Los actores de amenazas explotaron una falla de seguridad recientemente reparada en Microsoft Windows Server Update Services (WSUS) para distribuir malware conocido como ShadowPad.
«Los atacantes apuntaron a servidores Windows con WSUS habilitado y explotaron CVE-2025-59287 para el acceso inicial», dijo el Centro de Inteligencia de Seguridad AhnLab (ASEC) en un informe publicado la semana pasada. «Luego usaron PowerCat, una utilidad Netcat de código abierto basada en PowerShell, para obtener un shell del sistema (CMD). Luego usaron certutil y curl para descargar e instalar ShadowPad».
ShadowPad, considerado un sucesor de PlugX, es una puerta trasera modular ampliamente utilizada por grupos de hackers patrocinados por el estado chino. Este virus apareció por primera vez en 2015. En un análisis publicado en agosto de 2021, SentinelOne lo llamó una “obra maestra de malware vendido de forma privada en operaciones de espionaje chinas”.
CVE-2025-59287, que Microsoft abordó el mes pasado, se refiere a una falla crítica en la deserialización de WSUS que puede explotarse para lograr la ejecución remota de código con privilegios del sistema. Desde entonces, esta vulnerabilidad se ha explotado con mayor frecuencia y los atacantes la utilizan para obtener acceso inicial a instancias WSUS expuestas, realizar reconocimientos e incluso eliminar herramientas legítimas como Velociraptor.
CVE-2025-59287 ShadowPad instalado mediante exploit
En el ataque, documentado por una empresa de ciberseguridad de Corea del Sur, el atacante utilizó la vulnerabilidad para iniciar utilidades de Windows como curl.exe y certutil.exe para conectarse a un servidor externo (149.28.78(.)189:42306) para descargar e instalar ShadowPad.
Al igual que PlugX, ShadowPad se inicia mediante la descarga de DLL, utilizando un binario legítimo (‘ETDCtrlHelper.exe’) para ejecutar una carga útil de DLL (‘ETDApix.dll’). Actúa como un cargador residente en memoria que ejecuta la puerta trasera.
Una vez instalado, el malware está diseñado para iniciar un módulo central que carga en la memoria otros complementos integrados en el código shell. También incluye diversas técnicas de antidetección y persistencia.
«Después de que se publicó el código de explotación de prueba de concepto (PoC) para esta vulnerabilidad, los atacantes rápidamente lo utilizaron como arma y distribuyeron el malware ShadowPad a través de servidores WSUS», dijo AhnLab. «Esta vulnerabilidad es importante porque permite la ejecución remota de código con privilegios a nivel de sistema, lo que aumenta significativamente el impacto potencial».
Source link
