Los actores de amenazas han laborioso una defecto de seguridad recientemente reparada en Microsoft Windows Server Update Services (WSUS) para distribuir malware conocido como ShadowPad.
“El atacante apuntó a servidores Windows con WSUS capacitado, explotando CVE-2025-59287 para el llegada original”, dijo AhnLab Security Intelligence Center (ASEC) en un noticia publicado la semana pasada. “Luego utilizaron PowerCat, una utilidad Netcat de código hendido basada en PowerShell, para obtener un shell del sistema (CMD). Luego, descargaron e instalaron ShadowPad usando certutil y curl”.
ShadowPad, considerado el sucesor de PlugX, es una puerta trasera modular ampliamente utilizada por grupos de hackers patrocinados por el estado chino. Surgió por primera vez en 2015. En un disección publicado en agosto de 2021, SentinelOne lo llamó una “obra maestra de malware vendido de forma privada en el espionaje chino”.
CVE-2025-59287, abordado por Microsoft el mes pasado, se refiere a una defecto crítica de deserialización en WSUS que podría explotarse para conseguir la ejecución remota de código con privilegios del sistema. Desde entonces, la vulnerabilidad ha sido objeto de una intensa explotación, y los actores de amenazas la utilizan para obtener llegada original a instancias de WSUS expuestas públicamente, realizar reconocimientos e incluso eliminar herramientas legítimas como Velociraptor.
 |
ShadowPad instalado mediante el exploit CVE-2025-59287 |
En el ataque documentado por la compañía de ciberseguridad de Corea del Sur, se descubrió que los atacantes utilizaron la vulnerabilidad como armas para iniciar utilidades de Windows como “curl.exe” y “certutil.exe” para contactar a un servidor foráneo (“149.28.78(.)189:42306”) para descargar e instalar ShadowPad.
ShadowPad, similar a PlugX, se inicia mediante carga supletorio de DLL, aprovechando un binario legal (“ETDCtrlHelper.exe”) para ejecutar una carga útil de DLL (“ETDApix.dll”), que sirve como un cargador residente en memoria para ejecutar la puerta trasera.
Una vez instalado, el malware está diseñado para iniciar un módulo central que es responsable de cargar en la memoria otros complementos incrustados en el código shell. Todavía viene equipado con una variedad de técnicas de persistencia y antidetección.
“A posteriori de que se publicó públicamente el código de explotación de prueba de concepto (PoC) para la vulnerabilidad, los atacantes rápidamente lo utilizaron como armas para distribuir el malware ShadowPad a través de servidores WSUS”, dijo AhnLab. “Esta vulnerabilidad es crítica porque permite la ejecución remota de código con permiso a nivel de sistema, lo que aumenta significativamente el impacto potencial”.
