La società di sicurezza Rapid7 ha attribuito l’operazione al gruppo Lotus Blossom, attivo da anni in attività di intelligence e già noto per operazioni a supporto di Pechino. I bersagli individuati rientrano in settori strategici come governi, telecomunicazioni, aviazione, infrastrutture critiche e media.
Aggiornamenti software dirottati per mesi per distribuire malware mirato. È quanto accaduto a Notepad++, uno degli editor di testo open source più diffusi al mondo, secondo quanto confermato dal suo sviluppatore Don Ho in una nota ufficiale dell’azienda.
L’attacco, avvenuto tra giugno e dicembre 2025, sarebbe riconducibile ad attori legati al governo cinese e avrebbe colpito un numero ristretto ma selezionato di organizzazioni.
Ho ha spiegato che diversi analisti di sicurezza hanno individuato somiglianze nei payload malware e nei pattern di attacco compatibili con operazioni di cyber spionaggio attribuite alla Cina. Un’ipotesi che, secondo lo sviluppatore, chiarisce la natura altamente selettiva della campagna.
La società di sicurezza Rapid7 ha attribuito l’operazione al gruppo Lotus Blossom, attivo da anni in attività di intelligence e già noto per operazioni a supporto di Pechino. I bersagli individuati rientrano in settori strategici come governi, telecomunicazioni, aviazione, infrastrutture critiche e media.
Notepad++: la vulnerabilità corretta a novembre
Notepad++ è uno dei progetti open source più longevi, con oltre vent’anni di sviluppo e decine di milioni di download a livello globale. Proprio questa ampia diffusione lo rende un vettore particolarmente appetibile per attacchi alla supply chain.
Secondo Kevin Beaumont, il ricercatore che ha scoperto per primo l’incidente, gli attaccanti sono riusciti a compromettere alcune organizzazioni con interessi nell’Asia orientale sfruttando versioni alterate del software. In questi casi, gli hacker avrebbero ottenuto un accesso diretto e operativo ai sistemi delle vittime.
Dal punto di vista tecnico, l’origine dell’intrusione non è ancora stata chiarita del tutto. Ho ha spiegato che il sito di Notepad++ era ospitato su un server di hosting condiviso e che gli attaccanti hanno preso di mira specificamente il dominio del progetto, sfruttando una vulnerabilità per reindirizzare alcune richieste di aggiornamento verso un server malevolo sotto il loro controllo. In questo modo, solo una parte degli utenti che richiedevano l’update riceveva software compromesso.
La vulnerabilità è stata corretta a novembre e l’accesso degli attaccanti è stato definitivamente bloccato a inizio dicembre. I log mostrano anche tentativi successivi di sfruttare falle già risolte, senza successo.
Il caso richiama SolarWinds
Il provider di hosting ha confermato la compromissione del server condiviso, senza però fornire dettagli sulle modalità iniziali dell’intrusione. Don Ho ha chiesto scusa agli utenti e li ha invitati ad aggiornare immediatamente Notepad++ all’ultima versione disponibile.
L’incidente richiama alla memoria il caso SolarWinds, scoperto tra il 2019 e il 2020, quando un attacco alla supply chain consentì a gruppi di spionaggio russi di inserire una backdoor negli aggiornamenti software distribuiti a grandi aziende e agenzie governative.
