El sofisticado malware ShadowPad ha vuelto a ser protagonista en la escena de la ciberseguridad. Esta vez, los atacantes están explotando activamente una vulnerabilidad crítica en Windows Server Update Services (WSUS) para obtener acceso completo a los sistemas afectados. el fallo identificado como CVE-2025-59287, fue recientemente parcheado por Microsoft, pero ya ha sido aprovechado por grupos de amenazas para propagar esta peligrosa puerta trasera.
Según un informe del Centro de Inteligencia de Seguridad de AhnLab (ASEC), los atacantes se dirigieron a servidores Windows con WSUS habilitado, utilizando la falla para ejecutar código remoto y establecer control total sobre el sistema. Tras comprometer el servidor, usaron PowerCat, una herramienta basada en PowerShell, para abrir un shell CMD y posteriormente descargar ShadowPad a través de los comandos certutil y curl.
ShadowPad y la vulnerabilidad CVE-2025-59287: un ataque con precisión quirúrgica
El malware ShadowPad, es considerado el sucesor de PlugX, es una de las puertas traseras más avanzadas asociadas con el espionaje cibernético chino. Su primera aparición se remonta a 2015, y desde entonces ha sido vinculado a numerosas campañas dirigidas contra infraestructuras críticas y sectores estratégicos.
Esta vulnerabilidad es crítica porque permite la ejecución remota de código con permisos a nivel de sistema, lo que aumenta significativamente su impacto potencial, señaló AhnLab.
Esta vulnerabilidad CVE-2025-59287 corresponde a un error de deserialización de WSUS que permite ejecutar código remoto con privilegios del sistema. Esto ofrece a los atacantes un punto de entrada perfecto para desplegar malware y herramientas de control avanzado.
En este caso, los investigadores observaron cómo los atacantes ejecutaron curl.exe y certutil.exe para conectarse con un servidor remoto (149.28.78[.]189:42306) y descargar el paquete malicioso. A partir de ahí, el sistema comprometido se convierte en una plataforma controlada por ShadowPad.
Una amenaza modular que evoluciona con el tiempo
El mecanismo de infección de ShadowPad se basa en técnicas sofisticadas de carga lateral de DLL, empleando binarios legítimos como ETDCtrlHelper.exe para ejecutar la carga útil ETDApix.dll. Esta DLL actúa como cargador en memoria, ocultando su presencia y permitiendo que la puerta trasera funcione de forma sigilosa.
Una vez activo, el malware ejecuta un módulo principal que carga otros complementos directamente en memoria, evitando la detección por antivirus tradicionales. Entre sus funciones se incluyen la persistencia, el reconocimiento del sistema y la carga dinámica de módulos adicionales diseñados para el robo de información o el control remoto.
Aunque aún no se ha atribuido el ataque a un grupo específico, la firma técnica de ShadowPad coincide con tácticas empleadas por grupos de amenazas respaldados por el Estado chino, lo que sugiere una campaña más amplia de espionaje digital.
Código PoC público: el catalizador de una ola de ataques
Uno de los factores que ha favorecido la rápida explotación de esta vulnerabilidad es la disponibilidad pública del código de prueba de concepto (PoC). Desde su publicación, múltiples actores han aprovechado la falla para comprometer servidores WSUS expuestos, desplegar malware y ejecutar herramientas como Velociraptor para el control y monitoreo de sistemas.
El incidente demuestra una vez más cómo la publicación de exploits sin un parche ampliamente adoptado puede desencadenar campañas masivas de infección en cuestión de días. Expertos recomiendan aplicar de inmediato las actualizaciones de seguridad de Microsoft, deshabilitar servidores WSUS expuestos a Internet y monitorear conexiones salientes sospechosas.
ShadowPad sigue demostrando su capacidad para adaptarse y sobrevivir en entornos complejos, consolidándose como una de las herramientas más peligrosas del ciberespionaje moderno.