- Aktor yang disponsori negara Tiongkok mengeksploitasi CVE-2025-59287, sebuah kelemahan kritis WSUS yang memungkinkan RCE yang tidak diautentikasi dengan hak istimewa sistem
- AhnLab Melaporkan Penyerang Menggunakan PowerCat dan Sertutil/Curl untuk Menyebarkan ShadowPad, Pintu Belakang Penerus PlugX
- Sasaran yang memungkinkan mencakup sektor pemerintah, pertahanan, telekomunikasi, dan infrastruktur penting
Pelaku ancaman yang disponsori negara Tiongkok diduga mengeksploitasi kerentanan di Microsoft Windows Server Update Services (WSUS) untuk menyebarkan malware, demikian peringatan para ahli.
Sebagai bagian dari pembaruan kumulatif Patch Tuesday Oktober 2025, Microsoft mengatasi CVE-2025-59287, cacat “deserialisasi data tidak tepercaya” yang ditemukan di Layanan Pembaruan Server Windows (WSUS). Cacat ini diberi skor tingkat keparahan 9,8/10 (Kritis), karena tampaknya memungkinkan serangan eksekusi kode jarak jauh (RCE). Hal ini dapat dieksploitasi dalam serangan dengan tingkat kecanggihan rendah, memberikan pelaku ancaman yang tidak diautentikasi dan tidak sah kemampuan untuk mengeksekusi kode berbahaya dengan hak istimewa sistem, tanpa interaksi pengguna. Secara teori, hal ini akan memungkinkan mereka untuk membajak dan menginfeksi server WSUS lainnya juga.
Segera setelah itu, kode bukti konsep (PoC) yang tersedia untuk umum ditemukan, mendorong Microsoft untuk merilis pembaruan keamanan out-of-band (OOB).
Shadowpad digunakan untuk penerapan
Kini, peneliti keamanan di AhnLab Security Intelligence Center (ASEC) mengatakan mereka melihat serangan terhadap titik akhir yang tidak diketahui, yang menunjukkan bahwa ini adalah ulah Tiongkok.
“Penyerang menargetkan server Windows yang mendukung WSUS, mengeksploitasi CVE-2025-59287 untuk akses awal,” tulis laporan itu. “Mereka kemudian menggunakan PowerCat, utilitas Netcat berbasis PowerShell sumber terbuka, untuk mendapatkan shell sistem (CMD). Setelah itu, mereka mengunduh dan menginstal ShadowPad menggunakan certutil dan curl.”
Shadowpad dilaporkan merupakan penerus PlugX, sebuah pintu belakang modular yang “banyak digunakan” oleh kelompok peretas yang disponsori negara Tiongkok. Ini disebarkan untuk menargetkan titik akhir melalui pemuatan samping DLL, melalui biner sah yang disebut ETDCtrlHelper.exe.
Kita tidak tahu berapa banyak perusahaan yang menjadi sasaran WSUS, di mana mereka berada, atau di industri apa mereka beroperasi. Namun, jika ini adalah ulah Tiongkok, maka hal tersebut akan merugikan pemerintah, militer dan pertahanan, telekomunikasi, atau infrastruktur penting.
“Setelah kode eksploitasi proof-of-concept (PoC) untuk kerentanan tersebut dirilis ke publik, penyerang dengan cepat menggunakannya untuk mendistribusikan malware Shadowpad melalui server WSUS,” kata AhnLab. “Kerentanan ini sangat penting karena memungkinkan eksekusi kode jarak jauh dengan izin tingkat sistem, sehingga meningkatkan potensi dampak secara signifikan.”
WSUS memungkinkan administrator TI untuk mengelola patching komputer dalam jaringan mereka.
melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
