Selon l’AhnLab Security Intelligence Center (ASEC), dans un rapport publié la semaine dernière, des acteurs malveillants ont profité d’une vulnérabilité récemment corrigée dans Microsoft Windows Server Update Services (WSUS), identifiée comme CVE-2025-59287, pour distribuer le malware ShadowPad.
-
Cible et vecteur initial : des serveurs Windows avec WSUS activé ont été visés, l’exploitation de CVE-2025-59287 servant à l’accès initial.
-
Outils et charges : après l’intrusion, les attaquants ont utilisé PowerCat (outil open-source) et ont déployé ShadowPad.
⚠️ Éléments clés
- Vulnérabilité : CVE-2025-59287 (WSUS)
- Type d’attaque : exploitation d’une faille récemment corrigée pour accès initial et distribution de malware
- Produits concernés : Microsoft Windows Server avec WSUS
- Malware : ShadowPad
- Outil : PowerCat (open-source)
TTPs observés (extraits) :
- Exploitation de CVE-2025-59287 pour l’accès initial
- Usage d’un outil open-source (PowerCat) post-exploitation
- Distribution de malware (ShadowPad)
Type d’article : analyse de menace présentant une exploitation active d’une vulnérabilité WSUS récemment patchée et les outils utilisés par les attaquants.
🧠 TTPs et IOCs détectés
TTPs
[“Exploitation de vulnérabilité pour l’accès initial (CVE-2025-59287)”, “Utilisation d’outil open-source post-exploitation (PowerCat)”, ‘Distribution de malware (ShadowPad)’]
IOCs
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html