Servidores Windows estão sendo alvos de ataques que exploram uma falha crítica no Windows Server Update Services (WSUS) para instalar o perigoso malware ShadowPad com privilégios de sistema. A vulnerabilidade, identificada como CVE-2025-59287, permite a execução remota de código por meio de uma falha de desserialização, dando controle total aos invasores. Segundo especialistas em cibersegurança, os atacantes utilizam o PowerCat, ferramenta baseada em PowerShell, para obter um shell de sistema, e em seguida empregam comandos com certutil e curl para baixar o ShadowPad.
Esse malware, considerado sucessor do PlugX, é amplamente vinculado a grupos de espionagem cibernética chineses. A infecção ocorre por meio de uma técnica conhecida como DLL side loading, em que um executável legítimo, como o ETDCtrlHelper.exe, carrega uma DLL maliciosa chamada ETDApix.dll. Essa DLL funciona como carregador do ShadowPad, executando o código malicioso diretamente na memória e dificultando sua detecção. O ShadowPad é modular e altamente sofisticado, oferecendo uma variedade de plugins e técnicas de persistência.
O aumento nos ataques foi observado após a divulgação pública de um código de prova de conceito (PoC) da falha, o que acelerou sua exploração em servidores WSUS expostos. Embora ainda não haja atribuição oficial a um grupo específico, a gravidade da falha e a complexidade do ataque reforçam o alerta para que administradores de sistemas atualizem imediatamente seus servidores e reforcem medidas de proteção.
