China-Linked Tick Group Exploits Lanscope Zero-Day to Hijack Corporate Systems
Mis à jour :
Le groupe Tick exploite une faille critique pour pirater des systèmes d’entreprise
Le groupe de cyberespionnage connu sous le nom de Tick a exploité une vulnérabilité critique récemment révélée dans le logiciel Lanscope Endpoint Manager de Motex pour prendre le contrôle de systèmes d’entreprise. Cette faille, identifiée sous la référence CVE-2025-61932 et présentant un score CVSS de 9.3, permet à des attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les versions locales du programme. Des rapports confirment l’exploitation active de cette faille pour implanter une porte dérobée sur les systèmes compromis.
Tick, également connu sous divers autres noms tels que Bronze Butler, est un acteur suspecté de cyberespionnage chinois actif depuis au moins 2006, ciblant principalement l’Asie de l’Est, et plus particulièrement le Japon.
La campagne, observée par Sophos, a consisté à utiliser la vulnérabilité pour déployer une porte dérobée connue sous le nom de Gokcpdoor. Cette dernière permet d’établir une connexion proxy avec un serveur distant et d’exécuter des commandes malveillantes sur l’hôte compromis. Une nouvelle variante de Gokcpdoor a abandonné le protocole KCP au profit d’une communication multiplexée via une bibliothèque tierce (smux) pour ses échanges avec le serveur de commande et contrôle (C2).
L’attaque se caractérise également par le déploiement du framework post-exploitation Havoc sur certains systèmes. Les chaînes d’infection s’appuient sur le “DLL side-loading” pour lancer un chargeur de DLL nommé OAED Loader afin d’injecter les charges utiles. D’autres outils tels que goddi (un outil open-source pour le vidage d’informations Active Directory), le bureau à distance, et 7-Zip ont été utilisés pour faciliter les déplacements latéraux et l’exfiltration de données. Les attaquants ont également exploité des services cloud via le navigateur web pendant les sessions de bureau à distance afin d’exfiltrer les données collectées.
Ce n’est pas la première fois que Tick exploite une faille “zero-day”. En 2017, le groupe avait déjà profité d’une vulnérabilité non corrigée dans un autre logiciel de gestion d’actifs informatiques japonais, SKYSEA Client View.
Points clés :
- Le groupe Tick a exploité une faille zero-day dans Lanscope Endpoint Manager.
- L’objectif est l’espionnage et le détournement de systèmes d’entreprise.
- Une porte dérobée nommée Gokcpdoor a été déployée.
- Le framework Havoc et d’autres outils ont été utilisés pour les déplacements et l’exfiltration.
Vulnérabilités :
- CVE-2025-61932 (CVSS 9.3) : Permet l’exécution de commandes arbitraires avec des privilèges SYSTEM sur Lanscope Endpoint Manager.
Recommandations :
- Les organisations doivent mettre à jour leurs serveurs Lanscope vulnérables.
- Il est conseillé de revoir les serveurs Lanscope exposés à Internet qui disposent du client Lanscope ou de l’agent de détection, afin de vérifier la nécessité de leur exposition publique.