El desarrollador del popular editor de texto de código abierto Notepad++ ha confirmado que hackers piratearon el software para enviar actualizaciones maliciosas a los usuarios durante varios meses de 2025.
En una entrada de blog publicada el lunes, Don Ho, desarrollador de Notepad++, afirmó que el ciberataque probablemente fue llevado a cabo por hackers asociados con el gobierno chino entre junio y diciembre de 2025, citando múltiples análisis de expertos en seguridad que examinaron las cargas útiles del malware y los patrones de ataque. Ho afirmó que esto «explicaría la alta selectividad de los objetivos» observada durante la campaña.
Rapid7, que investigó el incidente, atribuyó el ataque a Lotus Blossom, un grupo de espionaje de larga trayectoria conocido por trabajar para China, y afirmó que los ataques se dirigieron a los sectores gubernamental, de telecomunicaciones, aviación, infraestructuras críticas y medios de comunicación.
Notepad++ es uno de los proyectos de código abierto más longevos, con más de dos décadas de trayectoria, y cuenta con al menos decenas de millones de descargas hasta la fecha, incluso realizadas por empleados de organizaciones de todo el mundo. Según Kevin Beaumont, investigador de seguridad que descubrió el ciberataque y publicó sus hallazgos en diciembre, los hackers comprometieron a un pequeño número de organizaciones «con intereses en Asia Oriental» después de que alguien usara, sin saberlo, una versión corrupta del popular software. Beaumont afirmó que los hackers lograron acceder directamente a los ordenadores de las víctimas que ejecutaban versiones pirateadas de Notepad++.
Ho afirmó que el «mecanismo técnico exacto» de cómo los hackers irrumpieron en sus servidores sigue bajo investigación, pero proporcionó algunos detalles sobre cómo se llevó a cabo el ataque.
En el blog, Ho explicó que el sitio web de Notepad++ estaba alojado en un servidor compartido. Los atacantes atacaron específicamente el dominio web de Notepad++ con el objetivo de explotar un error en el software para redirigir a algunos usuarios a un servidor malicioso administrado por los hackers. Esto les permitió enviar actualizaciones maliciosas a ciertos usuarios que las habían solicitado, hasta que el error se solucionó en noviembre y se les cortó el acceso a principios de diciembre.
“Tenemos registros que indican que el atacante intentó volver a explotar una de las vulnerabilidades corregidas; sin embargo, el intento fracasó tras la implementación de la solución”, escribió Ho.
En un correo electrónico, Ho declaró que su proveedor de alojamiento confirmó que su servidor compartido estaba comprometido, pero que no explicó cómo los hackers lograron acceder inicialmente.
Ho se disculpó por el incidente e instó a los usuarios a descargar la versión más reciente de su software, que contiene una corrección para el error.
El ciberataque dirigido a los usuarios de Notepad++ recuerda en cierta medida al ciberataque de 2019-2020 que afectó a los clientes de SolarWinds, una empresa de software que fabrica herramientas de gestión de TI y redes para grandes organizaciones de la lista Fortune 500, incluyendo departamentos gubernamentales. Espías del gobierno ruso piratearon los servidores de la empresa e instalaron en secreto una puerta trasera en su software, lo que les permitió acceder a los datos de las redes de esos clientes una vez implementada la actualización.
La filtración de datos de SolarWinds afectó a varias agencias gubernamentales, como Seguridad Nacional y los Departamentos de Comercio, Energía, Justicia y Estado.
