado, hasta el momento, la distribución de payloads conocidos mediante frameworks como Metasploit o Cobalt Strike, pero la persistencia y la sofisticación sugieren la posible entrega de backdoors personalizados.

### 4. Impacto y Riesgos

El alcance potencial del ataque es significativo: Notepad++ cuenta con millones de usuarios en todo el mundo, incluyendo organizaciones que operan bajo el marco regulatorio de la GDPR y la futura directiva NIS2. El secuestro de actualizaciones podría haber permitido la instalación de malware, robo de credenciales o la apertura de puertas traseras en sistemas corporativos y gubernamentales.

El impacto económico y reputacional es difícil de cuantificar, pero considerando casos análogos, los costes derivados de la respuesta a incidentes y la posible filtración de datos pueden superar fácilmente los 10 millones de euros para organizaciones afectadas. A nivel global, se estima que cerca del 15% de las instalaciones activas de Notepad++ podrían haber sido expuestas.

### 5. Medidas de Mitigación y Recomendaciones

– **Verificación de firmas digitales**: Priorizar la comprobación de la integridad y autenticidad de las actualizaciones mediante GPG o firmas SHA256.
– **Bloqueo de IoC**: Integrar los indicadores de compromiso asociados al dominio y las IPs maliciosas en los sistemas de firewall y EDR.
– **Monitorización de tráfico DNS**: Implementar auditoría avanzada y alertado sobre cambios anómalos en la resolución de dominios críticos.
– **Segmentación de red**: Limitar la conectividad directa de equipos de desarrollo o administración a Internet.
– **Actualización manual y segura**: Descargar actualizaciones únicamente desde fuentes verificadas y, preferiblemente, mediante canales cifrados y autenticados.

### 6. Opinión de Expertos

Varios analistas de amenazas y expertos en ciberinteligencia, como Costin Raiu (Kaspersky) y Jake Williams (SANS), han señalado que este incidente representa un salto cualitativo en las operaciones de supply chain targeting. Williams destaca: “La manipulación de canales de actualización es una de las formas más sutiles y efectivas de comprometer infraestructuras enteras, especialmente si se explotan herramientas ampliamente implantadas como Notepad++”.

Desde ENISA y el CCN-CERT se insiste en la necesidad de auditar regularmente los procesos de actualización y de adoptar modelos de zero trust en la gestión de la cadena de suministro.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones europeas, el incidente puede suponer una brecha de cumplimiento tanto en GDPR como en la inminente NIS2, que refuerza las obligaciones de supervisión y reporte de incidentes en la cadena de suministro digital. Los usuarios finales, por su parte, deben extremar la precaución y desconfiar de cualquier actualización no verificada, especialmente en entornos críticos o de administración de sistemas.

### 8. Conclusiones

El secuestro del tráfico de actualización de Notepad++ pone en evidencia la vulnerabilidad inherente a los mecanismos de actualización de software y la necesidad de una vigilancia continua frente a campañas APT de alto nivel. El incidente refuerza la urgencia de implementar controles de seguridad avanzados, fortalecer la cadena de suministro y promover la cultura de la ciberhigiene tanto en empresas como entre usuarios individuales.

(Fuente: www.bleepingcomputer.com)