BRONZE BUTLER exploits Japanese asset management software vulnerability
Mis à jour :
BRONZE BUTLER : Exploitation d’une faille logicielle de gestion d’actifs
Un groupe de cybercriminels d’origine chinoise, connu sous le nom de BRONZE BUTLER (également appelé Tick), a mené une campagne sophistiquée en exploitant une vulnérabilité zero-day dans le logiciel de gestion de terminaux Motex LANSCOPE. Cette campagne, observée mi-2025, visait à dérober des informations confidentielles. Ce groupe est actif depuis 2010 et avait déjà ciblé des entreprises japonaises avec une faille similaire en 2016.
Points clés :
- Cible : Logiciel de gestion de terminaux Motex LANSCOPE Endpoint Manager.
- Acteur malveillant : BRONZE BUTLER, un groupe de cybercriminalité sponsorisé par l’État chinois.
- Objectif : Vol d’informations confidentielles.
- Méthodes d’exécution : Utilisation de malware Gokcpdoor et du framework C2 Havoc, ainsi que du chargeur OAED Loader pour compliquer l’exécution. Des outils légitimes comme
goddipour le piratage d’Active Directory, la connexion bureau à distance et7-Zippour l’exfiltration ont également été employés.
Vulnérabilités exploitées :
- CVE-2025-61932 : Une vulnérabilité zero-day dans Motex LANSCOPE Endpoint Manager permettant l’exécution de commandes à distance avec des privilèges SYSTEM. Le nombre d’appareils exposés sur Internet et vulnérables à cette faille semble faible, mais elle peut être exploitée sur des appareils internes après une compromission initiale pour une escalade de privilèges et un mouvement latéral. Cette vulnérabilité a été ajoutée au catalogue des vulnérabilités connues et exploitées par la CISA le 22 octobre 2025.
Recommandations :
- Les organisations utilisant Motex LANSCOPE doivent mettre à jour leurs serveurs vulnérables.
- Il est conseillé de vérifier la nécessité d’exposer publiquement sur Internet les serveurs LANSCOPE disposant du programme client (MR) ou de l’agent de détection (DA).