Redazione RHC : 24 noviembre 2025 16:31
Una vulnerabilidad recientemente parcheada en los servicios de actualización de Windows Server de Microsoft ha dado lugar a una serie de ataques que utilizan una de las herramientas de espionaje más notorias de los últimos años.
Los incidentes demuestran con qué rapidez los atacantes pueden pasar de estudiar un exploit publicado a explotar activamente la vulnerabilidad para penetrar la infraestructura.
Según la empresa surcoreana AhnLab , un grupo desconocido accedió a servidores Windows con WSUS aprovechando la vulnerabilidad CVE-2025-59287. Esta vulnerabilidad se aprovechó para ejecutar utilidades estándar del sistema, lo que permitió a los atacantes contactar con un servidor externo y descargar código malicioso.
Antes de instalar la herramienta principal, se utilizó la utilidad PowerCat , que proporcionó a los atacantes un símbolo del sistema remoto. Posteriormente, mediante certutil y curl , se instaló ShadowPad en el sistema.
Este programa se considera un desarrollo de PlugX y ha sido utilizado durante mucho tiempo por entidades vinculadas a China. Su arquitectura es modular y se lanza mediante sustitución de bibliotecas.
Un archivo DLL, ubicado en memoria y responsable de ejecutar el contenido principal, se carga en el archivo legítimo ETDCtrlHelper.exe . Dentro de este archivo se implementa un módulo que carga componentes adicionales y utiliza mecanismos de sigilo y persistencia.
Microsoft corrigió el error CVE-2025-59287 hace un mes. El error se clasifica como crítico porque permite la ejecución de código arbitrario con privilegios de sistema . Tras la publicación de un exploit de demostración, varios grupos comenzaron a escanear masivamente los servidores WSUS accesibles, obteniendo acceso inicial, realizando tareas de reconocimiento y descargando tanto archivos maliciosos como herramientas de administración legítimas. Según AhnLab, así es como se distribuyó ShadowPad a los servidores.
El incidente demostró claramente que cualquier vulnerabilidad se convierte en una amenaza real si se demora su resolución. Cuanto más rápido se aborden los problemas identificados, menos probable será que los atacantes puedan infiltrarse en la infraestructura y convertir un fallo en una crisis grave.
RedazioneEl trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
Hace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
