Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : Comment les Acteurs de Menace Profitent des Faiblesses pour Voler des Données
Apollinaire Monteclair
Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : Comment les Acteurs de Menace Profitent des Faiblesses pour Voler des Données
En milieu d’année 2025, l’équipe du Counter Threat Unit (CTU) de Secureworks a révélé une campagne de cybersécurité sophistiquée où des acteurs de menace chinois affiliés au groupe BRONZE BUTLER ont exploité une vulnérabilité zero-day critique dans Motex LANSCOPE Endpoint Manager pour accéder illégalement aux réseaux d’entreprise et extraire des données sensibles. Cette découverte marque un chapitre supplémentaire dans un pattern d’exploitation en cours qui cible spécifiquement les solutions de gestion japonaises. Selon les rapports d’experts de la cybersécurse, les vulnérabilités zero-day représentent environ 5% des attaques majeures mais causent plus de 30% des dommages totaux, soulignant leur impact particulièrement dévastateur.
La Vulnérabilité Zero-Day CVE-2025-61932 dans LANSCOPE Endpoint Manager
La vulnérabilité exploitée dans cette campagne, désignée sous le nom CVE-2025-61932, constitue un défaut de sécurité critique qui permet aux attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les systèmes affectés. Ce niveau d’accès maximal fournit aux acteurs de menace un contrôle total sur les hôtes compromis, leur permettant d’installer des portes dérobées, de modifier les configurations système et de se déplacer latéralement à travers les réseaux d’entreprise sans être détectés. La gravité de cette faille a été confirmée par le Japon Computer Emergency Response Team Coordination Center (JPCERT/CC), qui l’a officiellement divulguée le 22 octobre 2025, avec l’agence américaine Cybersecurity and Infrastructure Security Agency (CISA) ajoutant l’exploit à son catalogue de vulnérabilités connues et exploitées le même jour.
Caractéristiques Techniques de la Vulnérabilité
Sur le plan technique, CVE-2025-61932 permet une exécution de code à distance sans authentification préalable. Les attaquants peuvent exploiter cette faille simplement en envoyant une requête spécialement conçue vers un serveur LANSCOPE exposé sur Internet. Une fois exploitée, la vulnérabilité confère aux attaquants les privilèges les plus élevés possibles sur le système d’exploitation, équivalents à ceux d’un compte administrateur local. Cela leur donne la capacité d’effectuer virtually n’importe quelle action sur le système, y compris l’installation de logiciels malveillants, la modification de fichiers système, et l’accès à des données sensibles.
En pratique, l’analyse du CTU a révélé que bien que le nombre d’appareils LANSCOPE exposés sur Internet et vulnérables à cette exploitation soit relativement limité, l’impact reste considérable. Les attaquants exploitant cette vulnérabilité au sein de réseaux déjà compromises peuvent mener des attaques d’escalade de privilèges et des opérations de mouvement latéral, potentiellement compromettant l’ensemble de l’infrastructure d’une organisation. La combinaison des capacités d’exécution à distance et des privilèges SYSTEM crée un scénario idéal pour les acteurs de menace sophistiqués cherchant à établir un accès persistant et maintenir une présence à long terme au sein des réseaux cibles.
Le Groupe BRONZE BUTLER : Une Menace Éprouvée depuis 2010
BRONZE BUTLER, également connu sous le nom de Tick, opère depuis 2010 et maintient un focus spécifique sur le ciblage des organisations et entités gouvernementales japonaises. L’historique opérationnel du groupe révèle une stratégie consistante d’identification et d’exploitation de vulnérabilités dans les logiciels de sécurité et de gestion japonais largement déployés. Cette spécialisation géographique et technologique suggère une connaissance approfondie des environnements cibles et un accès continu à des informations sur les faiblesses des systèmes utilisés au Japon.
Évolution des Techniques du Groupe
Notamment, en 2016, BRONZE BUTLER a déployé avec succès une exploitation zero-day contre une autre solution japonaise de gestion de points de terminaison, SKYSEA Client View, démontrant la connaissance approfondie du groupe des environnements cibles et son maintien d’un focus ciblé sur les infrastructures japonaises. Cette nouvelle campagne contre LANSCOPE Endpoint Manager représente la continuation de cette tendance préoccupante. Selon les analystes de la sécurité, le groupe a montré une capacité remarquable à adapter ses techniques d’attaque aux évolutions technologiques, passant des méthodes relativement simples à des infrastructures malveillantes hautement sophistiquées.
Le groupe a également démontré une persistance remarquable dans ses activités, avec des campagnes documentées sur plus d’une décennie. Cette longévité dans le paysage des menaces suggère un soutien organisationnel substantiel, probablement étatique, et des ressources dédiées au développement d’outils d’attaque et à l’espionnage ciblé. Les spécialistes de la cybersécurse estiment que BRONZE BUTLER représente l’un des acteurs de menace les plus persistants et sophistiqués opérant actuellement dans la région Asie-Pacifique.
Méthodologie d’Attaque et Infrastructure Malveillante
La sophistication technique de cette campagne BRONZE BUTLER s’étend bien au-delà du vecteur d’exploitation initial. Les chercheurs du CTU ont confirmé que les attaquants ont déployé le malware Gokcpdoor, une porte dérobée personnalisée précédemment documentée dans les rapports de renseignement sur les menaces de 2023. Pour compliquer la détection et l’analyse, les acteurs de menace ont également déployé le malware OAED Loader aux côtés de ces portes dérobées, injectant des charges utiles malveillantes dans des exécutifs légitimes pour obscurcir les flux d’exécution.
Analyse des Outils Malveillants Utilisés
La variante 2025 de Gokcpdoor représente une évolution significative, abandonnant le support du protocole KCP hérité au profit du multiplexage des communications en utilisant des bibliothèques tierces pour le trafic de commande et de contrôle. Cette modernisation suggère que BRONZE BUTLER maintient des équipes de développement actives améliorant continuellement leur arsenal de logiciels malveillants. Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des objectifs opérationnels différents. La variante serveur fonctionne comme un point d’écoute, acceptant les connexions entrantes des clients sur des ports spécifiques, notamment les ports 38000 et 38002, tout en fournissant des capacités d’accès à distance. La variante client initie des connexions vers des serveurs C2 codés en dur, établissant des tunnels de communication qui fonctionnent comme des portes dérobées persistantes.
L’analyse comparative des noms de fonctions internes dans les échantillons Gokcpdoor de 2023 (à gauche) et 2025 (à droite) révèle une évolution significative du code, avec une refonte majeure de l’architecture de communication et l’abandon des protocoles hérités.
Dans certains segments réseau, BRONZE BUTLER a substitué Gokcpdoor au framework C2 Havoc, démontrant une flexibilité opérationnelle et un accès à plusieurs outils offensifs. Une fois leur établi leur point d’entrée initial, BRONZE BUTLER a employé des outils légitimes, dont goddi pour la reconnaissance Active Directory combiné à des applications de bureau à distance pour faciliter le mouvement latéral. Les attaquants ont ensuite compressé les données volées à l’aide de 7-Zip avant d’exfiltrer les informations vers des services de stockage cloud, notamment Piping Server et LimeWire, accessés directement via des navigateurs Web lors de sessions à distance.
Indicateurs de Compromission et Détection
Pour aider les équipes de sécurité à détecter et contrer cette campagne, plusieurs indicateurs de compromission (IoC) ont été identifiés. Ces éléments permettent aux organisations de vérifier si leurs systèmes ont été compromis par cette campagne spécifique et de bloquer les communications malveillantes. Les indicateurs incluent des hash de fichiers, des adresses IP de serveurs de commande et de contrôle, et d’autres signatures uniques associées aux outils utilisés par BRONZE BUTLER dans cette campagne.
| Indicateur | Type | Contexte |
|---|---|---|
| 932c91020b74aaa7ffc687e21da0119c | MD5 hash | Gokcpdoor utilisé par BRONZE BUTLER (oci.dll) |
| 38.54.56.57 | Adresse IP | Serveur C2 Gokcpdoor utilisé par BRONZE BUTLER ; utilise le port TCP 443 |
| 38.54.88.172 | Adresse IP | Serveur C2 Havoc utilisé par BRONZE BUTLER ; utilise le port TCP 443 |
| be75458b489468e0acdea6ebbb424bc8 | SHA1 hash | Gokcpdoor utilisé par BRONZE BUTLER (oci.dll) |
| 38.54.56.10 | Adresse IP | Connecté aux ports ouverts par la variante Gokcpdoor utilisée par BRONZE BUTLER |
| 3c96c1a9b3751339390be9d7a5c3694d | SHA256 hash | Gokcpdoor utilisé par BRONZE BUTLER (oci.dll) |
| 1406b4e905c65ba1599eb9c619c196f | SHA1 hash | Échantillon Havoc utilisé par BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| 4946b0de3b705878c514e2eead096e1e | MD5 hash | Échantillon Havoc utilisé par BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| 9e581d0506d2f6ec39226f052a58bc5a | SHA256 hash | Échantillon Havoc utilisé par BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| 8124940a41d4b7608eada0d2b546b73c | SHA1 hash | Outil goddi utilisé par BRONZE BUTLER (winupdate.exe) |
| 704e697441c0af67423458a99f30318c | SHA256 hash | Outil goddi utilisé par BRONZE BUTLER (winupdate.exe) |
Les organisations doivent surveiller activement ces indicateurs dans leurs environnements et mettre en place des règles de détection spécifiques pour identifier toute activité suspecte associée à ces signatures. En pratique, la détection de ces indicateurs nécessite une approche multicouche, combinant la surveillance des journaux système, l’analyse du trafic réseau et l’utilisation d’outils de détection et de réponse aux menaces (EDR) avancés.
Recommandations de Sécurité et Mesures de Contre-Mesure
Face à cette menace évolutive, les organisations exploitant des déploiements LANSCOPE Endpoint Manager doivent donner la priorité au correctif immédiat des systèmes vulnérables et mener des examens approfondis des serveurs LANSCOPE exposés à Internet pour déterminer les exigences métier légitimes pour une exposition publique. La réduction de la surface d’attaque en limitant l’exposition des systèmes de gestion à Internet constitue une mesure essentielle pour prévenir les exploitations similaires à l’avenir.
Bonnes Pratiques pour la Protection des Points de Terminaison
Mise à jour immédiate : Appliquer les correctifs de sécurité dès qu’ils sont disponibles pour les logiciels de gestion des points de terminaison. Dans le cas de LANSCOPE, cela signifie installer la version corrigée dés que possible après la publication du correctif.
Réduction de la surface d’attaque : Limiter l’exposition des serveurs LANSCOPE à Internet. Si possible, les héberger sur un segment réseau interne uniquement accessible via des points de terminaison gérés ou des tunnels VPN sécurisés.
Segmentation réseau stricte : Mettre en œuvre une segmentation réseau rigoureuse pour contenir les compromis potentiels. Séparer les systèmes de gestion des points de terminaison des systèmes critiques contenant des données sensibles.
Principes du moindre privilège : Configurer les serveurs LANSCOPE avec les privilèges minimum nécessaires à leur fonctionnement, limitant ainsi l’impact d’une éventuelle compromission.
Surveillance avancée : Déployer des solutions de détection et de réponse aux menaces (EDR) capables d’identifier les comportements malveillants associés aux outils utilisés par BRONZE BUTLER, comme Gokcpdoor et OAED Loader.
Formation du personnel : Sensibiliser les équipes aux techniques d’ingénierie sociale et autres vecteurs d’attaque pouvant conduire à des compromis initiaux, complétant ainsi les mesures techniques de protection.
En outre, les organisations doivent mettre en place un processus de gestion des vulnérabilités robuste qui évalue en continu les risques associés aux logiciels utilisés et priorise les actions correctives en fonction de la criticité des vulnérabilités découvertes. Ce processus doit inclure des scans réguliers des environnements à la recherche de configurations non conformes ou de vulnérabilités connues.
Conclusion
La campagne BRONZE BUTLER exploitant la vulnérabilité zero-day dans LANSCOPE Endpoint Manager illustre une fois de plus la menace persistante posée par les acteurs de menace étatiques sophistiqués et leur capacité à identifier et exploiter rapidement les faiblesses dans les logiciels largement déployés. La combinaison d’une vulnérabilité non corrigée, de portes dérobées avancées et de techniques d’exfiltration discretes crée un scénario de risque particulièrement préoccupant pour les organisations utilisant ce type de solutions de gestion.
Face à cette menace évolutive, la cybersécurse proactive et la vigilance constante ne sont plus des options mais des nécessités. Les organisations doivent adopter une approche multicouche de la sécurité, combinant la gestion rigoureuse des vulnérabilités, la réduction de la surface d’attaque, la surveillance avancée et la formation continue du personnel. En investissant dans ces mesures de protection, les entreprises peuvent non seulement se défendre contre les campagnes actuelles mais aussi renforcer leur résilience face aux menaces futures de vulnérabilité zero-day dans LANSCOPE Endpoint Manager et d’autres systèmes critiques.