Según el antiguo proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025. Incluso tras perder el acceso al servidor, los atacantes mantuvieron las credenciales de los servicios internos hasta el 2 de diciembre de 2025, lo que les permitió seguir redirigiendo el tráfico de actualizaciones de Notepad++ a servidores maliciosos. Los atacantes atacaron específicamente el dominio de Notepad++ con el objetivo de aprovechar los controles de verificación de actualizaciones insuficientes.