Notepad++の更新確認(WinGUp)がアクセスする更新系の通信が、攻撃者によって途中で奪われ、正規の更新先ではなく攻撃者側のサーバーへ一部ユーザーだけが誘導される事案が公表されました。
特徴的なのは、全ユーザーを一斉に踏み台にするタイプではなく、狙った相手だけを選んで更新トラフィックを差し替える挙動が中心だった点です。結果として、更新マニフェストが改ざんされ、悪性の実行ファイルが配布され得る状態になっていました。
原因と攻撃の成立条件
Notepad++本体の脆弱性というより、配布インフラ側(ホスティング環境)で通信を傍受・リダイレクトできる状態が作られたことが主因と説明されています。さらに、当時の更新検証が十分でなければ、通信を途中で奪われた場合に正規ではないバイナリへ誘導される余地が生まれます。Notepad++側も、報告を受けてWinGUpの検証強化(ダウンロードしたインストーラーの証明書と署名検証)を実装したことを明確にしています。
影響期間と攻撃の性質
報道と開発者側の説明を総合すると、攻撃の起点は2025年6月ごろで、サーバー側のメンテナンスや資格情報の扱いを挟みつつ、2025年12月初旬まで影響し得る期間が続いたとされています。
Rapid7が報告したChrysalisの概要
Rapid7は、この更新インフラ侵害に関連して、中国系APTグループLotus Blossomによる作戦とみられるキャンペーンを分析し、Chrysalis(クリサリス)と名付けた未文書化バックドアの存在を報告しています。
初期侵入の確定的な証拠(プラグイン差し替えかアップデータ経由か)までは断定できないとしつつも、notepad++.exe とGUP.exe の実行の後に、不審な update.exe が実行される流れを確認したとしています。
Chrysalisは長期潜伏と遠隔操作を前提にした作りで、ローダー側ではDLLサイドローディングや難読化、独自のAPI解決などを使い、C2通信まで含めて継続運用を意識した設計だと評価されています。
IOC詳細
ここではRapid7の公開情報から、端末側で確認しやすいものを中心に列挙します。ブロック用途に即転用するより、まずは社内ハンティングの起点として使うのが安全です(誤検知・業務影響の評価が必要なためです)。
ネットワーク指標
-
update.exe のダウンロード元として言及されているIP: 95.179.213.0
-
C2関連(ドメイン・IP)
-
api[.]skycloudcenter[.]com(C2で使用)
-
61.4.102.97(上記の解決先として言及)
-
59.110.7.32、124.222.137.114、api[.]wiresguard[.]com(関連指標として列挙)
-
ファイル指標(例)
Rapid7はNSISインストーラー update.exe の中身として、以下のSHA-256などを公開しています。
-
[NSIS].nsi: 8ea8b83645fba6e23d48075a0d3fc73ad2ba515b4536710cda4f1f232718f53e
-
BluetoothService.exe(正規ツールを悪用したDLLサイドローディング用途): 2da00de67720f5f13b17e9d985fe70f10f153da60c9ab1086fe58f069a156924
-
BluetoothService(暗号化シェルコード): 77bfea78def679aa1117f569a35e8fd1542df21f7e00e27f192c907e61d63a2e
-
log.dll(悪性DLL): 3bdc4c0637591533f1d4198a72a33426c01f69bd2e15ceee547866f65e26b7ad








