Uma vulnerabilidade recentemente corrigida no Windows Server Update Services (WSUS) está sendo explorada por hackers para distribuir ShadowPad, um dos backdoors mais avançados e discretos associados a grupos hackers apoiados pelo Estado chinês.

A falha, identificada como CVE-2025-59287, permite execução remota de código com privilégios de sistema e tem sido alvo de exploração intensa desde a divulgação pública de um código de prova de conceito.

Segundo um relatório do AhnLab Security Intelligence Center (ASEC), os invasores têm direcionado servidores Windows com o WSUS habilitado, explorando a falha como porta de entrada. Após comprometer o ambiente, os hackers utilizam PowerCat, uma ferramenta open-source baseada em PowerShell, para obter um shell de comando (CMD).

Em seguida, recorrem a utilitários legítimos do Windows, como certutil e curl, para baixar e instalar o ShadowPad a partir de um servidor remoto.

O ShadowPad, sucessor do PlugX e ativo desde 2015, é um backdoor modular conhecido por sua sofisticação em operações de espionagem internacional. Em análises anteriores, Pesquisadores destacaram o malware como uma “obra-prima” da espionagem digital chinesa, dado seu design modular, capacidade de carregar plug-ins em memória e técnicas avançadas para evitar detecção.

Os ataques identificados utilizam DLL side-loading, abusando do binário legítimo ETDCtrlHelper.exe para carregar uma DLL maliciosa (ETDApix.dll). Essa DLL atua como um loader residente em memória, permitindo que o ShadowPad execute módulos adicionais que expandem suas funções, incluindo persistência, anti-detecção e comunicação sigilosa com servidores de comando e controle.

Além da instalação do backdoor, os hackers têm usado a vulnerabilidade para realizar reconhecimento inicial nos sistemas comprometidos e, em alguns casos, até mesmo instalar ferramentas legítimas como o Velociraptor, frequentemente empregadas para coleta de informações e movimentação lateral em ambientes corporativos.

Embora o ShadowPad seja amplamente associado a grupos hackers ligados ao governo chinês, o ataque específico documentado pela AhnLab ainda não foi atribuído a nenhum grupo conhecido. A empresa alerta que a vulnerabilidade é crítica, pois oferece aos invasores controle total da máquina afetada — fator agravado pela rápida adoção da falha após o lançamento do código PoC.

Via - THN