Vụ tấn công chuỗi cung ứng Notepad++: Khi một công cụ lành tính trở thành vũ khí của gián điệp quốc gia Trung Quốc

Ngày 10/03/2026

Một trong những vụ cung ứng phần mềm xảy ra vào cuối năm 2025 đã tiếp tục củng cố một thực tế đáng lo ngại về bảo mật hiện đại: thậm chí những ứng dụng lành tính nhất cũng có thể trở thành cánh cửa vào cho các tác nhân lập trường quốc gia. Vào tháng 12/2025, Rapid7 Labs phát hiện và công khai một chiến dịch tấn công được cho là do nhóm APT Lotus Blossom (Billbug) – một nhóm gián điệp do nhà nước Trung Quốc hỗ trợ – tiến hành. Nhóm này đã khai thác lỗ hổng trong cơ sở hạ tầng lưu trữ của Notepad++ để phân phối một backdoor mới được gọi là Chrysalis cho các mục tiêu được chọn lọc cẩn thận.

Tiểu sử Lotus Blossom: Gián điệp bền bỉ của Châu Á

Lotus Blossom, còn được gọi bằng nhiều tên khác như Billbug (Symantec), Spring Dragon (Kaspersky), Thrip, Lotus Panda, và Bronze Elgin, là một nhóm APT Trung Quốc có lịch sử tấn công suốt hơn một thập kỷ. Nhóm này lần đầu được công khai vào năm 2015 bởi Palo Alto Networks khi công bố một báo cáo về “Operation Lotus Blossom”, liên kết nhóm với hơn 50 vụ tấn công khác nhau trong ba năm trước. Từ khi đó, Lotus Blossom đã trở thành một trong những tác nhân gián điệp mạng có kỷ lục của Châu Á.

Địa bàn hoạt động chính của Lotus Blossom là Đông Nam Á, bao gồm Việt Nam, Philippines, Thái Lan, Campuchia, Malaysia, Indonesia, Hong Kong và Đài Loan. Nhóm này chuyên tấn công các tổ chức chính phủ, quân đội, viễn thông, hàng không vận tải, truyền thông, và cơ sở hạ tầng quan trọng – những lĩnh vực liên quan trực tiếp đến lợi ích chiến lược của Trung Quốc, đặc biệt là trong các vấn đề biển Đông. Chiến thuật tấn công của nhóm đã tiến hóa từ những email lừa đảo thô sơ ban đầu sang những kỹ thuật tinh vi, bao gồm cả việc khai thác các ứng dụng công cộng và tận dụng các dịch vụ đám mây hợp pháp làm máy chủ C2 (Command & Control).

Chuỗi sự kiện: Từ tiếp cận ban đầu đến khám phá

Vụ tấn công Notepad++ bắt đầu từ tháng 6/2025, khi nhóm Lotus Blossom – hoặc những kẻ làm việc cho họ – đã bí mật xâm nhập vào cơ sở hạ tầng lưu trữ dùng chung cung cấp cho Notepad++. Điểm quan trọng cần lưu ý là các kẻ tấn công không khai thác bất kỳ lỗ hổng nào trong chính mã nguồn Notepad++. Thay vào đó, họ compromise tại tầng hosting provider – những máy chủ vật lý thực tế lưu trữ các tệp cập nhật.

Trong suốt sáu tháng từ tháng 6 đến tháng 12/2025, những kẻ tấn công này đã sử dụng quyền truy cập được chiếm đoạt để chặn và chuyển hướng lưu lượng cập nhật từ người dùng Notepad++ được chọn lọc. Khi người dùng Windows chạy ứng dụng Notepad++ và kích hoạt bộ cập nhật WinGUp (trình cập nhật tự động), thay vì nhận được bản cập nhật hợp pháp từ notepad-plus-plus.org, một số người dùng bị chuyển hướng đến các máy chủ do kẻ tấn công kiểm soát để tải xuống update.exe – một trình cài đặt NSIS (Nullsoft Scriptable Install System) chứa mã độc.

Mặc dù cơ sở hạ tầng lưu trữ được phục hồi vào tháng 9/2025 sau khi nhà cung cấp dịch vụ lưu trữ áp dụng các bản cập nhật kernel và firmware, các kẻ tấn công vẫn duy trì được quyền truy cập thông qua các thông tin xác thực dịch vụ nội bộ bị đánh cắp. Do đó, họ tiếp tục chuyển hướng lưu lượng Notepad++ cho đến ngày 2 tháng 12/2025, khi việc truy cập cuối cùng được chấm dứt.

Backdoor Chrysalis: Công Cụ Chính Của Chiến Dịch

Payload chính được phân phối thông qua tiếp cận trên là một backdoor mới được Rapid7 đặt tên là “Chrysalis” – một tên gọi hợp lý xét đến mong muốn của những kẻ tấn công tái sinh các kênh truy cập mà họ có thể duy trì trong một thời gian dài. Chrysalis không phải là một công cụ tạm thời; thay vào đó, nó thể hiện rõ ràng đó là một backdoor tinh vi, đầy đủ tính năng đã được phát triển một cách cẩn thận.”[rapid7]

Chrysalis chứa một loạt khả năng chỉ huy và kiểm soát mạnh mẽ, chứng tỏ rằng đây là một công cụ dự định sử dụng lâu dài:

Reverse shell tương tác: Backdoor có khả năng spawning cmd.exe shell đầy đủ, cho phép kẻ tấn công thực thi bất kỳ lệnh Windows nào trên máy nạn nhân
Quản lý tệp: Đọc, ghi, xóa và liệt kê tệp từ xa, tải lên/tải xuống dữ liệu
Thu thập thông tin: Truy vấn thông tin hệ thống, danh sách ổ đĩa, cài đặt antivirus và thời gian hệ thống
Thực thi quy trình: Tạo quy trình mới từ lệnh C2
Tự xóa: Cơ chế tự loại bỏ để xóa các tệp giữ lại và lỗi vết

Những gì khiến Chrysalis đáng chú ý từ quan điểm kỹ thuật là mức độ obfuscation (che giấu) của nó. Backdoor sử dụng custom API hashing, dynamic string obfuscation, và layered decryption để tránh các phương pháp phát hiện dựa trên chữ ký. Mỗi lớp giải mã sử dụng các thuật toán khác nhau – từ XOR đơn giản đến RC4 mật mã.

Kỹ thuật tấn công: Sự kết hợp tinh tế của DLL Sideloading và Obfuscation

Chuỗi tấn công để đưa Chrysalis vào máy nạn nhân rất tinh vi. Sau khi người dùng tải xuống update.exe được chuyển hướng, tệp này hành động như một trình cài đặt NSIS thực thi một loạt bước:

Bước 1: DLL Sideloading sử dụng Bitdefender Submission Wizard

Trình cài đặt trích xuất và thực thi BluetoothService.exe, một phiên bản được đổi tên của Bitdefender Submission Wizard – một ứng dụng hợp pháp từ nhà cung cấp bảo mật nổi tiếng Bitdefender. Kỹ thuật này được gọi là DLL sideloading – một phương pháp được sử dụng rộng rãi bởi các nhóm APT để vượt qua các kiểm soát bảo mật. Khi BluetoothService.exe chạy, nó tìm kiếm một thư viện động (DLL) gọi là log.dll. Thay vì tìm thấy thư viện hợp pháp, Windows tải một log.dll độc hại được đặt trong cùng thư mục, do đó thực thi mã độc hại trong ngữ cảnh của một quy trình đáng tin cậy.

Lý do tại sao DLL sideloading lại hiệu quả là vì nó khai thác cách Windows tìm kiếm DLL. Khi một ứng dụng yêu cầu một DLL, Windows kiểm tra các vị trí theo thứ tự cụ thể, bắt đầu với thư mục ứng dụng. Bằng cách đặt một tệp DLL độc hại có cùng tên trong thư mục ứng dụng, kẻ tấn công buộc Windows phải tải phiên bản độc hại trước tiên. Điều này hữu ích cho các nhóm APT vì nó cho phép chúng tránh được phát hiện dựa trên tên tệp và những phần mềm chống mã độc thường chỉ giám sát các loại tệp thực thi (.exe), chứ không phải DLL.

Bước 2: Giải mã Shellcode lợi ích

Log.dll chứa hai hàm được xuất ra: LogInit và LogWrite. LogInit tải một tệp được mã hóa gọi là BluetoothService (không phải .exe), còn LogWrite triển khai một cơ chế giải mã tùy chỉnh. Cơ chế này sử dụng bộ tạo số ngẫu nhiên tuyến tính (Linear Congruential Generator – LCG) với các hằng số tiêu chuẩn (0x19660D và 0x3C6EF35F) kết hợp với các bước biến đổi dữ liệu cơ bản. Sau khi giải mã, shellcode được thực thi.

Bước 3: Giải mã Backdoor chính và Hashing API động

Shellcode được giải mã tiếp tục với một bước giải mã khác sử dụng một chìa khóa hardcoded (gQ2JR&9;) để tạo ra mô-đun PE chính, tức là Chrysalis backdoor thực sự. Mô-đun này triển khai hashing API động, cho phép nó giải quyết các chức năng Windows mà không trực tiếp gọi GetProcAddress. Thay vào đó, backdoor tính toán hàm băm của tên API, sau đó so sánh nó với các giá trị được mã hóa cứng sử dụng các thuật toán hashing như FNV-1a kết hợp với bộ tạo điều hòa kiểu MurmurHash. Phương pháp này làm cho việc phân tích tĩnh trở nên cực kỳ khó khăn.

Biến thể Loader và sử dụng Cobalt Strike

Một khía cạnh thú vị khác của chiến dịch là sự tích hợp của các công cụ mã nguồn mở. Bên cạnh Chrysalis backdoor tùy chỉnh, Rapid7 phát hiện bốn biến thể loader khác nhau được sử dụng để phân phối Cobalt Strike beacon – một framework pentest phổ biến được sử dụng bởi các nhóm tấn công để duy trì truy cập và di chuyển bên trong mạng.

Cobalt Strike Beacon cho phép kẻ tấn công:

Thực thi lệnh trên các hệ thống bị ảnh hưởng
Thu thập thông tin tin nhạy cảm
Di chuyển ngang qua mạng (lateral movement)
Phổ biến các payload tiếp theo

Sự kết hợp của Chrysalis backdoor tùy chỉnh với Metasploit block_api shellcode và Cobalt Strike beacons cho thấy một nhóm tấn công lợi dụng cả công cụ tùy chỉnh lẫn công cụ có sẵn (commodity tools) một cách linh hoạt.

Một trong những loader đặc biệt quan trọng là “ConsoleApplication2.exe”, mà Rapid7 phát hiện sử dụng Microsoft Warbird – một khuôn khổ bảo vệ mã phức tạp được sử dụng bởi Microsoft để bảo vệ mã độc quyền của họ. Kẻ tấn công đã lạm dụng Warbird để ẩn việc thực thi shellcode bằng cách gọi hàm hệ thống không được ghi chép (undocumented system call) NtQuerySystemInformation với tham số SystemCodeFlowTransition. Điều này cho thấy nhóm này cập nhật chiến thuật của họ dựa trên nghiên cứu công khai, như bài viết từ DownWithUp về việc lạm dụng Warbird.

Cơ sở hạ tầng C2 mạo danh Deepseek

Cách thức giao tiếp với máy chủ C2 của Chrysalis cũng thể hiện một mức độ tinh vi: backdoor sử dụng một URL được định cấu hình cứng:

https://api.skycloudcenter.com/a/chat/s/70521ddf-a2ef-4adf-9cf0-6d8e24aaa821

URL này có cấu trúc /a/chat/s/{GUID}, trùng khớp với định dạng được Deepseek AI (một dịch vụ chatbot AI Trung Quốc phổ biến) sử dụng cho các điểm cuối API của nó. Rapid7 lưu ý rằng “điều này có vẻ như diễn tả rằng tác nhân đang mô phỏng lưu lượng để ở dưới radar.” Đây là một kỹ thuật được gọi là domain fronting – mạo danh lưu lượng hợp pháp để lẩn tránh các công cụ giám sát mạng.

IP server được giải quyết từ api.skycloudcenter.com là 61.4.102.97, dựa ở Malaysia. Tại thời điểm Rapid7 viết báo cáo, không có bằng chứng về bất kỳ tệp nào khác được liên lạc với IP hoặc URL này.

Hình thái và mức độ tinh vi: Warbird Loader

Một khám phá đặc biệt đáng kể của Rapid7 là sự phát hiện “ConsoleApplication2.exe” – một loader sử dụng Warbird, một khuôn khổ bảo vệ mã không được ghi chép của Microsoft. Warbird ban đầu được thiết kế để bảo vệ mã độc quyền của Microsoft, nhưng các nhóm APT đã tìm ra cách lạm dụng nó để ẩn việc thực thi shellcode.

Loader này thực hiện điều đó bằng cách:

Tải thư viện hợp pháp clipc.dll (một DLL hệ thống Windows)
Ghi đè 0x490 byte đầu tiên của bộ nhớ clipc.dll bằng dữ liệu được chuẩn bị đặc biệt
Thay đổi bảo vệ bộ nhớ thành PAGE_EXECUTE_READ
Gọi NtQuerySystemInformation với tham số SystemCodeFlowTransition (hoạt động Warbird WbHeapExecuteCall)

Kỹ thuật này cho phép shellcode thực thi trong ngữ cảnh của một quy trình Windows hợp pháp, giúp tránh được phát hiện từ các công cụ giám sát hành vi.

Những mục tiêu bị ảnh hưởng

Không giống như những vụ cung ứng phần mềm tấn công rộng rãi khác (chẳng hạn như vụ SolarWinds SUNBURST từ năm 2020), vụ tấn công Notepad++ này là có mục đích cao độ. Chỉ một số lượng nhỏ người dùng bị chuyển hướng đến các máy chủ độc hại. Rapid7 không công bố số lượng chính xác những nạn nhân, nhưng các báo cáo cho thấy “số lượng nhỏ” người dùng bị ảnh hưởng.

Bằng chứng pháp y chỉ ra rằng những mục tiêu chính là những tổ chức chính phủ, viễn thông, hàng không vận tải, cơ sở hạ tầng quan trọng, và phương tiện truyền thông, chủ yếu ở Đông Nam Á và Trung Mỹ. Điều này phù hợp với mô hình tấn công lịch sử của Lotus Blossom, nhóm này chuyên tấn công các tổ chức chiến lược có giá trị cao.

Ứng phó và biện pháp giảm thiểu

Notepad++ đã nhanh chóng phản ứng lại để khắc phục tình hình:

Bản phát hành v8.8.9 (Tháng 12/2025)
Notepad++ phát hành phiên bản 8.8.9, một bản “Vulnerability-fix” chứa các cải tiến bảo mật quan trọng:

Triển khai xác minh chữ ký và chứng chỉ cho các tệp cập nhật được tải xuống
Nếu xác minh không thành công, quá trình cập nhật sẽ bị hủy
Từ phiên bản v8.8.7, các tệp nhị phân Notepad++ (bao gồm trình cài đặt) được ký kỹ thuật số bằng chứng chỉ từ GlobalSign

Di chuyển Hosting
Don Ho, nhà phát triển Notepad++, tuyên bố rằng trang web Notepad++ đã được di chuyển đến một nhà cung cấp lưu trữ mới với “các quy tác bảo mật mạnh mẽ đáng kể”. Điều này nhằm ngăn chặn những cuộc tấn công tương tự trong tương lai.

Tuy nhiên, Rapid7 cảnh báo rằng kể từ phiên bản v8.8.7, người dùng đã trước đó cài đặt chứng chỉ gốc Notepad++ nên gỡ bỏ nó vì nó không còn cần thiết.

Về tầm rộng của các vụ tấn công chuỗi cung ứng

Vụ Notepad++ không phải là một sự cô lập. Theo dữ liệu từ Cyble, các vụ cung ứng phần mềm đã tăng gấp đôi kể từ tháng 4/2025, với trung bình 26 vụ tấn công mỗi tháng so với 13 vụ từ đầu 2024 đến tháng 3/2025. Tháng 10/2025 ghi nhận số lượng vụ tấn công cao nhất khi 41 vụ được báo cáo – tăng 30% so với đỉnh trước đó vào tháng 4.

Các ngành công nghiệp bị ảnh hưởng nặng nề bao gồm:

Năng lượng và Công Cộng
Y Tế
Sản xuất
Công Nghệ
Dịch Vụ Tài Chính

Những loại tấn công này không chỉ bao gồm những vụ cung ứng phần mềm mà còn cả những lỗ hổng zero-day, ransomware, và IP theft.

Tại sao Notepad++?

Một câu hỏi tự nhiên nảy sinh: tại sao lại chọn Notepad++? Trả lời là do tính phổ biến và mức độ tin tưởng cao của nó. Notepad++ là một trình chỉnh sửa mã nguồn mở được sử dụng rộng rãi bởi các lập trình viên, quản trị hệ thống, và những người làm việc trong lĩnh vực an ninh mạng trên toàn thế giới. Bất cứ điều gì được tải xuống từ trình cập nhật chính thức được xem là đáng tin cậy. Điều này làm cho cơ sở hạ tầng Notepad++ trở thành mục tiêu hấp dẫn cho các nhóm APT:

Độ tin tưởng cao: Người dùng tin rằng cập nhật từ Notepad++ là hợp pháp
Tệp người dùng đa dạng: Notepad++ được sử dụng bởi các chuyên gia IT, lập trình viên, nhân viên bảo mật mạng
Ít có khả năng bị nghi ngờ: Một người dùng Notepad++ cài đặt “cập nhật” mới với ít khả năng sẽ nhận ra rằng một cái gì đó là không đúng
Tác động chiến lược: Nếu kẻ tấn công có thể nhắm mục tiêu một tổ chức chính phủ cụ thể bằng cách biết rằng nhiều nhân viên của họ sử dụng Notepad++, họ có thể thiết lập toàn bộ cơ sở hạ tầng trong một lần khởi động

Các nhân tố tấn công (TTPs)

Rapid7 đã lập danh sách chi tiết các kỹ thuật MITRE ATT&CK được Lotus Blossom sử dụng trong chiến dịch này:

T1204.002 – User Execution: Malicious File (người dùng thực thi tệp độc hại)
T1036 – Masquerading (mạo danh tệp/quy trình hợp pháp)
T1027 – Obfuscated Files or Information (che giấu tệp/thông tin)
T1027.007 – Dynamic API Resolution (giải quyết API động)
T1140 – Deobfuscate/Decode Files or Information
T1574.002 – DLL Side-Loading
T1055 – Process Injection (chèn mã vào quy trình)
T1620 – Reflective Code Loading (tải mã phản xạ)
T1059.003 – Command and Scripting Interpreter: Windows Command Shell
T1083 – File and Directory Discovery (khám phá tệp/thư mục)
T1105 – Ingress Tool Transfer (truyền công cụ)
T1041 – Exfiltration Over C2 Channel (exfiltration)
T1573 – Encrypted Channel (kênh mã hóa)
T1547.001 – Boot or Logon Autostart Execution: Registry Run Keys (persistence)

Kết luận: một bước tiến mới trong chiến dịch APT

Vụ tấn công Notepad++ được ghi nhận từ phía Rapid7 không chỉ là một vụ cung ứng phần mềm thông thường. Nó thể hiện một sự tiến hóa trong các chiến thuật của Lotus Blossom. Mặc dù nhóm này đã lâu được biết đến sử dụng các kỹ thuật đã được chứng minh như DLL sideloading và persistence qua service, việc sử dụng custom backdoor đa tầng, shellcode loader cải tiến, và tích hợp các công cụ công khai cho thấy rằng nhóm này đang chủ động thích ứng với bối cảnh phòng chống ngày càng tinh vi.

Từ Rapid7: “Khám phá backdoor Chrysalis và loader Warbird nhấn mạnh sự tiến hóa trong khả năng của Billbug. Trong khi nhóm vẫn tiếp tục dựa vào các kỹ thuật đã được chứng minh như DLL sideloading và persistence service, multi-layered shellcode loader và tích hợp các cuộc gọi hệ thống không được ghi chép (undocumented system calls) của họ đánh dấu một sự chuyển biến rõ ràng hướng tới chiến thuật thận trọng và giấu mình hơn.”

Điều đáng chú ý là mặc dù hơn một năm đã trôi qua kể từ khi vụ tấn công bắt đầu (tháng 6/2025 đến thời điểm công khai tháng 2/2026), vụ tấn công này vẫn được ẩn giấu, chỉ được phát hiện vì việc chủ động săn lùng của các nhà nghiên cứu bảo mật. Điều này cho thấy mức độ phức tạp của mã độc và khả năng tránh được các hệ thống phát hiện.

Đối với các nhân viên an ninh mạng, các quản trị viên, và các tổ chức chính phủ, đặc biệt là ở Đông Nam Á, vụ Notepad++ là một lời cảnh báo. Ngay cả những phần mềm vô hại nhất cũng có thể bị khai thác để phân phối mã độc nếu cơ sở hạ tầng lưu trữ không được bảo vệ đúng cách. Nó nhấn mạnh tầm quan trọng của:

Xác minh cập nhật: Luôn kiểm tra chữ ký số của các tệp cập nhật
Giám sát chuỗi cung ứng: Luôn luôn đánh giá rủi ro của các nhà cung cấp và dịch vụ lưu trữ
Phát hiện dựa trên hành vi: Tìm kiếm các dấu hiệu DLL sideloading, execution patterns bất thường, và C2 communication
Chuẩn bị sẵn sàng: Duy trì các chỉ báo thỏa hiệp (IoCs) được cập nhật và chiến lược phòng chống nhanh

Vụ Notepad++ của Lotus Blossom là một minh chứng rõ ràng rằng các tác nhân nhà nước Trung Quốc đang hoạt động ở một level chiến thuật mới, và sự cảnh báo là cần thiết.