Los actores de amenazas han aprovechado una falla de seguridad recientemente corregida en Microsoft Windows Server Update Services (WSUS) para distribuir malware conocido como ShadowPad.
«El atacante atacó servidores Windows con WSUS habilitado y aprovechó el CVE-2025-59287 para obtener un acceso inicial», dijo el Centro de Inteligencia de Seguridad (ASEC) de AhnLab dijo en un informe publicado la semana pasada. «Luego usaron PowerCAT , una utilidad Netcat de código abierto basada en PowerShell, para obtener un shell de sistema (CMD). Posteriormente, descargaron e instalaron ShadowPad usando certutil y curl».
ShadowPad , considerada sucesora de PlugX, es una puerta trasera modular muy utilizada por los grupos de hackers patrocinados por el estado chino. Surgió por primera vez en 2015. En un análisis publicado en agosto de 2021, SentinelOne llamada es una «obra maestra del malware vendido de forma privada en el espionaje chino».
CVE-2025-59287 , abordado por Microsoft el mes pasado, se refiere a una falla crítica de deserialización en WSUS que podría aprovecharse para lograr la ejecución remota de código con privilegios del sistema. Desde entonces, la vulnerabilidad ha sido objeto de una intensa explotación, y los actores de amenazas la utilizan para obtener un acceso inicial a las instancias de WSUS expuestas al público, realizar tareas de reconocimiento e incluso eliminar herramientas legítimas como Velocirraptor .
|
|
ShadowPad instalado mediante el exploit CVE-2025-59287 |
En el ataque documentado por la empresa de ciberseguridad surcoreana, se descubrió que los atacantes utilizaban como arma la vulnerabilidad para lanzar utilidades de Windows como "curl.exe" y "certutil.exe», para ponerse en contacto con un servidor externo («149.28.78 [.] 189:42306 «) para descargar e instalar ShadowPad.
ShadowPad, similar a PlugX, se lanza mediante la carga lateral de DLL, aprovechando un binario legítimo (» ETDCtrlHelper.exe «) para ejecutar una carga útil de DLL (» ETDApix.dll «), que sirve como cargador residente en la memoria para ejecutar la puerta trasera.
Una vez instalado, el malware está diseñado para lanzar un módulo central que se encarga de cargar en la memoria otros complementos incrustados en el código shell. También viene equipado con una variedad de técnicas antidetección y de persistencia.
«Tras la publicación del código de explotación de prueba de concepto (PoC) de la vulnerabilidad, los atacantes lo convirtieron rápidamente en un arma para distribuir el malware ShadowPad a través de los servidores de WSUS», afirma AhnLab. «Esta vulnerabilidad es crítica porque permite la ejecución remota de código con el permiso del sistema, lo que aumenta considerablemente el impacto potencial».