Los actores de amenazas explotaron una vulnerabilidad recientemente reparada en Microsoft Windows Server Update Services (WSUS) para difundir malware llamado ShadowPad.
“El atacante apuntó a servidores Windows con WSUS habilitado y aprovechó CVE-2025-59287 para el acceso inicial”, dijo el Centro de Inteligencia de Seguridad AhnLab (ASEC) en un informe publicado la semana pasada. “Luego utilizaron PowerCat, una utilidad Netcat de código abierto basada en PowerShell, para obtener un shell del sistema (CMD). Luego descargaron e instalaron ShadowPad usando certutil y curl”.
ShadowPad, considerado el sucesor de PlugX, es una puerta trasera modular comúnmente utilizada por grupos de piratería patrocinados por el estado chino. Apareció por primera vez en 2015. En un análisis publicado en agosto de 2021, SentinelOne lo llamó una “obra maestra de malware vendido de forma privada en el espionaje chino”.
CVE-2025-59287, solucionado por Microsoft el mes pasado, se relaciona con una falla crítica de deserialización en WSUS que podría explotarse para lograr la ejecución remota de código con privilegios del sistema. Desde entonces, la vulnerabilidad ha sido ampliamente explotada. Los actores de amenazas los utilizan para obtener el primer acceso a instancias de WSUS de acceso público, realizar reconocimientos e incluso eliminar herramientas legítimas como Velociraptor.
 |
|
ShadowPad se instaló mediante el exploit CVE-2025-59287 |
El ataque, documentado por la firma de ciberseguridad de Corea del Sur, encontró que los atacantes utilizaron la vulnerabilidad como arma para iniciar utilidades de Windows como “curl.exe” y “certutil.exe” y contactar a un servidor externo (“149.28.78(.)189:42306”) para descargar e instalar ShadowPad.
ShadowPad, similar a PlugX, se inicia mediante descarga de DLL y utiliza un binario legítimo (“ETDCtrlHelper.exe”) para ejecutar una carga útil de DLL (“ETDApix.dll”), que actúa como un cargador residente en memoria para ejecutar la puerta trasera.
Una vez instalado el malware, inicia un módulo central que es responsable de cargar en la memoria otros complementos incrustados en el código shell. También está equipado con una variedad de técnicas de persistencia y antidetección.
“Después de que se publicó públicamente el código de explotación de prueba de concepto (PoC) para la vulnerabilidad, los atacantes rápidamente lo utilizaron como arma para propagar el malware ShadowPad a través de los servidores WSUS”, dijo AhnLab. “Esta vulnerabilidad es crítica porque permite la ejecución remota de código con privilegios a nivel de sistema, lo que aumenta significativamente el impacto potencial”.
About The Author
