El desarrollador de Notepad++, Don Ho, confirmó que los piratas informáticos secuestraron el mecanismo de actualización del software durante varios meses en 2025. El ataque ocurrió entre junio y diciembre de 2025, y Ho lo atribuyó a piratas informáticos asociados con el gobierno chino. Citó análisis realizados por expertos en seguridad que examinaron las cargas útiles de malware y los patrones de ataque, y señaló que esto explicaba la orientación altamente selectiva durante la campaña.
Rapid7 investigó el incidente e identificó a los actores de la amenaza como Lotus Blossom, un grupo de espionaje de larga data vinculado a China. El grupo apunta a los sectores de gobierno, telecomunicaciones, aviación, infraestructura crítica y medios de comunicación. Notepad++ es un popular editor de texto de código abierto con más de dos décadas de historia y decenas de millones de descargas en todo el mundo, incluso por parte de empleados de organizaciones de todo el mundo.
El investigador de seguridad Kevin Beaumont descubrió por primera vez el ciberataque en diciembre de 2025. Informó que los piratas informáticos comprometieron a un pequeño número de organizaciones con intereses en el este de Asia después de que los usuarios instalaran una versión contaminada del software. Beaumont afirmó que los atacantes obtuvieron acceso “práctico” a las computadoras de las víctimas que ejecutaban las actualizaciones secuestradas de Notepad++.
Ho detalló el mecanismo de ataque en una publicación de blog publicada el lunes. El sitio web de Notepad++ estaba alojado en un servidor compartido. Los atacantes se dirigieron específicamente al dominio web y aprovecharon un error de software para redirigir a algunos usuarios a un servidor malicioso controlado por los piratas informáticos. Esto permitió la entrega de actualizaciones maliciosas a los usuarios que solicitaban actualizaciones de software. La redirección continuó hasta que Ho solucionó el error en noviembre de 2025, cancelando el acceso de los piratas informáticos a principios de diciembre de 2025.
Ho compartió registros que muestran que los atacantes intentaron volver a explotar la vulnerabilidad reparada, pero los esfuerzos fracasaron después del parche. En un correo electrónico a TechCrunch, Ho dijo que su proveedor de hosting confirmó que el servidor compartido estaba comprometido pero no reveló cómo ocurrió la violación inicial.
Ho se disculpó por el incidente e instó a los usuarios a descargar la última versión de Notepad++, que incluye la corrección de errores.
El ciberataque de Notepad++ se parece a la infracción de SolarWinds de 2019-2020. Los espías del gobierno ruso piratearon los servidores de SolarWinds y colocaron una puerta trasera en las actualizaciones de software para TI y herramientas de administración de redes utilizadas por organizaciones Fortune 500, incluidos los departamentos gubernamentales de EE. UU. El compromiso afectó a agencias como Seguridad Nacional y los Departamentos de Comercio, Energía, Justicia y Estado. Una vez que los clientes instalaron las actualizaciones contaminadas, la puerta trasera permitió a los espías rusos acceder a las redes.
