Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : Une Campagne d'Espionnage Déjouée
Lysandre Beauchêne
Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : Une Campagne d’Espionnage Déjouée
En milieu d’année 2025, des chercheurs du Counter Threat Unit (CTU) de Secureworks ont mis au jour une campagne de cybercriminalité sophistiquée où des acteurs de menace chinois affiliés au groupe BRONZE BUTLER ont exploité une vulnérabilité zero-day critique dans Motex LANSCOPE Endpoint Manager pour s’introduire illégalement dans les réseaux d’entreprise et extraire des données sensibles. Cette découverte s’inscrit dans une longue série d’exploitations menées par ce groupe avancé, qui maintient une présence significative dans le paysage des menaces depuis plus d’une décennie. La vulnérabilité, désormais identifiée sous la référence CVE-2025-61932, représente un risque critique pour les organisations utilisant cette solution de gestion de terminaux.
Comprendre la Vulnérabilité CVE-2025-61932
La faille identifiée dans LANSCOPE Endpoint Manager constitue une menace de sécurité critique. Selon les experts, cette vulnérabilité permet aux attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les systèmes affectés. Ce niveau d’accès représente le plus haut niveau d’autorité possible, offrant aux acteurs de menace un contrôle complet sur les hôtes compromis. Avec ces privilèges, les attaquants peuvent installer des portes dérobées, modifier les configurations système et se déplacer latéralement à travers l’infrastructure d’entreprise sans être détectés.
La combinaison des capacités d’exécution à distance et des privilèges SYSTEM crée un scénario idéal pour les acteurs de menace sophistiqués cherchant à établir un accès persistant et maintenir une présence à long terme au sein des réseaux cibles.
La complexité de cette faille est accentuée par l’utilisation par les attaquants du malware OAED Loader, qui s’est ajouté aux portes dérobées pour injecter des malwares légitimes et obscurcir les flux d’exécution. L’analyse menée par le CTU a révélé que, bien que le nombre de terminaux LANSCOPE accessibles depuis Internet et vulnérables à cette exploitation soit relativement limité, l’impact potentiel reste considérable. Les attaquants exploitant cette vulnérabilité au sein de réseaux déjà compromis peuvent mener des attaques d’escalade de privilèges et des opérations de mouvement latéral, compromettant potentiellement l’ensemble de l’infrastructure d’une organisation.
Le Groupe BRONZE BUTLER : Une Décennie d’Activités Malveillantes
BRONZE BUTLER, également connu sous le nom de Tick, constitue une menace persistante dans le domaine de la cybersécurité depuis son apparition en 2010. Ce groupe maintient une focalisation spécifique sur le ciblage des organisations japonaises et des entités gouvernementales. L’historique opérationnel du groupe révèle une stratégie consistant à identifier et exploiter les vulnérabilités dans les logiciels de sécurité et de gestion japonais largement déployés.
En 2016, BRONZE BUTLER avait déjà déployé avec succès une exploitation zero-day contre une autre solution japonaise de gestion de terminaux, SKYSEA Client View, démontrant la connaissance approfondie du groupe des environnements cibles et sa concentration persistante sur l’infrastructure japonaise. Cette nouvelle campagne contre LANSCOPE Endpoint Manager représente donc la continuation d’une tendance préoccupante. Selon les rapports de threat intelligence, le groupe a maintenu une activité constante au fil des années, avec des campagnes ciblant spécifiquement les secteurs industriels, gouvernementaux et financiers japonais.
- Origine: Liée à des acteurs étatiques chinois
- Opérationnel depuis: 2010
- Cible principale: Organisations japonaises et gouvernementales
- Spécialisation: Vulnérabilités dans les logiciels japonais
- Tactiques privilégiées: Exploitation zero-day, portes dérobées persistantes
- Notoriété: Groupe avancé persistant (APT)
- Impact: Espionnage industriel et vol de données sensibles
Techniques d’Exploitation et Infrastructure Malveillante
La sophistication technique de cette campagne menée par BRONZE BUTLER dépasse largement le vecteur d’exploitation initial. Les chercheurs du CTU ont confirmé que les attaquants ont déployé le malware Gokcpdoor, une porte dérobée personnalisée documentée dans les rapports de threat intelligence de 2023. L’analyse comparative des noms de fonctions internes dans les échantillons de 2023 et 2025 de Gokcpdoor révèle une évolution significative du malware.
La version 2025 de Gokcpdoor représente une évolution notable, abandonnant le support du protocole KCP hérité au profit du multiplexage des communications en utilisant des bibliothèques tierces pour le trafic de command-and-control.
Cette modernisation suggère que BRONZE BUTLER maintient des équipes de développement actives améliorant continuellement leur arsenal de malwares. Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des objectifs opérationnels différents. La variante serveur fonctionne comme un point d’écoute, acceptant les connexions entrantes sur des ports spécifiques dont les 38000 et 38002, tout en fournissant des capacités d’accès à distance. La variante client initie des connexions vers des serveurs C2 codés en dur, établissant des tunnels de communication fonctionnant comme des portes dérobées persistantes.
Dans certains segments réseau, BRONZE BUTLER a substitué Gokcpdoor au framework C2 Havoc, démontrant une flexibilité opérationnelle et un accès à plusieurs outils offensifs. Une fois leur point d’ancrage initial établi, les attaquants ont utilisé des outils légitimes dont goddi pour la reconnaissance Active Directory combinée à des applications de bureau à distance pour faciliter le mouvement latéral.
Exfiltration des Données et Techniques de Dissimulation
Une fois l’accès établi et les privilèges obtenus, les acteurs de menace se sont concentrés sur l’exfiltration des données sensibles. Les données volées ont été préalablement compressées à l’aide de l’utilitaire 7-Zip avant d’être exfiltrées vers des services de stockage cloud incluant Piping Server et LimeWire, accessés directement via des navigateurs web pendant des sessions à distance.
Cette méthode d’exfiltration présente plusieurs avantages tactiques pour les attaquants. Tout d’abord, l’utilisation d’outils légitimes comme 7-Zip réduit les probabilités de détection par les solutions de sécurité traditionnelles qui se concentrent sur les signatures malveillantes. Ensuite, le recours à des services de stockage cloud accessibles via le web permet aux attaquants de contourner les pare-feux et les systèmes de prévention de perte de données (DLP) qui surveillent typically les connexions réseau sortantes.
Néanmoins, cette approche présente également des défis pour les attaquants. Les services cloud comme Piping Server et LimeWire génèrent des journaux d’activité et des métadonnées qui, si correctement analysées, peuvent permettre aux équipes de sécurité d’identifier l’exfiltration de données. Dans la pratique, les organisations doivent donc mettre en place des solutions de sécurité capables de détecter les communications suspectes avec ces services, même lorsqu’elles semblent provenir de navigateurs web légitimes.
Indicateurs de Compromission et Détection
Pour aider les équipes de sécurité à détecter et répondre à cette campagne, les chercheurs ont identifié plusieurs indicateurs de compromission (IoCs) significatifs. Ces indicateurs comprennent des hachages de fichiers, des adresses IP et des noms de fichiers associés aux malwares utilisés par BRONZE BUTLER dans cette campagne.
Tableau des Indicateurs de Compromission Principaux
| Indicateur | Type | Contexte |
|---|---|---|
| 932c91020b74aaa7ffc687e21da0119c | MD5 hash | Gokcpdoor variant utilisé par BRONZE BUTLER (oci.dll) |
| be75458b489468e0acdea6ebbb424bc898b3db29 | SHA1 hash | Gokcpdoor variant utilisé par BRONZE BUTLER (oci.dll) |
| 3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba | SHA256 hash | Gokcpdoor variant utilisé par BRONZE BUTLER (oci.dll) |
| 4946b0de3b705878c514e2eead096e1e | MD5 hash | Havoc sample utilisé par BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| 38[.]54[.]56[.]57 | IP address | Gokcpdoor C2 server utilisé par BRONZE BUTLER ; utilise TCP port 443 |
| 38[.]54[.]88[.]172 | IP address | Havoc C2 server utilisé par BRONZE BUTLER ; utilise TCP port 443 |
En plus de ces indicateurs spécifiques, les organisations doivent rester vigilantes concernant toute activité réseau anormale impliquant des communications avec les adresses IP associées à cette campagne. Les équipes de sécurité doivent également surveiller l’utilisation suspecte d’outils légitimes comme 7-Zip pour la compression de grandes quantités de données, surtout lorsqu’elle est suivie de transmissions vers des services de stockage cloud.
Réponse et Contre-Mesures Recommandées
Face à cette menace évolutive, les organisations exploitant des déploiements de LANSCOPE Endpoint Manager doivent prioriser le patching immédiat des systèmes vulnérables. Le Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) a officiellement révélé la vulnérabilité le 22 octobre 2025, avec l’Agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) ajoutant l’exploitation à son catalogue de vulnérabilités exploitées le même jour. Cette réponse rapide des autorités de cybersécurité internationales souligne la gravité de la menace et le risque immédiat que représentent les systèmes LANSCOPE vulnérables.
Les organisations doivent également mener des examens approfondis des serveurs LANSCOPE exposés à Internet pour déterminer les exigences métier légitimes de leur exposition publique. Dans de nombreux cas, ces serveurs ne devraient pas être directement accessibles depuis Internet, mais plutôt placés dans des segments réseau restreints avec un accès contrôlé via des solutions de sécurité appropriées.
Étapes d’Action Immédiates
- Appliquer les correctifs disponibles pour LANSCOPE Endpoint Manager dès que possible
- Isoler les systèmes affectés de votre réseau jusqu’à ce qu’ils soient patchés et vérifiés
- Examiner les journaux d’activité de vos systèmes LANSCOPE pour toute activité suspecte
- Surveiller les communications réseau avec les indicateurs IP associés à BRONZE BUTLER
- Mettre à jour vos systèmes de détection avec les derniers indicateurs de compromission
- Évaluer l’impact potentiel si une compromission a eu lieu
- Consulter des experts en cybersécurité si vous suspectez une compromission
À plus long terme, les organisations doivent revoir leurs stratégies de sécurité des terminaux pour limiter l’impact potentiel de futures vulnérabilités zero-day. Cela inclut l’implémentation de solutions de détection et de réponse aux points de terminaux (EDR), la restriction des privilèces administratifs et l’application du principe du moindre privilège pour tous les utilisateurs et processus.
Implications pour la Sécurité des Entreprises
La campagne menée par BRONZE BUTLER contre LANSCOPE Endpoint Manager soulève plusieurs questions importantes sur la sécurité des entreprises dans le paysage actuel des menaces. Premièrement, cette attaque démontre comment les acteurs de menace étatiques ciblent spécifiquement les solutions de gestion de terminaux largement déployées, reconnaissant leur position critique dans l’infrastructure de sécurité des organisations.
Deuxièmement, l’utilisation de vulnérabilités zero-day dans des logiciels spécialisés japonais suggère que les acteurs de menace étatiques maintiennent des programmes de recherche et développement avancés dédiés à l’identification et à l’exploitation de ces niches spécifiques du marché. Pour les organisations japonaises et celles utilisant des solutions japonaises, cela représente un défi de sécurité unique qui nécessite une vigilance accrue et des partenariats étroits avec les fournisseurs pour obtenir des informations et des correctifs rapides.
En outre, cette campagne met en lumière l’évolution continue des tactiques, techniques et procédures (TTP) des groupes d’acteurs de menace avancés. L’abandon des protocoles de communication hérités au profit de bibliothèques tierces modernes et l’utilisation d’outils légitimes pour dissimuler les activités malveillantes représentent des tendances préoccupantes qui compliquent la détection et la réponse pour les équipes de sécurité.
Tendances Émergentes dans le Paysage des Menaces 2025
L’incident lié à la vulnérabilité LANSCOPE Endpoint Manager s’inscrit dans un contexte de tendances émergentes préoccupantes dans le domaine de la cybersécurité pour l’année 2025. Selon les rapports de threat récents, nous observons une augmentation notable des campagnes d’espionnage industriel menées par des acteurs étatiques, avec une focalisation particulière sur les technologies émergentes et les chaînes d’approvisionnement logicielles.
Une tendance significante est l’exploitation ciblée des solutions de gestion de terminaux et de sécurité, qui représentent des points d’entrée privilégiés dans les réseaux d’entreprise. Ces solutions bénéficient généralement d’un large accès à travers l’infrastructure, ce qui les rend particulièrement attrayantes pour les attaquants cherchant à établir une présence persistante.
Par ailleurs, les acteurs de menace continuent d’affiner leurs techniques d’évasion, en utilisant de plus en plus fréquemment des outils légitimes et des bibliothèques système pour dissimuler leurs activités. Cette approche, connue sous le nom de “living-off-the-land”, rend la détection plus difficile pour les solutions de sécurité traditionnelles qui se concentrent sur les signatures malveillantes spécifiques.
En pratique, ces tendences obligent les organisations à adopter des approches plus holistiques de la sécurité, incluant la détection comportementale, l’analyse de menace et la réponse automatisée aux incidents. La surveillance continue de l’activité réseau et des processus système, combinée à une intelligence de threat actualisée, devient essentielle pour détecter et contrer efficacement ces menaces sophistiquées.
Conclusion et Prochaines Étapes
La découverte de la campagne menée par BRONZE BUTLER exploiting la vulnérabilité zero-day dans LANSCOPE Endpoint constitue un rappel important de la nature persistante et évolutive des menaces cybernétiques. Cette attaque démontre comment les acteurs de menace étatiques continuent d’identifier et d’exploiter des failles critiques dans les solutions de sécurité largement déployées, avec des conséquences potentiellement dévastatrices pour les organisations affectées.
Pour les organisations utilisant LANSCOPE Endpoint Manager, l’action immédiate est essentielle. L’application des correctifs disponibles, la vérification des systèmes pour toute compromission potentielle et la mise en œuvre de mesures de renforcement de la sécurité représentent les premières étapes cruciales pour atténuer les risques associés à cette vulnérabilité spécifique.
À plus long terme, cet incident souligne l’importance d’une approche proactive de la sécurité des terminaux, incluant la mise en œuvre de solutions EDR avancées, la gestion stricte des privilèges et une surveillance continue de l’activité réseau. De plus, le maintien de relations étroites avec les fournisseurs de sécurité et les équipes de threat intelligence permet d’obtenir des informations et des alertes rapides concernant les menaces émergentes.
Dans le paysage cybernétique actuel, la vulnérabilité zero-day ne constitue plus une menace hypothétique, mais une réalité tangible qui nécessite une vigilance constante et des défenses adaptatives. En adoptant ces mesures et en restant informé des dernières menaces, les organisations peuvent mieux se préparer à défendre leurs actifs les plus précieux contre les campagnes d’espionnage sophistiquées menées par des acteurs de menace avancés.