Ciberespionaje Chino: Hackers Comprometen Actualizaciones de Notepad++ con Malware

Ciberataque Sofisticado Infecta el Editor de Texto Notepad++

El desarrollador del popular editor de texto de código abierto Notepad++ confirmó que hackers secuestraron el software para distribuir actualizaciones maliciosas a los usuarios durante varios meses en 2025.

Origen y Duración del Ataque

En una publicación de blog el lunes, el desarrollador Don Ho declaró que el ciberataque fue probablemente ejecutado por hackers asociados con el gobierno chino entre junio y diciembre de 2025. Esta conclusión se basa en múltiples análisis de expertos en seguridad que examinaron las cargas maliciosas y los patrones de ataque.

Grupo Responsable y Objetivos

La firma de seguridad Rapid7, que investigó el incidente, atribuyó el hackeo a Lotus Blossom, un grupo de espionaje de larga data conocido por trabajar para China. Los objetivos incluyeron sectores de gobierno, telecomunicaciones, aviación, infraestructura crítica y medios.

Alcance del Software Comprometido

Notepad++ es uno de los proyectos de código abierto más antiguos, con más de dos décadas de existencia, y cuenta con al menos decenas de millones de descargas hasta la fecha, utilizadas por empleados en organizaciones de todo el mundo.

Descubrimiento y Modus Operandi

El investigador de seguridad Kevin Beaumont descubrió el ciberataque y publicó sus hallazgos en diciembre de 2025. Según Beaumont, los hackers comprometieron un pequeño número de organizaciones «con intereses en Asia Oriental» después de que alguien usara inadvertidamente una versión contaminada del software. Los atacantes lograron acceso «hands-on» a las computadoras de las víctimas que ejecutaban versiones secuestradas de Notepad++.

Mecanismo Técnico del Ataque

Ho señaló que el «mecanismo técnico exacto» de cómo los hackers irrumpieron en sus servidores sigue bajo investigación, pero proporcionó detalles del procedimiento:

• El sitio web de Notepad++ estaba alojado en un servidor compartido.
• Los atacantes apuntaron específicamente al dominio web de Notepad++ para explotar un error en el software.
• Esto permitió redirigir a algunos usuarios a un servidor malicioso controlado por los hackers, entregando actualizaciones maliciosas a quienes solicitaban una actualización de software.
• El error se corrigió en noviembre de 2025, y el acceso de los hackers se terminó a principios de diciembre de 2025.

«Tenemos registros que indican que el actor malintencionado intentó re-explotar una de las vulnerabilidades corregidas; sin embargo, el intento no tuvo éxito después de que se implementó la corrección», escribió Ho.

Respuesta y Recomendaciones

Ho se disculpó por el incidente y urgió a los usuarios a descargar la versión más reciente de su software, que contiene una corrección para el error.

Paralelismo con el Ataque a SolarWinds

Este ciberataque recuerda al que afectó a clientes de SolarWinds en 2019-2020, donde espías del gobierno ruso hackearon los servidores de la empresa e insertaron un backdoor en su software, comprometiendo agencias gubernamentales como Seguridad Nacional y los Departamentos de Comercio, Energía, Justicia y Estado.

La sofisticación y el objetivo selectivo del ataque a Notepad++ subrayan los riesgos crecientes en la cadena de suministro de software, incluso para herramientas de código abierto ampliamente utilizadas.