China-linked hackers exploited Lanscope flaw as a zero-day in attacks

Exploitation d’une vulnérabilité critique dans Lanscope Endpoint Manager par des acteurs liés à la Chine

Des cybercriminels associés à la Chine, connus sous le nom de “Bronze Butler” (ou Tick), ont exploité une faille de sécurité dans le logiciel Motex Lanscope Endpoint Manager avant qu’elle ne soit corrigée, l’utilisant comme une vulnérabilité zero-day. Cette exploitation a permis le déploiement d’une nouvelle version de leur malware, Gokcpdoor, dans le but de voler des informations confidentielles.

Points clés :

• Acteur : Groupe “Bronze Butler” (Tick), lié à la Chine.
• Logiciel affecté : Motex Lanscope Endpoint Manager.
• Malware utilisé : Une version mise à jour de Gokcpdoor.
• Méthode d’attaque : Exploitation d’une vulnérabilité zero-day pour obtenir un accès système privilégié.
• Post-exploitation : Utilisation d’outils comme goddi, Remote Desktop, 7-Zip et des services de stockage cloud (io, LimeWire, Piping Server) pour l’exfiltration de données. Ils ont également utilisé le framework Havoc C2 et le chargeur OAED Loader, injectant des charges utiles dans des exécutables légitimes via le DLL sideloading pour échapper à la détection.

Vulnérabilités :

• CVE-2025-61932 : Une faille critique de vérification de l’origine des requêtes dans Motex Lanscope Endpoint Manager (versions 9.4.7.2 et antérieures). Elle permet à des attaquants non authentifiés d’exécuter du code arbitraire avec des privilèges SYSTEM.

Recommandations :

• Mise à jour immédiate : Les organisations utilisant Lanscope Endpoint Manager doivent impérativement mettre à jour leur logiciel vers une version corrigée de la vulnérabilité CVE-2025-61932.
• Absence de contournements : Il n’existe actuellement pas de solutions de contournement ou de mesures d’atténuation ; la seule action recommandée est l’application du correctif.

Source