Si tu servidor WSUS no está parchado, hoy mismo podría estar instalando malware en lugar de actualizaciones. Y lo peor: ni te darías cuenta.

ShadowPad Malware Explota Vulnerabilidad Crítica en WSUS: acceso total con privilegios de sistema

Una nueva campaña de ataque está aprovechando activamente la vulnerabilidad CVE-2025-59287 en Windows Server Update Services (WSUS).
Este servicio es clave en empresas, gobierno y entornos corporativos, porque centraliza las actualizaciones de Windows.

Pero esta vez, el enemigo entró justo por ahí.

🔥 ¿Qué hace la vulnerabilidad?

Es un fallo de deserialización insegura que permite ejecución remota de código (RCE) con privilegios de SYSTEM.
Traducido para el día a día:
si tu WSUS está vulnerable, un atacante puede tomar control total del servidor, sin autenticación y sin interacción del usuario.

Y ese servidor suele ser uno de los más críticos en cualquier red corporativa.

🧨 Cómo se está explotando: paso a paso

Investigadores de AhnLab (ASEC) documentaron la cadena completa del ataque. La explicamos de forma práctica:

1️⃣ Acceso inicial por la vulnerabilidad (CVE-2025-59287)

Los atacantes obtienen ejecución de comandos remotos directamente como SYSTEM.

2️⃣ Obtención de un shell con PowerCat

Usan PowerCat, una herramienta legítima basada en PowerShell, para obtener control interactivo del servidor.

3️⃣ Uso de herramientas nativas para descargar malware

Para no levantar alertas, emplean binarios legítimos como:

• certutil (firmas digitales / descargas encubiertas)

• curl (descarga directa de payloads)

Con esto instalan ShadowPad, un backdoor modular usado desde 2015 por grupos avanzados, principalmente vinculados a China.

4️⃣ Carga sigilosa mediante DLL Side-Loading

La técnica es clásica, pero efectiva:

• Ejecutable legítimo: ETDCtrlHelper.exe

• DLL maliciosa: ETDApix.dll

El ejecutable carga la DLL maliciosa como si fuera legítima → el atacante obtiene persistencia y módulos avanzados en memoria.

5️⃣ Comunicación con C2 camuflada

ShadowPad se comunica con sus servidores usando:

• HTTP/HTTPS

• Encabezados falsos

• Tráfico que parece común

Esto lo hace difícil de detectar incluso con firewalls o IDS básicos.

⚠️ ¿Por qué hubo un aumento masivo de ataques?

Porque, tras publicarse el exploit de prueba de concepto (PoC), comenzaron ataques automatizados en masa.
Si un atacante escanea y encuentra WSUS sin parche… es prácticamente un acceso directo al corazón de tu infraestructura.

🛡️ Recomendaciones prácticas para TI, sysadmins y equipos de soporte

Esto es lo que tienes que hacer hoy mismo:

✅ 1. Instala el parche oficial de Microsoft

Es la medida más crítica. Cierra la puerta principal.

✅ 2. Restringe el acceso a WSUS

Debe aceptar conexiones solo desde Microsoft Update y servidores autorizados.
Evita que esté expuesto a internet o redes no confiables.

✅ 3. Monitorea comandos sospechosos

Si ves estos procesos fuera de mantenimiento programado, preocúpate:

• powershell.exe ejecutando scripts externos

• certutil.exe haciendo descargas

• curl.exe usado en servidores donde normalmente no se ocupa

• Conexiones salientes inusuales del servidor WSUS

✅ 4. Detecta side-loading en tus sistemas

Revisa si binarios legítimos están cargando DLL desconocidas.
Herramientas como Sysmon, Autoruns y EDR lo detectan rápido.

✅ 5. Aisla y revisa cualquier WSUS comprometido

Porque una vez dentro, ShadowPad permite:

• persistencia en memoria

• movimiento lateral

• robo de credenciales

• control total del servidor

No es malware básico: es un backdoor usado para espionaje y operaciones avanzadas.

🧩 Conclusión

Este incidente deja una lección clara:
cuando una pieza crítica como WSUS cae, toda la red puede caer detrás.

ShadowPad está siendo usado activamente porque la ventana de oportunidad es enorme: miles de servidores sin parche, alto privilegio, y poca visibilidad en operaciones diarias.

Proteger WSUS ya no es opcional.
Es una prioridad de riesgo alto.