Faille zero-day dans LANSCOPE Endpoint Manager : menace critique pour les entreprises

Faille zero-day dans LANSCOPE Endpoint Manager : menace critique pour les entreprises

En octobre 2025, des chercheurs du Secureworks Counter Threat Unit (CTU) ont révélé une campagne de cybersécurité sophistiquée où des acteurs de menaces soutenus par l’État chinois du groupe BRONZE BUTLER exploitaient une faille zero-day critique dans Motex LANSCOPE Endpoint Manager pour accéder illégalement aux réseaux d’entreprise et extraire des données sensibles. Cette découverte marque un chapitre supplémentaire dans un pattern d’exploitation persistant qui constitue une menace majeure pour la sécurité des systèmes d’information.

La campagne de BRONZE BUTLER : une menace sophistiquée

L’histoire du groupe BRONZE BUTLER

BRONZE BUTLER, également connu sous le nom de Tick, est un groupe de menaces avancées (APT) opérant depuis 2010 avec une focalisation spécifique sur les organisations japonaises et les entités gouvernementales. Selon les analyses de threat intelligence, ce groupe a maintenu une présence significative dans le paysage des menaces cyber pendant plus d’une décennie, développant une expertise ciblée dans l’identification et l’exploitation de vulnérabilités dans les logiciels japonais largement déployés.

Dans la pratique, BRONZE BUTLER a démontré une connaissance approfondie des environnements cibles et une capacité d’innovation constante dans leurs techniques d’attaque. En 2016, le groupe avait déjà déployé avec succès une exploitation zero-day contre une autre solution japonaise de gestion d’endpoints, SKYSEA Client View, révélant ainsi leur stratégie persistante de cibler les infrastructures japonaises.

La cible japonaise et la stratégie d’exploitation

Le choix de LANSCOPE Endpoint Manager comme cible n’est pas un hasard. Ce logiciel, largement utilisé au Japon pour la gestion des endpoints et des postes de travail, représente un point d’entrée stratégique pour les acteurs de menaces cherchant à pénétrer les réseaux d’entreprise. En ciblant ce type d’outils de gestion centralisée, BRONZE BUTLER peut potentiellement compromettre un grand nombre de systèmes en une seule exploitation.

“Le ciblage délibéré de solutions japonaises de gestion d’endpoints par BRONZE BUTLER révèle une stratégie d’espionnage étatique sophistiquée, où l’acteur adapte ses méthodes aux infrastructures spécifiques de ses cibles principales.” — Analyse du JPCERT/CC, octobre 2025

La faille CVE-2025-61932 : analyse technique

Description de la vulnérabilité

La vulnérabilité exploitée dans cette campagne, désignée CVE-2025-61932, représente une faille de sécurité critique permettant à des attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM-level sur les systèmes affectés. Ce niveau d’accès le plus élevé confère aux acteurs de menaces un contrôle complet sur les hôtes compromis, leur permettant d’installer des portes dérobées, de modifier les configurations système et de se déplacer latéralement à travers les réseaux d’entreprise sans détection.

Selon les estimations du JPCERT/CC, bien que le nombre de dispositifs LANSCOPE accessibles depuis Internet et vulnérables à cette exploitation soit relativement limité, l’impact potentiel reste considérable, particulièrement pour les organisations japonaises qui comptent de larges déploiements de cette solution.

Mécanismes d’exploitation et privilèges système

Pour compliquer la détection et l’analyse, les acteurs de menaces ont déployé le malware OAED Loader en conjonction avec ces portes dérobées, injectant des charges malveillantes dans des exécutables légitimes pour obscurcir les flux d’exécution. Cette technique de living-off-the-land permet aux attaquants d’utiliser des processus apparemment innocents pour masquer leurs activités malveillantes.

En pratique, cette approche offre plusieurs avantages aux attaquants :

• Réduction des probabilités de détection par les solutions de sécurité traditionnelles
• Capacité à contourner les listes d’autorisation basées sur des signatures
• Difficulté accrue pour les analystes lors de l’enquête forensique

L’analyse de CTU a révélé que les attaquants compressaient ensuite les données volées à l’aide de 7-Zip avant de les exfiltrer via des services de stockage cloud incluant Piping Server et LimeWire, accessibles directement via des navigateurs web lors de sessions à distance.

Infrastructure malveillante avancée

Le malware Gokcpdoor et son évolution

La sophistication technique de cette campagne BRONZE BUTLER s’étend bien au-delà du vecteur d’exploitation initial. Les chercheurs de CTU ont confirmé que les attaquants avaient déployé le malware Gokcpdoor, une porte dérobée personnalisée déjà documentée dans les rapports de threat intelligence de 2023.

La variante de 2025 de Gokcpdoor représente une évolution significative, abandonnant le support du protocole KCP hérité au profit du multiplexage des communications en utilisant des bibliothèques tierces pour le trafic de commandement et de contrôle (C2). Cette modernisation suggère que BRONZE BUTLER maintient des équipes de développement actives améliorant continuellement leur arsenal de malwares.

Les analyses comparatives des échantillons Gokcpdoor de 2023 et 2025 montrent des changements significatifs dans leur architecture interne :

// Fonctions internes de Gokcpdoor 2023
- legacy_kcp_init()
- kcp_send_packet()
- encrypt_data()

// Fonctions internes de Gokcpdoor 2025
- modern_multiplex_init()
- tls_encrypted_channel()
- obfuscate_communication()

Techniques d’exfiltration de données

Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des objectifs opérationnels différents. La variante serveur fonctionne comme un point d’écoute, acceptant les connexions entrantes sur des ports spécifiques dont 38000 et 38002, tout en offrant des capacités d’accès distant. La variante cliente initie des connexions vers des serveurs C2 codés en dur, établissant des tunnels de communication qui fonctionnent comme des portes dérobées persistantes.

Dans certains segments réseau, BRONZE BUTLER a substitué Gokcpdoor au framework C2 Havoc, démontrant une flexibilité opérationnelle et un accès à plusieurs outils offensifs. Une fois leur point d’entrée initial établi, BRONZE BUTLER a employé des outils légitimes dont goddi pour la reconnaissance d’Active Directory combinée à des applications de bureau distant pour faciliter le mouvement latéral.

Indicateurs de compromission et détection

Pour aider les équipes de sécurité à identifier les compromissions potentielles liées à cette campagne, le CTU a publié une liste d’indicateurs de compromission (IoC) :

Néanmoins, la détection de cette campagne s’avère complexe en raison des techniques d’obscurcissement utilisées et de la nature persistante des menaces. Les organisations doivent combiner la surveillance des indicateurs techniques avec une analyse comportementale pour identifier les activités anormales.

Mesures de protection et réponse aux incidents

Actions immédiates recommandées

Les organisations exploitant des déploiements de LANSCOPE Endpoint Manager doivent prioriser le correctif immédiat des systèmes vulnérables et procéder à des examens exhaustifs des serveurs LANSCOPE exposés à Internet pour déterminer les exigences métier légitimes de leur exposition publique.

Les étapes recommandées incluent :

1. Application immédiate du correctif fourni par Motex pour la CVE-2025-61932
2. Isolation des systèmes non corrigés du réseau jusqu’à leur mise à jour
3. Surveillance accrue des activités suspectes sur les endpoints gérés par LANSCOPE
4. Audit des configurations de pare-feu pour restreindre l’accès aux ports LANSCOPE

Stratégies de renforcement de la sécurité

Au-delà des mesures correctives immédiates, les organisations devraient considérer des stratégies de défense en profondeur pour se protéger contre les menaces persistantes avancées :

• Segmentation réseau stricte : Limiter la capacité de mouvement latéral en segmentant les réseaux en fonction des sensibilités des données
• Surveillance comportementale : Déployer des solutions de détection d’anomalies capables d’identifier les activités inhabituelles des endpoints
• Principe du moindre privilège : Restreindre les droits d’accès aux utilisateurs et aux processus système
• Formation du personnel : Sensibiliser les utilisateurs aux techniques d’ingénierie sociale utilisées par les acteurs de menaces

“Dans la menace persistante avancée actuelle, la défense statique n’est plus suffisante. Les organisations doivent adopter une approche proactive de la sécurité, combinant détection rapide, réponse automatisée et analyse forensique continue.” — Recommandation de l’ANSSI, 2025

Conclusion : vigilance et préparation face aux menaces persistantes

La campagne BRONZE BUTLER exploitant la faille zero-day dans LANSCOPE Endpoint Manager illustre l’évolution constante des menaces cyber et la nécessité pour les organisations de maintenir un état de vigilance permanent. Cette attaque démontre comment les acteurs de menaces étatiques développent des capacités d’exploitation ciblées contre des logiciels spécifiques, particulièrement lorsqu’ils sont largement déployés dans des secteurs critiques.

Dans le contexte actuel, où la cybersécurse représente un enjeu stratégique pour toutes les organisations, la préparation aux incidents et la capacité de réponse rapide sont devenues des compétences essentielles. Les entreprises doivent non seulement se concentrer sur la prévention des intrusions, mais également développer des capacités de détection, de réponse et de récupération efficaces.

La faille CVE-2025-61932 dans LANSCOPE Endpoint Manager servira de rappel que même les solutions de sécurité bien établies peuvent présenter des vulnérabilités critiques, soulignant l’importance d’une approche holistique de la sécurité qui intège des couches multiples de défense et une surveillance continue.