Зловмисники активно експлуатують критичну вразливість RCE у Windows Server Update Services (WSUS) — CVE-2025-59287 (CVSS 9.8), пов’язану з небезпечною десеріалізацією неперевірених даних. Атака починається з надсилання спеціально сформованих запитів на ендпоінти GetCookie() або ReportingWebService, що дозволяє неавтентифікованим зловмисникам виконувати код з привілеями SYSTEM. Поширена на незахищених серверах WSUS, доступних з інтернету (порти 8530/8531). Виявлено Eye Security, Huntress, Sophos, Darktrace: атаки відрізняються від PoC, включають розвідку мережі, збір даних та латеральний рух. Microsoft випустила позачерговий патч 23 жовтня, але експлуатація триває з моменту публікації PoC.

У одній атаці (Darktrace) завантажено Velociraptor для C2-тунелю, за ним — UPX-пакований бінарник з Skuld Stealer: краде криптогаманці, файли, системну інфо, браузерні дані, токени. Інші — ексфільтрація на webhook.site. Вплив: університети, tech, виробництво, охорона здоров’я (США). CISA оновила alert, радить розслідування. Рекомендації: негайно патчити (Windows Server 2012–2025, рестарт), моніторити WSUS-події, закрити порти, шукати IOC (Eye/Huntress). Ризик wormable-атак високий.