Notepad++ Backdoor: Wenn das Update zum Spion wird

VonJörn Schmidt
Hacker am PC
Foto von Clint Patterson auf Unsplash

Chinesische Staatshacker täglich genutzte IT-Werkzeuge in eine gefährliche Waffe verwandelt. Im Zentrum der Spionagekampagne steht die neu entdeckte Chrysalis-Backdoor, die weitaus gefährlicher ist als herkömmliche Schadsoftware. Die Angreifer der Gruppe Lotus Blossom nutzten den Update-Mechanismus von Notepad++, um gezielt Spionagesoftware auf die Rechner ihrer Opfer zu schleusen. Dabei gingen sie extrem selektiv vor. Anstatt alle Nutzer wahllos zu infizieren, suchten sie sich ihre Ziele in Behörden und der Industrie präzise aus. Wer zwischen Juni und Dezember 2025 ein Update durchführte, landete unter Umständen direkt im Netz der Hacker.

Technisch gesehen ist der Angriff ein Lehrstück für moderne Cyber-Spionage. Die Angreifer manipulierten nicht den Quellcode selbst, sondern kaperten die Infrastruktur des Hosters. Sobald der Updater GUP.exe ansprang, wurde eine manipulierte Datei namens update.exe von externen Servern nachgeladen. Um Sicherheitslösungen auszutricksen, setzten die Hacker auf DLL-Sideloading und verschleierten Shellcode. Besonders perfide ist die Kommunikation der Backdoor. Chrysalis nutzt legitime Cloud-Dienste wie Dropbox oder X, um Befehle zu empfangen. So verschwindet der kriminelle Datenverkehr im Rauschen des normalen Internet-Alltags und bleibt für klassische Filter unsichtbar.

Für die Nutzer bedeutet das einen massiven Vertrauensverlust in automatisierte Prozesse. Die Kampagne zeigt, dass selbst signierte Dateien kein Freifahrtschein für Sicherheit sind. Lotus Blossom operiert bereits seit 2012 und verfeinert ihre Methoden kontinuierlich. Der aktuelle Vorfall ist kein isoliertes Ereignis, sondern Teil einer langfristigen Strategie zur Absicherung von Systemzugängen. Wer Notepad++ nutzt, sollte dringend auf Version 8.8.9 oder höher umsteigen. Diese Version bringt eine deutlich härtere Signaturprüfung mit, die solche Manipulationen künftig unterbinden soll. Das Katz-und-Maus-Spiel in der Software-Lieferkette erreicht damit eine völlig neue Eskalationsstufe.


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert