chrysalis - RunkIntel

# Chrysalis > [!danger] Resumo > Backdoor customizado implantado pelo grupo APT chinês [[g0030-raspberry-typhoon|Lotus Blossom]] (G0030) via comprometimento supply-chain do mecanismo de atualização do Notepad++, com foco em espionagem contra governos e infraestrutura crítica no Sudeste Asiático. ## Visão Geral O [[chrysalis|Chrysalis]] é um backdoor sofisticado desenvolvido pelo grupo chinês [[g0030-raspberry-typhoon|Lotus Blossom]] (G0030), implantado entre junho e dezembro de 2025 através de um **comprometimento supply-chain** do mecanismo de atualização do Notepad++ (WinGUp). O grupo sequestrou a infraestrutura de atualização para redirecionar seletivamente usuários-alvo para servidores maliciosos com atualizações trojanizadas. A campanha foi descoberta pela equipe MDR da Rapid7 e públicada em fevereiro de 2026. A análise revelou um backdoor feature-rich com módulo reflective PE, configuração criptografada e API hashing customizado para evasão, representando uma evolução significativa do arsenal do [[g0030-raspberry-typhoon|Lotus Blossom]] que historicamente utilizava o [[s1210-sagerunex|Sagerunex]]. O Chrysalis integra shellcode Warbird/Metasploit (`block_api`) para fetch de beacons do [[s0154-cobalt-strike|Cobalt Strike]], servindo como estágio intermediário para implantação de toolkit pós-exploração mais completo. ## Capacidades Técnicas - **Módulo reflective PE**: Payload decriptado via XOR/add/subtract com chave hardcoded, executando inicialização MSVC CRT - **DLL side-loading**: Payload `log.dll` carregado via `BluetoothService.exe` legítimo (mimetizando binários Bitdefender) usando [[t1574-002-dll-side-loading|T1574.002]] - **Shell reverso**: cmd.exe interativo completo com conversão UTF-8 para OEM via pipes e `GetOEMCP` - **API resolution dinâmica**: Hash customizado para resolução de APIs do `Kernel32.dll`, `oleaut32.dll`, `advapi32.dll`, `wininet.dll` via [[t1027-007-dynamic-api-resolution|T1027.007]] - **Persistência**: Registro como serviço Windows via [[t1543-003-windows-service|T1543.003]]; scheduled task PowerShell a cada 5 minutos; mutexes e registry - **Cobalt Strike staging**: Shellcode Warbird/Metasploit `block_api` para fetch de beacons [[s0154-cobalt-strike|Cobalt Strike]] - **Carregamento dinâmico**: DLLs carregadas dinâmicamente: `oleaut32.dll`, `advapi32.dll`, `wininet.dll` ## Táticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1204-002-malicious-file\|T1204.002]] | Atualização trojanizada do Notepad++ via WinGUp comprometido | | Evasão | [[t1574-002-dll-side-loading\|T1574.002]] | `log.dll` side-loaded por `BluetoothService.exe` | | Evasão | [[t1620-reflective-code-loading\|T1620]] | Shellcode decriptado e executado em memória | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Shell reverso cmd.exe interativo | | Evasão | [[t1055-process-injection\|T1055]] | Injeção em processos para atividades pós-compromisso | | Persistência | [[t1543-003-windows-service\|T1543.003]] | Registro como serviço Windows | | Evasão | [[t1027-007-dynamic-api-resolution\|T1027.007]] | API hashing customizado para evasão de assinaturas | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de [[s0154-cobalt-strike\|Cobalt Strike]] beacons e ferramentas | ## Cadeia de Infecção 1. **Supply chain**: Lotus Blossom compromete infraestrutura de atualização do Notepad++ (WinGUp) 2. **Redirecionamento seletivo**: Usuários-alvo redirecionados para servidor malicioso com atualização trojanizada 3. **Instalador NSIS**: `update.exe` (NSIS installer) dropa `BluetoothService.exe` + `log.dll` maliciosa 4. **DLL side-loading**: `BluetoothService.exe` carrega `log.dll` (mimetizando Bitdefender) 5. **Decriptação**: Payload Chrysalis decriptado via XOR com chave hardcoded 6. **Persistência**: Serviço Windows registrado + scheduled task PowerShell (5 min) 7. **Shell reverso**: cmd.exe interativo estabelecido com C2 8. **Cobalt Strike**: Shellcode fetch de beacons para toolkit pós-exploração completo 9. **Espionagem**: Coleta de dados, movimentação lateral com ferramentas como HTran, Venom, WinRAR ## Atores Associados | Ator | Nexo | Relação | |------|------|---------| | [[g0030-raspberry-typhoon\|Lotus Blossom (G0030)]] | China | Desenvolvedor e operador - APT ativo desde 2009 | O [[g0030-raspberry-typhoon|Lotus Blossom]] (também conhecido como Spring Dragon, Esile) é um grupo APT chinês focado em espionagem, historicamente utilizando o backdoor [[s1210-sagerunex|Sagerunex]] e transitando para serviços legítimos (Dropbox, Twitter/X, Zimbra) como canais C2. ## Setores e Alvos - **Setores**: Governo, telecomúnicações, aviação, infraestrutura crítica, manufatura, mídia - **Regiões**: Sudeste Asiático (Filipinas, Vietnã, Hong Kong, Taiwan); recentemente América Central - **Foco**: Espionagem de longo prazo ## Indicadores de Comprometimento (IoCs) | Tipo | Valor | |------|-------| | Arquivo | `update.exe` (NSIS installer dropper) | | Arquivo | `BluetoothService.exe` (legítimo, usado para side-loading) | | Arquivo | `log.dll` (payload Chrysalis) | | Persistência | Serviço Windows não-padrão + scheduled task PowerShell (5 min) | Consulte relatório completo da Rapid7 e DomainTools para hashes, domínios C2 e regras YARA. ## Referências - [Rapid7 - Chrysalis Backdoor: Dive into Lotus Blossom's Toolkit](https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/) - [SOCPrime - Chrysalis Backdoor Analysis](https://socprime.com/active-threats/the-chrysalis-backdoor-analysis/) - [DomainTools - Lotus Blossom and the Notepad++ Supply Chain Espionage Campaign](https://dti.domaintools.com/research/lotus-blossom-and-the-notepad-supply-chain-espionage-campaign) - [MITRE ATT&CK - Lotus Blossom (G0030)](https://attack.mitre.org/groups/G0030/)