近期，安全研究机构发现威胁行为者正在积极利用微软 Windows Server Update Services（WSUS）中的高危漏洞投递并部署 ShadowPad 恶意软件。该漏洞已于上月由微软修补，但公开概念验证（PoC）后短时间内便遭到大规模武器化使用。

　　AhnLab 安全情报中心（ASEC）最新发布的报告指出，攻击者首先扫描启用了 WSUS 的 Windows Server，并利用该漏洞在未授权的情况下取得初始访问权限。成功入侵后，攻击者使用开源 PowerShell 工具PowerCat获取系统级命令 Shell，随后通过系统自带工具（如 certutil 与 curl）从外部服务器下载并部署 ShadowPad。

　　CVE-2025-59287为 WSUS 反序列化漏洞，可被远程执行任意代码并获得SYSTEM级权限。由于漏洞触发无需用户交互，并且 WSUS 常在暴露的服务器上启用，使其成为极具价值的攻击入口。

　　攻击中使用的合法程序ETDCtrlHelper.exe（与触控板驱动相关）被用于侧加载名为ETDApix.dll的恶意 DLL，以实现内存驻留与隐蔽执行。

　　ShadowPad 被认为是 PlugX 的后继者，自 2015 年以来被多支中国国家级威胁组织广泛使用。SentinelOne 曾将其描述为“中国网络间谍活动中最复杂、最高级的私售恶意软件之一”。

　　随着 PoC 流出，大量攻击者已将该漏洞纳入攻击链中，不仅用于 ShadowPad，还被用于部署 Velociraptor 等合法工具，以实现更隐蔽的侦察和持久控制shadowrocket酸酸。

　　WSUS 的高权限特性使漏洞危害进一步放大，一旦被攻破，攻击者可直接控制企业的内部更新系统，在整个网络环境中大规模传播恶意软件。

　　AhnLab 警告称：“该漏洞允许以系统级权限远程执行代码，潜在影响极其严重，已成为攻击者的重点目标。”