- 中国の国家支援アクターが、認証不要でSYSTEM権限のリモートコード実行(RCE)を可能にする重大なWSUSの脆弱性(CVE-2025-59287)を悪用中
- AhnLabによると、攻撃者はPowerCatおよびcertutil/curlを利用して、PlugXの後継バックドアであるShadowPadを展開している
- 標的は政府、防衛、通信、重要インフラ分野である可能性が高い
中国の国家支援型脅威アクターが、Microsoft Windows Server Update Services(WSUS)の脆弱性を積極的に悪用し、マルウェアを拡散していると、専門家が警告しています。
Microsoftは2025年10月のPatch Tuesday累積アップデートの一環として、Windows Server Update Service(WSUS)に存在する「信頼されていないデータのデシリアライズ」脆弱性(CVE-2025-59287)に対応しました。この脆弱性は9.8/10(クリティカル)の深刻度スコアが付けられており、リモートコード実行(RCE)攻撃を可能にします。ユーザーの操作を必要とせず、低難易度の攻撃で悪用でき、認証されていない権限のない脅威アクターでもSYSTEM権限で悪意のあるコードを実行できます。理論上、他のWSUSサーバーにも感染を拡大できる可能性があります。
その後すぐに、公開されたProof of Concept(PoC)コードが確認され、Microsoftは緊急(OOB)セキュリティアップデートもリリースしました。
ShadowPad展開に利用
現在、AhnLab Security Intelligence Center(ASEC)のセキュリティ研究者は、未修正のエンドポイントに対する攻撃を確認しており、中国の関与を示唆しています。
「攻撃者はWSUSが有効なWindows Serverを標的とし、CVE-2025-59287を悪用して初期アクセスを得ました」とレポートには記載されています。「その後、オープンソースのPowerShellベースNetcatユーティリティであるPowerCatを使用してシステムシェル(CMD)を取得し、certutilおよびcurlを用いてShadowPadをダウンロード・インストールしました。」
ShadowPadはPlugXの後継とされるモジュール型バックドアで、中国の国家支援型ハッキング集団によって「広く使用」されてきました。正規バイナリであるETDCtrlHelper.exeを利用したDLLサイドローディングによって標的エンドポイントに展開されます。
WSUS経由で何社が標的となったのか、場所や業種については不明です。しかし、もし中国の関与であれば、政府、軍事・防衛、通信、重要インフラが標的と考えられます。
「この脆弱性のProof of Concept(PoC)エクスプロイトコードが公開された後、攻撃者は迅速にこれを武器化し、WSUSサーバー経由でShadowPadマルウェアを配布しました」とAhnLabは述べています。「この脆弱性はシステムレベルの権限でリモートコード実行を可能にするため、影響範囲が大幅に拡大します。」
WSUSは、IT管理者がネットワーク内のコンピュータのパッチ管理を行うためのものです。
