Los actores de amenazas han aprovechado una falla de seguridad recientemente reparada en Microsoft Windows Server Update Services (WSUS) para distribuir un malware conocido como ShadowPad.
«El atacante apuntó a servidores Windows con WSUS habilitado, explotando CVE-2025-59287 para el acceso inicial», dijo AhnLab Security Intelligence Center (ASEC) en un informe publicado la semana pasada. «Luego utilizaron PowerCat, una utilidad Netcat de código abierto basada en PowerShell, para obtener un shell del sistema (CMD). Posteriormente, descargaron e instalaron ShadowPad usando certutil y curl».
ShadowPad, considerado el sucesor de PlugX, es una puerta trasera modular ampliamente utilizada por grupos de hackers patrocinados por el estado chino. Surgió por primera vez en 2015. En un análisis publicado en agosto de 2021, SentinelOne lo llamó una «obra maestra de malware vendido de forma privada en el espionaje chino».
CVE-2025-59287, abordado por Microsoft el mes pasado, se refiere a una falla crítica de deserialización en WSUS que podría explotarse para lograr la ejecución remota de código con privilegios del sistema. Desde entonces, la vulnerabilidad ha sido objeto de una intensa explotación, y los actores de amenazas la utilizan para obtener acceso inicial a instancias de WSUS expuestas públicamente, realizar reconocimientos e incluso eliminar herramientas legítimas como Velociraptor.
 |
| ShadowPad instalado mediante el exploit CVE-2025-59287 |
En el ataque documentado por la compañía de ciberseguridad de Corea del Sur, se descubrió que los atacantes utilizaron la vulnerabilidad como arma para iniciar utilidades de Windows como «curl.exe» y «certutil.exe» para contactar a un servidor externo («149.28.78(.)189:42306») para descargar e instalar ShadowPad.
ShadowPad, similar a PlugX, se inicia mediante carga lateral de DLL, aprovechando un binario legítimo («ETDCtrlHelper.exe») para ejecutar una carga útil de DLL («ETDApix.dll»), que sirve como un cargador residente en memoria para ejecutar la puerta trasera.
Una vez instalado, el malware está diseñado para iniciar un módulo central que es responsable de cargar en la memoria otros complementos incrustados en el código shell. También viene equipado con una variedad de técnicas de persistencia y antidetección. La actividad no se ha atribuido a ningún actor o grupo de amenazas conocido.
«Después de que se publicó públicamente el código de explotación de prueba de concepto (PoC) para la vulnerabilidad, los atacantes rápidamente lo utilizaron como arma para distribuir el malware ShadowPad a través de servidores WSUS», dijo AhnLab. «Esta vulnerabilidad es crítica porque permite la ejecución remota de código con permiso a nivel de sistema, lo que aumenta significativamente el impacto potencial».