Китайские хакеры атакуют корпоративные сети через уязвимость в WSUS: анализ новой кампании с ShadowPad

Специалисты AhnLab Security Intelligence Center (ASEC) обнаружили, что первая волна атак началась в конце октября 2025 года, вскоре после публикации доказательства концепции эксплуатации уязвимости. Уже 30 октября в системах мониторинга появились признаки использования утилиты PowerCat для получения оболочки командной строки. Этот инструмент, написанный на PowerShell, обеспечивает злоумышленникам удаленный контроль над компрометированными серверами.

Механизм атаки демонстрирует высокий уровень подготовки операторов. Сначала через уязвимость в WSUS выполняется команда для загрузки и запуска PowerCat. Затем устанавливается обратное соединение с сервером управления, что дает хакерам полный доступ к системе. На следующем этапе, 6 ноября, те же злоумышленники использовали стандартные системные утилиты certutil и curl для загрузки компонентов ShadowPad.

Особенностью этой вредоносной программы является применение техники DLL Side-Loading. ShadowPad состоит из легитимного исполняемого файла ETDCtrlHelper.exe, вредоносной библиотеки ETDApix.dll и конфигурационного файла 0C137A80.tmp. При запуске законного приложения в память загружается вредоносная DLL, которая затем исполняет основной функционал бэкдора.

Конфигурация обнаруженного экземпляра ShadowPad показывает тщательную проработки механизмов персистентности (устойчивости в системе). Бэкдор регистрирует службу с именем "Q-X64", создает задачи в планировщике Windows и прописывает себя в автозагрузку через системный реестр. Для маскировки сетевой активности используется легитимный пользовательский агент Firefox, а коммуникация с серверами управления осуществляется по HTTPS на порт 443.

Анализ IoC (Indicators of Compromise - индикаторы компрометации) выявил два адреса командного центра: 163.61.102[.]245 и 149.28.78[.]189. Эти IP-адреса ранее не фигурировали в отчетах о кибершпионаже, что может свидетельствовать о новой инфраструктуре китайской хакерской группировки.

ShadowPad известен с 2017 года и продолжает активно развиваться. Исследователи из SentinelOne подтверждают, что этот бэкдор распространяется по закрытой модели и доступен только избранным китайским APT-группам. Его модульная архитектура позволяет адаптировать функционал под конкретные цели, что делает его особенно опасным инструментом для целевых атак.

Для защиты инфраструктуры специалисты рекомендуют немедленно установить патч от Microsoft для CVE-2025-59287. Также необходимо ограничить внешний доступ к WSUS-серверам, заблокировав входящие подключения на портах 8530 и 8531 для всех IP-адресов, кроме официальных серверов обновления Microsoft. Регулярный мониторинг логов на предмет подозрительной активности PowerShell, certutil и curl поможет своевременно обнаружить потенциальные инциденты.

Данная кампания демонстрирует растущую тенденцию эксплуатации уязвимостей в корпоративных сервисах обновления. Атаки через WSUS особенно опасны, поскольку эти системы обычно имеют высокие привилегии и широкий доступ к внутренней сети организации. Киберпреступники осознают эту ценность и активно ищут новые векторы для первоначального проникновения в защищенные среды.

IPv4

• 149.28.78.189
• 154.17.26.41
• 163.61.102.245

URLs

• http://149.28.78.189:42306/dll.txt
• http://149.28.78.189:42306/exe.txt
• http://149.28.78.189:42306/tmp.txt

MD5

• 27e00b5594530e8c5e004098eef2ec50
• 85b935e80e84dd47e0fa5e1dfb2c16f4