# CVE-2025-15556 > [!medium] DLL Side-Loading via Componente Bitdefender - Explorado pelo Lotus Blossom > Vulnerabilidade de DLL side-loading em componente legado do Bitdefender explorada pelo grupo Lotus Blossom (Raspberry Typhoon) em cadeia de supply chain via Notepad++, permitindo carga de backdoors maliciosos usando processo assinado do antivírus. ## Visão Geral A [[cve-2025-15556|CVE-2025-15556]] é uma vulnerabilidade de **DLL side-loading** em um componente legado do Bitdefender Total Security. A falha foi explorada pelo grupo [[g0030-raspberry-typhoon|Lotus Blossom]] (também conhecido como Raspberry Typhoon), um ator de espionagem chinês, em uma campanha sofisticada de supply chain que comprometeu a infraestrutura de distribuição do editor de texto Notepad++. O ataque é especialmente insidioso porque usa um componente de software de segurança legítimo e assinado digitalmente como veículo para carregar malware. Como soluções de segurança são frequentemente excluídas de verificações adicionais de integridade e têm altos privilégios no sistema, a técnica de side-loading via componentes antivírus é particularmente eficaz para evasão de detecção. Os payloads entregues incluíam o backdoor Chrysalis e o [[s0154-cobalt-strike|Cobalt Strike]] Framework. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | DLL Side-Loading (CWE-427) | | Componente | Bitdefender Total Security - DLL legada | | Vetor | Local - requer execução do componente comprometido | | Cadeia de ataque | Supply chain Notepad++ → DLL maliciosa → Side-load Bitdefender | | Payloads | Chrysalis backdoor + Cobalt Strike | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Comprometimento da cadeia de distribuição Notepad++ | | [[t1574-002-dll-side-loading\|T1574.002]] | Side-loading via componente Bitdefender legítimo | | [[t1059-command-scripting-interpreter\|T1059]] | Execução de código via componente assinado | | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Evasão de detecção via processo antivírus | ## Detecção e Defesa **Mitigações:** - Atualizar Bitdefender para versão mais recente (remove componente vulnerável) - [[m1051-update-software\|M1051]] - Atualizar Bitdefender e verificar integridade de instalações - Validar assinaturas digitais de instaladores Notepad++ (verificar hash oficial) - [[m1045-code-signing\|M1045]] - Monitorar DLLs carregadas por processos de segurança - [[m1038-execution-prevention\|M1038]] - Application control para DLLs em diretórios de software de segurança > [!latam] Relevância para Brasil e LATAM > O Notepad++ é um dos editores de texto mais populares entre desenvolvedores e profissionais de TI no Brasil. Uma campanha de supply chain via este software tem alta probabilidade de atingir usuários técnicos - exatamente o perfil de alvo do Lotus Blossom em setores de telecomúnicações e tecnologia. Organizações com Bitdefender desatualizado e que baixaram Notepad++ fora dos canais oficiais durante o período de comprometimento devem realizar análise forense de endpoints. ## Referências - [Unit 42 - Lotus Blossom Notepad++ Campaign](https://unit42.paloaltonetworks.com/notepad-infrastructure-compromise/) - [NVD - CVE-2025-15556](https://nvd.nist.gov/vuln/detail/CVE-2025-15556)