Een backdoor die zich via Notepad++ verspreidde, maakte gebruik van Bitdefender-software om te laden. Dit meldt Rapid7 in een analyse. Aanvallers hadden maandenlang toegang tot de shared hostingserver van Notepad++ en verspreidden via een kwetsbaarheid malafide updates onder bepaalde gebruikers. Notepad++ is populair bij softwareontwikkelaars. De updates installeerden een backdoor bij doelwitten, aldus Rapid7.

Nadat de update was gedownload, gebruikte deze de Bitdefender Submission Wizard voor verdere infectie. Dit onderdeel van Bitdefender antivirus uploadt verdachte bestanden naar het antivirusbedrijf. De software was kwetsbaar voor dll-sideloading, waarbij kwaadaardige code in een dll-bestand wordt geplaatst. Aanvallers zetten dit bestand vaak in de directory van de bijbehorende executable. Bij uitvoering van de executable wordt ook het kwaadaardige dll-bestand geladen. Om detectie te vermijden, hernoemden de aanvallers de Bitdefender Submission Wizard naar "BluetoothService". Het malafide dll-bestand dat door de Bitdefender-software wordt geladen, activeert uiteindelijk de Chrysalis-backdoor. Deze backdoor verzamelt systeeminformatie en maakt verbinding met een command & control-server. Aanvallers krijgen volledige controle over het systeem, kunnen bestanden stelen, extra malware installeren en de backdoor verwijderen.