Uma vulnerabilidade recentemente corrigida no Microsoft Windows Server Update Services (WSUS) está sendo explorada por cibercriminosos para distribuir o malware ShadowPad.
Segundo relatório divulgado na semana passada pelo AhnLab Security Intelligence Center (ASEC), os atacantes miraram servidores Windows com WSUS ativado, explorando a falha
CVE-2025-59287
para obter acesso inicial.
“Eles utilizaram o PowerCat, uma ferramenta open-source baseada em PowerShell semelhante ao Netcat, para abrir uma shell de sistema (CMD).
Em seguida, baixaram e instalaram o ShadowPad usando os utilitários certutil e curl”, detalhou o ASEC.
Considerado sucessor do PlugX, o ShadowPad é um backdoor modular amplamente associado a grupos de hacking patrocinados pelo governo chinês.
Sua primeira aparição registrada foi em 2015.
Em uma análise da SentinelOne, publicada em agosto de 2021, o malware foi descrito como uma “obra-prima do malware comercialmente vendido no contexto de espionagem chinesa”.
A falha
CVE-2025-59287
, corrigida pela Microsoft no mês passado, está relacionada a um problema crítico de desserialização no WSUS, que permite a execução remota de código com privilégios de sistema.
Desde então, a vulnerabilidade tem sido amplamente explorada por agentes maliciosos para obter acesso inicial a instâncias WSUS expostas publicamente, realizar reconhecimento e até instalar ferramentas legítimas, como o Velociraptor.
No ataque monitorado pela empresa sul-coreana, os invasores usaram a vulnerabilidade para executar utilitários do Windows — como curl.exe e certutil.exe — que contataram um servidor externo (149.28.78[.]189:42306) para baixar e instalar o ShadowPad.
O malware é disparado por meio do método DLL side-loading, aproveitando um binário legítimo chamado ETDCtrlHelper.exe para carregar uma DLL maliciosa (ETDApix.dll), que atua como loader residente na memória para ativar o backdoor.
Após a instalação, o ShadowPad executa um módulo central responsável por carregar outros plugins embutidos no shellcode diretamente na memória.
Além disso, o malware incorpora diversas técnicas avançadas de evasão e persistência para dificultar sua detecção e remoção.
“Ao ser divulgado publicamente o código de prova de conceito (PoC) para essa vulnerabilidade, os atacantes rapidamente o utilizaram para disseminar o ShadowPad via servidores WSUS”, ressaltou o AhnLab.
“Essa vulnerabilidade é crítica porque permite execução remota de código com permissões de sistema, elevando muito o potencial de impacto.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...