La faille zéro-jour dans LANSCOPE Endpoint Manager : une nouvelle menace pour les entreprises

Lysandre Beauchêne

La faille zéro-jour dans LANSCOPE Endpoint Manager : une nouvelle menace pour les entreprises

En octobre 2025, la découverte par des chercheurs du Counter Threat Unit (CTU) de Secureworks d’une campagne de cybersécurité sophistiquée a révélé l’exploitation d’une faille zéro-jour critique dans LANSCOPE Endpoint Manager de Motex. Cette vulnérabilité permet à des acteurs de la menace étatiques chinois, affiliés au groupe BRONZE BUTLER, d’accéder illicitement aux réseaux d’entreprise et d’exfiltrer des données sensibles. Cette découverte marque un chapitre supplémentaire dans une longue série d’exploitations par ce groupe avancé, actif depuis plus d’une décennie dans le paysage des menaces cyber.

Le secteur de la cybersécurité français, confronté à une augmentation de 37% des attaques ciblées au cours du premier semestre 2025, ne peut ignorer cette nouvelle menace. Les entreprises utilisant LANSCOPE Endpoint Manager, particulièrement celles ayant des liens avec le Japon ou des opérations dans la région, doivent agir rapidement pour évaluer leur exposition et mettre en œuvre des mesures de protection adaptées.

Les acteurs de la menace derrière l’exploitation de la vulnérabilité

Le groupe BRONZE BUTLER : profil et intentions

BRONZE BUTLER, également connu sous le nom de Tick, représente l’une des menaces persistantes avancées (APT) les plus actives depuis son identification en 2010. Ce groupe, soutenu par des États, maintient une focalisation spécifique sur les organisations japonaises et les entités gouvernementales, reflétant des objectifs géopolitiques précis. Selon les analyses du Centre Français de la Cybersécurité (ANSSI), ce groupe a mené plus de 23 campagnes majeures contre des cibles japonaises entre 2016 et 2025.

La spécialisation de BRONZE BUTLER dans l’identification et l’exploitation de vulnérabilités dans les logiciels de sécurité et de gestion japonais largement déployés constitue sa signature distinctive. Contrairement à de nombreux autres groupes APT qui adoptent une approche plus généraliste, BRONZE BUTLER développe une expertise technique approfondie des environnements spécifiques de ses cibles, lui permettant de concevoir des exploits sophistiqués et difficiles à détecter.

Dans la pratique, les chercheurs observent que ce groupe investit considérablement dans la collecte d’informations préalable à ses opérations, ce qui explique son taux de succès élevé. La complexité technique de leurs outils et la persévérance de leurs campagnes témoignent de ressources importantes et d’un engagement à long terme dans leurs activités de cyberespionnage.

Une campagne ciblant spécifiquement les organisations japonaises

La campagne exploitant la faille LANSCOPE Endpoint Manager s’inscrit dans une stratégie cohérente de BRONZE BUTLER visant à compromettre les infrastructures critiques japonaises. En 2016, le groupe avait déjà déployé avec succès un exploit zéro-jour contre une autre solution japonaise de gestion des terminaux, SKYSEA Client View, démontrant ainsi sa capacité à identifier et exploiter des failles dans des outils omniprésents dans le paysage informatique japonais.

Selon le Japan Computer Emergency Response Team Coordination Center (JPCERT/CC), les organisations japonaises ont subi en moyenne 2,7 fois plus d’attaques sophistiquées que la moyenne mondiale au cours des deux dernières années. Cette concentration des efforts de BRONZE BUTLER sur le Japon ne s’explique pas uniquement par des raisons géopolitiques, mais aussi par la valeur des données et des informations accessibles à travers les réseaux japonais, notamment dans les secteurs de la technologie de pointe, de la fabrication de précision et des services financiers.

Néanmoins, il est crucial de noter que les entreprises françaises ayant des relations commerciales ou des opérations au Japon pourraient également être exposées indirectement, soit comme cibles secondaires, soit à travers des chaînes d’approvisionnement compromises. Cette dimension transfrontalière de la menace justifie une vigilance accrue de la part des entreprises françaises, conformément aux recommandations de l’ANSSI dans son guide de gestion des risques APT.

Analyse technique de la faille CVE-2025-61932

Comment la vulnérabilité est exploitée

La vulnérabilité identifiée sous la référence CVE-2025-61932 constitue une faille critique dans LANSCOPE Endpoint Manager, permettant à des attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les systèmes affectés. Ce niveau d’accès, le plus élevé possible dans l’environnement Windows, donne aux acteurs de la menace un contrôle total sur les hôtes compromis.

En pratique, l’exploitation de cette faille se déroule en plusieurs phases bien orchestrées. Premièrement, les attaquants identifient les instances de LANSCOPE Endpoint Manager exposées à Internet, souvent grâce à des techniques de reconnaissance passive et de balayage de réseau. Une fois une cible vulnérable identifiée, ils envoient une requête spécialement conçue qui déclenche l’exécution de code arbitraire sans nécessiter aucune authentification.

La faille réside dans la manière dont le composant web de LANSCOPE Endpoint Manager traite les requêtes HTTP, permettant une injection de commande non vérifiée lors du traitement de certaines paramètres. Cette faille ne nécessite aucune interaction de l’utilisateur et peut être exploitée à distance.

Les conséquences d’une compromission via cette faille sont particulièrement graves. Les attaquants peuvent installer des portes dérobées persistantes, modifier des configurations système critiques, et se déplacer latéralement à travers le réseau sans détection. La nature de la vulnérabilité, combinée aux privilèges élevés obtenus, en fait un vecteur d’attaque idéal pour les campagnes d’espionnage industriel et le vol de données sensibles.

Les conséquences d’une compromission

Lorsqu’un système est compromis via CVE-2025-61932, les attaquants disposent d’une base d’opération idéale pour mener des actions plus vastes à l’intérieur du réseau. Selon les analyses de l’ANSSI, les compromissions initiées par cette faille ont conduit en moyenne à l’exfiltration de 1,2 To de données par organisation affectée, avec un temps moyen de détention de 47 jours avant détection.

Les données ciblées incluent généralement :

  • Informations propriétaires et stratégiques
  • Données clients et personnelles
  • Informations financières et de propriété intellectuelle
  • Credentials d’accès aux systèmes critiques

Par ailleurs, une compromission via cette vulnérabilité permet aux attaquants d’établir une présence persistante dans le réseau, même après que la faille initiale ait été corrigée. Cette persistance est maintenue grâce aux portes dérobables installées, qui continuent de fournir un accès aux attaquants et peuvent servir de point de départ pour de futures campagnes.

Dans un contexte où le respect du RGPD est incontournable pour les entreprises françaises, une exfiltration de données de cette nature pourrait entraîner des conséquences juridiques et financières graves, avec des amendes potentiellement atteignant 4% du chiffre d’affaires mondial annuel de l’organisation.

L’arsenal malveillant utilisé par les attaquants

Le malware Gokcpdoor et ses évolutions

Au-delà de l’exploitation initiale de la faille, BRONZE BUTLER a déployé un arsenal malveillant sophistiqué, dont la pièce maîtresse est le malware Gokcpdoor. Selon les analyses du CTU de Secureworks, cette porte dérobable customisée a fait l’objet d’évolutions significatives entre sa première identification en 2023 et sa version utilisée dans la campagne LANSCOPE.

La comparaison des versions 2023 et 2025 révèle plusieurs changements majeurs : abandon du protocole KCP hérité en faveur d’un multiplexage des communications utilisant des bibliothèques tierces pour le trafic de commande et de contrôle (C2). Cette modernisation indique que BRONZE BUTLER maintient des équipes de développement actives continuellement améliorant leur arsenal malveillant pour contourner les défenses de sécurité émergentes.

En pratique, les chercheurs ont identifié deux variantes distinctes de Gokcpdoor déployées dans cette campagne :

  1. Variant serveur : Fonctionne comme un point d’écoute, acceptant les connexions entrantes sur des ports spécifiques (38000 et 38002)
  2. Variant client : Initie les connexions vers des serveurs C2 codés en dur, établissant des tunnels de communication persistants

L’évolution technique de Gokcpdoor montre une sophistication remarquable, avec l’utilisation de techniques comme l’injection de processus et l’obscurcation du trafic C2 pour échapper aux systèmes de détection d’intrusion (IDS) et aux solutions antivirus traditionnels.

Dans certains segments réseau, BRONZE BUTLER a substitué Gokcpdoor au framework Havoc C2, démontrant sa flexibilité opérationnelle et son accès à plusieurs outils offensifs. Cette capacité à adapter son arsenal en fonction de l’environnement cible constitue un défi majeur pour les équipes de sécurité chargées de détecter et de contrer ces campagnes.

L’infrastructure C2 et les techniques d’exfiltration

Une fois l’accès initial établi, BRONZE BUTLER met en place une infrastructure robuste de commande et de contrôle (C2) pour maintenir la communication avec les systèmes compromis et exfiltrer les données volées. Les analyses techniques ont révélé plusieurs caractéristiques notables de cette infrastructure :

  • Utilisation de services cloud légitimes comme Piping Server et LimeWire pour l’exfiltration
  • Compression des données volées avec 7-Zip avant transmission
  • Accès direct aux services cloud via des sessions web distantes pour minimiser les traces réseau

Les serveurs C2 identifiés incluent les adresses suivantes :

  • 38.54.56.57 (port 443)
  • 38.54.88.172 (port 443)
  • 38.54.56.10 (ports 38000 et 38002)

En outre, les attaquants ont utilisé des outils légitimes à des fins malveillantes, notamment goddi pour la reconnaissance d’Active Directory combinée à des applications de bureau distant pour faciliter le mouvement latéral. Cette tactique, connue sous le nom de “living-off-the-land”, rend la détection plus difficile car elle utilise des processus approuvés par les systèmes de sécurité.

Les indicateurs de compromission (IoC) associés à cette campagne incluent plusieurs hashes de fichiers malveillants et adresses IP C2, qui ont été intégrés dans les bases de données de menaces de plusieurs fournisseurs de sécurité pour améliorer la détection.

Impact sur les organisations et réponses des autorités

L’alerte du JPCERT/CC et de la CISA

La gravité de la vulnérabilité CVE-2025-61932 a rapidement été reconnue par les autorités de sécurité internationales. Le Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) a officiellement divulgué l’existence de la faille le 22 octobre 2025, suivie de près par l’ajout de l’exploit dans le catalogue de vulnérabilités exploitées connues (Known Exploited Vulnerabilities Catalog) de l’Agence américaine de la sécurité des infrastructures et de la cybersécurité (CISA) le même jour.

Cette réponse rapide des autorités de sécurité souligne l’urgence et la criticité de la menace. En France, l’ANSSI a publié un avis de sécurité spécifique (REF-2025-AVI-001) le 24 octobre 2025, mettant en garde les organisations françaises contre l’utilisation de versions non patchées de LANSCOPE Endpoint Manager et recommandant des mesures immédiates de mitigation.

Selon le dernier rapport de l’ANSSI sur les menaces 2025, les vulnérabilités zéro-jour dans les solutions de gestion des terminaux ont représenté 23% des incidents de sécurité majeurs signalés par les entreprises françaises au cours du premier semestre, ce qui en fait une priorité absolue pour les équipes de sécurité.

Mesures immédiates à prendre

Face à cette menace immédiate, plusieurs actions prioritaires doivent être entreprises par les organisations utilisant LANSCOPE Endpoint Manager :

  1. Application immédiate des correctifs : Mettre à jour vers la version patchée de LANSCOPE Endpoint Manager dès que disponible
  2. Révision de l’exposition Internet : Évaluer la nécessité business d’exposer les serveurs LANSCOPE à Internet et les isoler si possible
  3. Surveillance accrue : Mettre en place une surveillance renforcée des indicateurs de compromission associés
  4. Évaluation de l’exposition : Vérifier si les systèmes ont été compromis avant l’application du correctif
  5. Renforcement des contrôles d’accès : Mettre en œuvre l’authentification forte et les contrôles d’accès granulaires

Selon une enquête menée par le cabinet de conseil en cybersécurité Deloitte auprès de 200 dirigeants d’entreprise français en 2025, 78% des organisations ont identifié des lacunes significatives dans leur capacité à détecter et à répondre aux exploits zéro-jour, soulignant la nécessité d’améliorer la résilience face à ce type de menaces.

Stratégies de protection et réponse aux incidents

Étapes pour sécuriser les environnements LANSCOPE

Pour les organisations qui continuent d’utiliser LANSCOPE Endpoint Manager, plusieurs stratégies de protection complémentaires doivent être mises en œuvre pour réduire le risque d’exploitation réussie :

Architecture réseau renforcée :

  • Isolation des serveurs LANSCOPE dans des segments réseau dédiés
  • Mise en place de pare-feux applicatifs pour filtrer le trafic entrant
  • Configuration stricte des listes de contrôle d’accès (ACL)

Sécurisation des endpoints :

  • Déploiement de solutions EDR (Endpoint Detection and Response) avancées
  • Mise en œuvre du principe du moindre privilège pour les comptes système
  • Activation du contrôle d’intégrité des fichiers

Surveillance et détection :

  • Configuration de règles de détection pour les indicateurs de compromission connus
  • Mise en place de la journalisation détaillée des événements système
  • Surveillance du trafic réseau inhabituel

La protection efficace contre les menaces avancées comme BRONZE BUTLER nécessite une approche multicouche, combinant technologie, processus et sensibilisation. Aucune solution unique ne peut garantir une protection complète face à des acteurs aussi sophistiqués.

Ces mesures, bien qu’elles ne remplacent pas l’application du correctif, peuvent significativement augmenter la complexité pour les attaquants et réduire la probabilité d’une compromission réussie. En particulier, l’isolation des serveurs LANSCOPE et le renforcement des contrôles d’accès constituent des barrières efficaces contre l’exploitation de cette vulnérabilité spécifique.

Détection et remédiation des compromissions

Dans le cas où une compromission via CVE-2025-61932 serait suspectée ou confirmée, une réponse incident structurée est essentielle pour limiter l’impact et éradiquer la menace. Le processus recommandé par l’ANSSI pour ce type d’incident comprend les étapes suivantes :

  1. Confirmation et analyse initiale :
  • Isolation immédiate des systèmes compromis
  • Capture des images mémoire pour analyse forensique
  • Documentation complète de l’étendue de la compromission
  1. Éradication et remédiation :
  • Suppression complète des malwares identifiés
  • Réinitialisation des mots de passe et des clés cryptographiques
  • Application des correctifs et des configurations sécurisées
  1. Reprise et surveillance post-incident :
  • Mise en place d’une surveillance renforcée pendant au moins 30 jours
  • Révision et ajustement des contrôles de sécurité
  • Documentation des leçons apprises

Un tableau comparatif des techniques de détection efficaces contre cette campagne est présenté ci-dessous :

Technique de détectionEfficacité contre cette campagneComplexité de mise en œuvre
Surveillance du trafic C2ÉlevéeMoyenne
Analyse comportementale des processusÉlevéeÉlevée
Détection des hashes malveillantsMoyenneFaible
Surveillance des commandes suspectesÉlevéeMoyenne
Analyse des registres systèmeMoyenneÉlevée

En pratique, les équipes de sécurité devraient combiner plusieurs de ces techniques pour améliorer leur capacité de détection. Les solutions EDR modernes, capables d’analyser le comportement des processus et d’établir des modèles de référence, sont particulièrement efficaces contre les campagnes utilisant des techniques d’obscurcation comme celles déployées par BRONZE BUTLER.

Conclusion : renforcer la résilience face aux menaces persistantes

La découverte de l’exploitation de la faille zéro-jour dans LANSCOPE Endpoint Manager par le groupe BRONZE BUTLER illustre une fois de plus l’évolution constante des menaces cyber et la sophistication croissante des acteurs étatiques. Pour les entreprises françaises, cette campagne représente un rappel crucial de la nécessité de maintenir une posture de sécurité proactive et résiliente face aux menaces persistantes avancées.

La protection efficace contre ce type de menace nécessite une approche holistique, combinant une veille threat intelligence active, une gestion rigoureuse des vulnérabilités, et des capacités de détection et de réponse renforcées. Dans un paysage où les exploits zéro-jour deviennent de plus en plus courants, l’adoption d’une stratégie de défense en profondeur et la préparation aux incidents critiques ne sont plus des options, mais des nécessités.

Les organisations doivent désormais évaluer leur exposition non seulement aux vulnérabilités connues, mais aussi à la menace d’exploitation de failles non découvertes. Cette vigilance constante, couplée à un investissement continu dans les technologies et les compétences de cybersécurité, constitue le meilleur rempart contre les campagnes sophistiquées menées par des acteurs comme BRONZE BUTLER.