Peneliti dari Kaspersky Global Research and Analysis Team (GReAT) mengungkap bahwa aktor ancaman di balik kompromi rantai pasokan Notepad++ tidak hanya melakukan serangan terbatas, tetapi juga menargetkan sejumlah entitas strategis lintas negara. Target tersebut mencakup sebuah organisasi pemerintahan di Filipina, lembaga keuangan di El Salvador, penyedia layanan TI di Vietnam, serta sejumlah individu di tiga negara berbeda. Dalam operasinya, penyerang memanfaatkan setidaknya tiga rantai infeksi yang berbeda, di mana dua di antaranya belum pernah diungkap ke publik sebelumnya.
Para penyerang sepenuhnya mengubah malware, infrastruktur perintah dan kontrol, serta metode pengiriman mereka kira-kira setiap bulan antara Juli dan Oktober 2025. Rantai serangan tunggal yang didokumentasikan secara publik hingga saat ini hanya mewakili fase terakhir dari kampanye yang jauh lebih panjang dan lebih canggih.
Para pengembang Notepad++ mengungkapkan pada 2 Februari 2026 bahwa infrastruktur pembaruan mereka telah dikompromikan karena insiden penyedia hosting. Pelaporan publik sebelumnya hanya berfokus pada malware yang diamati pada Oktober 2025, sehingga organisasi tidak menyadari indikator kompromi yang sama sekali berbeda yang digunakan dari Juli hingga September.
Setiap rantai menggunakan alamat IP berbahaya, nama domain, metode eksekusi, dan muatan yang berbeda. Solusi Kaspersky memblokir semua serangan yang teridentifikasi saat terjadi.
“Para ahli yang memeriksa sistem mereka terhadap IoC yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman,” kata Georgy Kucherin, peneliti keamanan senior di Kaspersky GReAT.
“Infrastruktur Juli-September benar-benar berbeda — IP yang berbeda, domain yang berbeda, hash file yang berbeda. Dan mengingat seberapa sering penyerang ini merotasi alat mereka, kita tidak dapat mengesampingkan keberadaan rantai tambahan yang belum ditemukan,” ungkapnya.
Pakar GReAT telah menerbitkan daftar lengkap indikator kompromi, termasuk enam hash pembaruan berbahaya, 14 URL C2, dan delapan hash file berbahaya yang belum dilaporkan sebelumnya. Daftar IoC lengkap dan analisis teknis tersedia di Securelist.
