Akibatnya, program pembaruan Notepad++ tidak mengunduh versi resmi aplikasi, melainkan file yang berisi komponen berbahaya tanpa disadari oleh pengguna.
Serangan Tidak Bersifat Massal
Yang membuat insiden ini semakin berbahaya adalah sifatnya yang sangat tertarget. Berdasarkan temuan para peneliti, tidak semua pengguna Notepad++ terkena dampak. Hanya lalu lintas dari target tertentu saja yang dialihkan ke server jahat.
Pendekatan ini menunjukkan tingkat kecanggihan tinggi, karena pelaku mampu menyaring korban secara selektif untuk menghindari deteksi dini dan mengurangi kemungkinan alarm keamanan global.
Serangan Diperkirakan Dimulai Sejak Juni 2025
Berdasarkan analisis forensik, insiden keamanan ini diyakini sudah berlangsung sejak Juni 2025, atau lebih dari enam bulan sebelum akhirnya terungkap ke publik. Selama periode tersebut, pelaku ancaman secara konsisten memanfaatkan celah ini untuk menyusup ke jaringan target.
Lamanya durasi serangan menunjukkan bahwa mekanisme deteksi tradisional tidak langsung menangkap anomali tersebut, terutama karena proses pembaruan aplikasi dianggap sebagai aktivitas sah oleh sebagian besar sistem keamanan.
Peneliti Independen Ungkap Peran APT China
Kasus ini mendapat perhatian luas setelah diungkap oleh Kevin Beaumont, peneliti keamanan independen yang dikenal aktif menginvestigasi kampanye siber tingkat lanjut.
APT31 atau Violet Typhoon Jadi Dalang
Menurut Beaumont, celah keamanan Notepad++ dieksploitasi oleh pelaku ancaman asal Tiongkok yang didukung negara, dikenal dengan nama Violet Typhoon, atau juga disebut APT31.
