Un parche sin instalar bastó para darles control total: hackers convirtieron el servicio de actualizaciones de Microsoft en un canal de ataques
La sentencia de muerte de la infraestructura se firmó justo cuando se creyó que el perímetro era seguro.
Una vulnerabilidad recientemente corregida en el servicio Microsoft Windows Server Update Services provocó una serie de ataques en los que se empleó uno de los programas espía más notables de los últimos años. Los incidentes muestran lo rápido que los atacantes pasan de estudiar un ejemplo de explotación publicado a utilizar activamente el fallo para infiltrarse en la infraestructura.
Según la empresa surcoreana AhnLab, un grupo desconocido obtenía acceso a servidores Windows con WSUS habilitado, utilizando la vulnerabilidad CVE-2025-59287. A través de ella se ejecutaban utilidades estándar del sistema que permitían conectarse a un servidor externo y descargar código malicioso. Antes de instalar la herramienta principal se usaba la utilidad PowerCat, que proporcionaba a los atacantes una consola remota. Luego, mediante certutil y curl, se desplegaba ShadowPad en el sistema.
Este programa se considera una evolución de PlugX y desde hace tiempo es utilizado por actores vinculados a China. Su arquitectura se basa en un esquema modular y su ejecución se realiza mediante la sustitución de bibliotecas. En el archivo legítimo ETDCtrlHelper.exe se carga una biblioteca DLL en memoria que se encarga de ejecutar el contenido principal. En su interior se despliega un módulo que carga componentes adicionales y aplica técnicas de ocultación y mecanismos de persistencia en el sistema.
Microsoft solucionó la vulnerabilidad CVE-2025-59287 hace un mes. Se clasifica como crítica, ya que permite ejecutar código arbitrario con privilegios del sistema. Tras la publicación de un ejemplo de explotación, muchos grupos comenzaron a comprobar masivamente los servidores WSUS disponibles, obtener acceso inicial, realizar reconocimiento y cargar tanto archivos maliciosos como herramientas legítimas de administración. Según AhnLab, así fue como ShadowPad apareció en los servidores.
El incidente puso de manifiesto que cada vulnerabilidad se convierte en una amenaza real si se retrasa su corrección. Cuanto más rápido se solucionen los problemas detectados, menor será la probabilidad de que los atacantes se consoliden en la infraestructura y conviertan la falla en una crisis.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!