Οι επιτιθέμενοι που υποστηρίζονται από την Κίνα έχουν αρχίσει να οπλίζουν μια κρίσιμη ευπάθεια στις Υπηρεσίες ενημέρωσης διακομιστή Microsoft Windows (WSUS) για να διανείμουν το ShadowPad, ένα εξελιγμένο κακόβουλο λογισμικό backdoor που συνδέεται με πολλές ομάδες που χρηματοδοτούνται από το κράτος.
Η αλυσίδα επίθεσης εκμεταλλεύεται το CVE-2025-59287, ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που παρέχει πρόσβαση σε επίπεδο συστήματος σε ευάλωτους διακομιστές.
Από τότε που ο κώδικας απόδειξης της ιδέας κυκλοφόρησε δημόσια τον Οκτώβριο, οι φορείς απειλών υιοθέτησαν γρήγορα αυτήν την ευπάθεια για να παραβιάσουν τα εταιρικά δίκτυα που εκτελούν την υποδομή WSUS.
Η επίθεση ξεκινά όταν οι χάκερ στοχεύουν διακομιστές Windows με ενεργοποιημένο το WSUS, αξιοποιώντας το CVE-2025-59287 για να αποκτήσουν αρχική πρόσβαση στο σύστημα.
Μόλις μπουν μέσα, οι εισβολείς αναπτύσσουν το PowerCat, ένα βοηθητικό πρόγραμμα ανοιχτού κώδικα που βασίζεται στο PowerShell που παρέχει άμεση πρόσβαση στο φλοιό εντολών στο παραβιασμένο σύστημα.
Αυτή η βάση πρώτου σταδίου επιτρέπει στους εισβολείς να εκτελέσουν τις επόμενες εντολές που απαιτούνται για την ανάπτυξη κακόβουλου λογισμικού.
Αναλυτές ασφαλείας της ASEC αναγνωρισθείς το κακόβουλο λογισμικό μετά την παρατήρηση εντολών εκτέλεσης PowerCat που χρησιμοποιούνται σε επιθέσεις.
Οι ερευνητές τεκμηρίωσαν πώς οι φορείς απειλών κατεβάζουν και εγκαθιστούν το ShadowPad χρησιμοποιώντας νόμιμες βοηθητικές εφαρμογές των Windows όπως το certutil και το curl. Αυτή η τεχνική βοηθά στην αποφυγή εντοπισμού, επειδή αυτά τα εργαλεία είναι τυπικά στοιχεία των συστημάτων Windows.
Στις 6 Νοεμβρίου, η υποδομή της ASEC εντόπισε εισβολείς που κατέβασαν πολλαπλά κωδικοποιημένα αρχεία πριν τα αποκωδικοποιήσουν και τα εκτελέσουν ως ωφέλιμο φορτίο ShadowPad.
Εμμονή μέσω πλευρικής φόρτωσης DLL
Το ShadowPad λειτουργεί μέσω μιας έξυπνης τεχνικής αποφυγής που ονομάζεται DLL sideloading. Αντί να εκτελείται ως αυτόνομο εκτελέσιμο, το κακόβουλο λογισμικό χρησιμοποιεί μια νόμιμη εφαρμογή των Windows (ETDCtrlHelper.exe) που φορτώνει ένα κακόβουλο DLL (ETDApix.dll) με το ίδιο όνομα.
Όταν εκτελείται το νόμιμο πρόγραμμα, φορτώνει εν αγνοία του την παραβιασμένη βιβλιοθήκη, η οποία λειτουργεί ως φορτωτής για την πραγματική κερκόπορτα του ShadowPad που λειτουργεί εξ ολοκλήρου στη μνήμη.
Η βασική λειτουργικότητα κακόβουλου λογισμικού αποθηκεύεται σε ένα προσωρινό αρχείο που περιέχει πλήρη δεδομένα διαμόρφωσης backdoor.
Το κακόβουλο λογισμικό αποκαθιστά την επιμονή δημιουργώντας υπηρεσίες, καταχωρίσεις μητρώου και προγραμματισμένες εργασίες με το αναγνωριστικό “Q-X64”. Επικοινωνεί με διακομιστές εντολών και ελέγχου στο 163.61.102[.]245 χρησιμοποιώντας πρωτόκολλα HTTP και HTTPS ενώ συγκαλύπτετε την κυκλοφορία με τις τυπικές κεφαλίδες του προγράμματος περιήγησης Firefox.
Το κακόβουλο λογισμικό μπορεί να εγχυθεί σε πολλαπλές διεργασίες συστήματος, συμπεριλαμβανομένων των υπηρεσιών Mail των Windows, Media Player και svchost.
Οι οργανισμοί που εκτελούν το WSUS θα πρέπει να εφαρμόσουν αμέσως την ενημέρωση ασφαλείας της Microsoft για το CVE-2025-59287 και να παρακολουθούν τα αρχεία καταγραφής διακομιστή για ύποπτα μοτίβα εκτέλεσης PowerShell, certutil και curl για τον εντοπισμό πιθανών προσπαθειών παραβίασης.
