Teknogav.com – Rantai pasokan Notepad++ menjadi tempat persembunyian serangkaian serangan yang berhasil ditemukan para peneliti Kaspersky Global Research and Analysis Team (GReAT). Sasaran serangan tersebut mencakup organisasi pemerintahan di Filipina, lembaga keuangan di El Savador dan penyedia layanan TI di Vietnam. Selain itu, serangan juga menargetkan para individu di tiga negara. Serangan tersebut menggunakan setidaknya tiga rantai infeksi berbeda, dua di antaranya masih belum diketahui publik.

Para penyerang sepenuhnya mengubah malware, infrastruktur perintah dan kontrol, serta metode pengiriman. Upaya tersebut dilakukuan kira-kira setiap bulan antara Juli dan Oktober 2025. Sampai sekarang, rantai serangan tunggal yang didokumentasikan secara publik hanya mewakili fase terakhir dari kampanye yang lebih panjang dan canggih.

Baca juga: Hati-hati, Banyak File Berbahaya Berkedok E-Book dengan Format PDF Beredar 

Para pengembang Notepad++ mengungkapkan pada 2 Februari 2026 bahwa infrastruktur pembaruan mereka telah dikompromikan karena insiden penyedia hosting. Pelaporan publik sebelumnya hanya fokus pada malware yang diamati pada Oktober 2025. Kondisi tersebut membuat organisasi tak menyadari indikator pelanggaran yang sangat berbeda dengan yang digunakan dari Juli sampai September.

Baca juga: Mesin Windows Server Jadi Sasaran Kampanye Spionase Siber PassiveNeuro
 
Alamat IP berbahaya, nama domain, metode eksekusi dan muatan yang berbeda digunakan pada setiap rantai. Semua serangan yang teridentifikasi saat dieksekusi pun diblokir oleh solusi Kaspersky. Daftar lengkap indikator pelanggaran ini telah diterbitkan pakar GReAT Kaspersky. Dalam daftar tersebut mencakupenam hash pembaruan berbahaya, 14 URL C2, dan delapan hash file berbahaya yang belum dilaporkan sebelumnya.

Baca juga: Malware Qbot Gencar Serang Email Perusahaan dengan PDF Berbahaya  

"Para ahli yang memeriksa sistem mereka terhadap IoC yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman. Infrastruktur Juli-September benar-benar berbeda — IP yang berbeda, domain yang berbeda, hash file yang berbeda. Dan mengingat seberapa sering penyerang ini merotasi alat mereka, kita tidak dapat mengesampingkan keberadaan rantai tambahan yang belum ditemukan,” ucap Georgy Kucherin, peneliti keamanan senior di Kaspersky GReAT.