Angreifer halten auf den infizierten Systemen de facto den Schlüssel zur gesamten Unternehmens-IT in der Hand.

Die Brisanz dieses Vorfalls ergibt sich aus einer nahezu perfekt getakteten Zangenbewegung zweier Akteure, die das Ökosystem von Notepad++ gleichzeitig von innen und außen attackieren.

Auf der einen Seite agiert die mutmaßlich staatlich gestützte APT‑Gruppe „Lotus Blossom“, die mit chirurgischer Präzision die offizielle Update‑Infrastruktur WinGUp unterwandert und über kompromittierte Hosting‑Server trojanisierte Installer ausgeliefert haben soll. 

Diese Eingriffe haben in den kompromittierten Systemen Vorkehrungen eingerichtet, die den Download legitimer Versionen unterbinden.

Während „Lotus Blossom“ im Verborgenen agiert, eröffnet parallel dazu die Cybercrime‑Gruppe „Black Cat“ eine zweite, sichtbare Front: Sie nutzt das Informationsvakuum und die Verunsicherung der Nutzer, um über massives SEO‑Poisoning und manipulierte Suchanzeigen gefälschte Download‑Seiten für Notepad++ zu platzieren. 

Diese täuschend echten Mirror‑Sites liefern statt des Editors trojanisierte Installer aus, die unter anderem Cobalt‑Strike‑Payloads nachladen und so häufig den Türöffner für weiterführende Ransomware‑Angriffe bilden – insbesondere bei Nutzern, die nach Problemen mit dem integrierten Updater auf einen manuellen Download per Suchmaschine ausweichen.

Die Bedrohungslage rund um Notepad++ ist noch nicht neutralisiert

Administratoren müssen jetzt handeln

Das Problem: Die „Lotus Blossom“-Hacker haben die Malware oft so geschickt platziert, dass sie als separater Prozess oder in versteckten Ordnern weiterlebt. Selbst wenn jetzt einfach eine signierte, saubere Notepad++ Version drüber installiert wird, können die Backdoors immer noch in einem anderen Bereich des Betriebssystems weiterhin bestehen bleiben.

Wer sichergehen möchte, dass die Malware von dem betroffenen System entfernt wurde, muss einen gründlichen „Frühlingsputz“ durchziehen und Notepad++ vollständig deinstallieren und zusätzlich auch alle korrespondierenden Einstellungen und Ordner löschen.

Wer anschließend Notepad++ neu installieren möchte muss sicherstellen, dass als Downloadquelle nur die offizielle Seite: https://notepad-plus-plus.org/ verwendet wird.  
Ab Version 8.9.1 gilt Notepad++ von der Originalseite als clean. Die aktuell vorliegende Version 8.9.4 kann nach dem Überprüfen des Hash-Code dann bedenkenlos installiert werden. 

Sie sind nicht sicher, was im Detail zu tun ist?

Nutzen Sie unsere Expertise. 
Wir prüfen und bereinigen alle betroffenen Systeme

Wenn Sie unsere Unterstützung benötigen, dann sprechen Sie uns an. Wir haben das Problem seit Bekanntwerden technisch durchdrungen und kümmern uns um die vollständige Beseitigung des Problems.

Gruhn IT - Systemhaus für kleine und mittelständische Unternehmen

Wir sind spezialisiert auf die sichere und zuverlässige Betreuung lokaler IT-Strukturen. Ob als reine OnPremise-Lösung, oder als Private Cloud realisieren wir gemeinsam mit Ihnen das, was Sie für die optimale Nutzung Ihrer IT benötigen.

Sie haben Fragen? Dann sprechen Sie uns ganz unverbindlich an.

Lernen Sie uns in einem für Sie unverbindlichen Gespräch kennen und bekommen so alle relevanten Informationen um eine valide Entscheidung zwischen: Public Cloud, OnPremise oder Private Cloud zu treffen. In alle Fällen unterstützen wir Sie mit der Erfahrung aus inzwischen 30+ Jahren als Technologiepartner für Unternehmen. 

Gruhn IT GmbH  -  Das IT Systemhaus für kleine und mittelständische Unternehmen
Wiesenstraße 22a  .  66115 Saarbrücken  
Tel:  +49 681 967190   .   https://www.gruhn.it   .   info@gruhn.it