---
title: "Notepad++ 업데이트 인프라가 중국 정부 연계 해킹 그룹에 뚫려서 백도어가 유포됨"
published: 2026-02-02T23:38:39.000Z
canonical: https://jeff.news/article/351
---
# Notepad++ 업데이트 인프라가 중국 정부 연계 해킹 그룹에 뚫려서 백도어가 유포됨

중국 정부 연계 APT 그룹 Lotus Blossom이 Notepad++ 업데이트 서버를 해킹해 'Chrysalis'라는 신규 백도어를 배포. DLL 사이드로딩 기법으로 정상 Bitdefender 바이너리를 이용한 정교한 공격 체인.

- Notepad++의 업데이트 서버가 해킹당해서, 정상 업데이트인 줄 알고 받으면 **백도어가 깔리는** 상황이 발생함. 중국 정부 연계 사이버 스파이 그룹 **Lotus Blossom**(일명 Lotus Panda, Billbug)의 소행으로 Rapid7이 "중간 신뢰도(moderate confidence)"로 귀속함

## 공격 경로

- Lotus Blossom이 Notepad++의 공유 호스팅 서버를 어떻게 뚫었는지는 아직 불분명하지만, 일단 침투한 뒤 **일부 업데이트 트래픽을 선별적으로 공격자 서버로 리다이렉트**해서 변조된 업데이트를 내려보냄
- 변조된 업데이트는 NSIS 인스톨러 형태로 왔는데, 이 안에 들어있던 건:
  - `BluetoothService.exe` — 실은 Bitdefender Submission Wizard를 이름만 바꾼 정상 바이너리 (DLL 사이드로딩용)
  - `BluetoothService` — 실은 암호화된 셸코드
  - 악성 DLL — BluetoothService.exe가 사이드로드하는 녀석
- 이렇게 정상 바이너리로 악성 DLL을 로드하는 **DLL 사이드로딩**은 중국 APT 그룹이 즐겨 쓰는 기법임

## Chrysalis 백도어

- 최종 페이로드는 **Chrysalis**라는 이름의 신규 백도어로, Rapid7에 따르면 "기능 범위가 넓어서 일회용이 아니라 정교한 영구 도구"라고 함
- 커스텀 API 해싱, 로더와 메인 모듈 양쪽의 다중 난독화, 구조화된 C2(명령·제어) 통신을 사용
- 일반적인 파일명 기반 탐지 도구로는 발견이 어려운 구조

> [!WARNING]
> 최근 Notepad++ 업데이트를 설치한 적이 있다면, Rapid7이 공개한 파일 및 네트워크 IOC(침해지표) 목록을 반드시 확인해야 함. 감염 규모는 아직 파악되지 않은 상태

## 귀속 근거

- Rapid7의 귀속은 Symantec의 기존 연구와의 유사성에 기반함: Bitdefender Submission Wizard를 이름 바꿔서 `log.dll` 사이드로딩하는 패턴이 Lotus Blossom의 기존 수법과 일치
- 감염 자산에서 추출한 `conf.c`의 실행 체인과 Cobalt Strike 비콘에서 추출한 동일 공개키도 귀속 근거로 활용됨
- Lotus Blossom은 주로 동남아 + 최근에는 중미 지역의 정부, 통신, 항공, 핵심 인프라, 미디어 조직을 타겟으로 하는 그룹임

- Notepad++ 제작자 Don Ho는 "귀속이나 맬웨어를 직접 확인할 수는 없지만, Rapid7의 분석을 읽어보니 하이재킹 스키마가 일치하고 신뢰할 만한 분석"이라고 밝힘

## 핵심 포인트

- Lotus Blossom(Lotus Panda)이 Notepad++ 공유 호스팅 서버 침투
- 업데이트 트래픽 선별적 리다이렉트로 변조 NSIS 인스톨러 배포
- Chrysalis 백도어: 커스텀 API 해싱, 다중 난독화, 구조화된 C2 통신
- Bitdefender 바이너리를 악용한 DLL 사이드로딩 기법

## 인사이트

오픈소스 텍스트 에디터의 업데이트 인프라까지 국가 단위 APT의 공격 대상이 된다는 건, 소프트웨어 공급망 보안이 얼마나 광범위한 문제인지를 보여줌.