Negli ultimi aggiornamenti di sicurezza Microsoft, una vulnerabilità critica in Windows Server Update Services (WSUS) ha attirato l’attenzione della comunità di cybersecurity a livello globale. Questa falla, identificata come CVE-2025-59287, è stata rapidamente sfruttata da cyber criminali per distribuire il malware noto come ShadowPad, una backdoor modulare associata a gruppi di hacker sponsorizzati da stati, in particolare dalla Cina.

Il punto di ingresso degli attacchi è rappresentato dai server Windows che utilizzano WSUS, dove i malintenzionati sfruttano la vulnerabilità per ottenere accesso iniziale. Gli aggressori utilizzano strumenti open source come PowerCat, una utility PowerShell simile a Netcat, per ottenere una shell di comando sul sistema bersaglio. Successivamente, mediante tool come certutil e curl, scaricano ed eseguono ShadowPad direttamente dal server compromesso.

ShadowPad: caratteristiche e tecniche di attacco

ShadowPad non è un malware qualunque. Apparso per la prima volta nel 2015 come evoluzione del noto PlugX, ShadowPad è considerato dagli esperti un esempio sofisticato di malware commerciale utilizzato per operazioni di spionaggio. Una delle sue caratteristiche principali è la capacità di essere caricato in memoria tramite un processo di DLL side-loading: viene usato un eseguibile legittimo, come ETDCtrlHelper.exe, per caricare una DLL malevola (ETDApix.dll), rendendo l’infezione difficile da rilevare dai sistemi antivirus tradizionali.

Dopo l’installazione, ShadowPad avvia un modulo centrale incaricato di caricare ulteriori plugin malevoli direttamente in memoria, garantendo flessibilità e persistenza all’attaccante. Il malware incorpora inoltre avanzate tecniche di anti-detection e di persistenza, rendendo la sua rimozione complessa. Gli aggressori hanno mostrato una notevole rapidità nello sfruttamento della vulnerabilità: la pubblicazione del codice di exploit proof-of-concept ha portato quasi immediatamente alla diffusione di ShadowPad attraverso server WSUS esposti pubblicamente.

Impatto della vulnerabilità e tecniche di mitigazione

Il pericolo di questa vulnerabilità non va sottovalutato. Permette infatti l’esecuzione di codice da remoto con privilegi di sistema, esponendo le organizzazioni colpite a rischi elevati di compromissione totale. Oltre a ShadowPad, la stessa vulnerabilità è stata utilizzata per veicolare altri strumenti di amministrazione remota legittimi, come Velociraptor, evidenziando come i criminali informatici abbiano affinato le tecniche di attacco combinando exploit zero-day e software trusted per bypassare le difese.

Per mitigare il rischio, è fondamentale applicare tempestivamente le patch di sicurezza rilasciate da Microsoft, monitorare l’attività dei server WSUS e adottare strumenti di rilevamento avanzati in grado di individuare comportamenti anomali e tecniche di side-loading.