Zero-day dans LANSCOPE Endpoint Manager : comment les acteurs de la menace exploitent cette vulnérabilité critique pour voler vos données

Théophane Villedieu

octobre 31, 2025

Zero-day dans LANSCOPE Endpoint Manager : comment les acteurs de la menace exploitent cette vulnérabilité critique pour voler vos données

Au milieu de l’année 2025, des chercheurs du Secureworks Counter Threat Unit (CTU) ont mis au jour une campagne de cyberattaque sophistiquée où des acteurs de la menace chinois affiliés au groupe BRONZE BUTLER ont exploité une vulnérabilité zero-day critique dans Motex LANSCOPE Endpoint Manager. Cette faille leur a permis d’accéder de manière non autorisée aux réseaux d’entreprise et d’extraire des données sensibles. Cette découverte marque un chapitre supplémentaire dans un pattern d’exploitation en cours depuis plusieurs années.

Dans un paysage cybermenaçé en constante évolution, les organisations françaises comme internationales doivent rester vigilantes face à ces menaces émergentes. La vulnérabilité identifiée, désignée CVE-2025-61932, représente un risque considérable pour tout système utilisant LANSCOPE Endpoint Manager, particulièrement pour les entreprises japonaises et les entités gouvernementales qui constituent les cibles principales de ce groupe avancé.

Le groupe BRONZE BUTLER : un acteur de la menace sophistiqué et persistant

BRONZE BUTLER, également connu sous le nom de Tick, est un groupe d’acteurs de la menace parrainé par un état qui opère depuis 2010. Ce groupe maintient une concentration spécifique sur le ciblage d’organisations japonaises et d’entités gouvernementales. Son historique opérationnel révèle une stratégie constante d’identification et d’exploitation de vulnérabilités dans des logiciels de sécurité et de gestion japonais largement déployés.

La persistance de ce groupe dans le domaine de la cybersécurité est remarquable. Selon les analyses des agences de sécurité internationales, BRONZE BUTLER a maintenu une présence significative dans le paysage des menaces pendant plus d’une décennie, adaptant continuellement ses tactiques, techniques et procédures (TTP) pour contourner les défenses de sécurité émergentes.

Antécédents d’activités malveillantes

En 2016, BRONZE BUTLER a déployé avec succès un exploit zero-day contre une autre solution japonaise de gestion de terminaux, SKYSEA Client View. Cette démonstration approfondie de connaissances des environnements cibles et la concentration maintenue sur les infrastructures japonaises ont établi ce groupe comme une menace persistante pour les organisations nippones.

Cette nouvelle campagne contre LANSCOPE Endpoint Manager représente une continuation de cette tendance préoccupante. Le groupe semble spécialisé dans l’identification des faiblesses dans les outils de gestion de terminaux utilisés par les entreprises japonaises, ce qui en fait une menace particulièrement ciblée et difficile à contrer.

Modus operandi et objectifs stratégiques

Le groupe BRONZE BUTLER adopte une approche méthodique et stratégique dans ses opérations. Contrairement à de nombreux groupes de cybercriminalité financièrement motivés, ce groupe semble principalement motivé par l’espionnage industriel et le vol d’informations sensibles à des fins géopolitiques.

Dans la pratique, les investigations ont révélé que BRONZE BUTLER concentre ses efforts sur l’acquisition d’informations concernant les technologies avancées, les politiques gouvernementales et les secrets commerciaux. Cette orientation stratégique justifie la sophistication technique de leurs outils et l’investissement continu dans le développement de leurs capacités d’attaque.

Découverte de la vulnérabilité CVE-2025-61932

La vulnérabilité exploitée dans cette campagne, désignée CVE-2025-61932, représente un défaut de sécurité critique qui permet aux attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM-level sur les systèmes affectés. Ce niveau d’accès, le plus élevé possible dans les environnements Windows, donne aux acteurs de la menace un contrôle complet sur les hôtes compromis.

Le Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) a officiellement divulgué la vulnérabilité LANSCOPE le 22 octobre 2025, avec l’agence américaine Cybersecurity and Infrastructure Security Agency (CISA) ajoutant l’exploit à son catalogue de vulnérabilités exploitées connues le même jour. Cette réponse rapide des autorités internationales de cybersécurité souligne la gravité de la menace et le risque immédiat pour les organisations exécutant des systèmes LANSCOPE vulnérables.

Impact potentiel de la vulnérabilité

L’impact de CVE-2025-61932 est considérable, non seulement en raison des privilèges SYSTEM-level accordés aux attaquants, mais aussi à cause des possibilités d’exploitation qui en découlent. Une fois installés, les attaquants peuvent :

Installer des portes dérobées persistantes
Modifier les configurations système
Se déplacer latéralement à travers les réseaux d’entreprise
Élévation des privilèges dans des environnements déjà compromis
Voler des informations sensibles et confidentielles

Pour compliquer la détection et l’analyse, les acteurs de la menace ont déployé le malware OAED Loader en conjonction avec ces portes dérobées, injectant des charges malveillantes dans des exécutables légitimes pour obscurcir les flux d’exécution.

État des systèmes vulnérables

Bien que l’analyse du CTU ait révélé que le nombre de périphériques LANSCOPE exposés à Internet et vulnérables à cet exploit soit relativement limité, l’impact reste significatif. Les attaquants exploitant cette vulnérabilité au sein de réseaux déjà compromis pourraient mener des attaques d’élévation de privilèges et des opérations de déplacement latéral, potentiellement compromettant l’ensemble de l’infrastructure d’une organisation.

En pratique, cette vulnérabilité constitue une menace particulièrement dangereuse pour les entreprises japonaises utilisant LANSCOPE Endpoint Manager, qui se retrouvent face à un groupe d’acteurs de la menace spécialisé dans l’exploitation de ce type d’outil de gestion de terminaux.

Éléments de l’attaque : de l’exploitation à l’exfiltration

La campagne de BRONZE BUTLER contre LANSCOPE Endpoint Manager démontre un niveau de sophistication technique élevé, allant bien au-delà du vecteur d’exploitation initial. L’analyse des chercheurs du CTU a confirmé que les attaquants ont déployé le malware Gokcpdoor, une porte dérobée personnalisée précédemment documentée dans les rapports de renseignement sur les menaces de 2023.

Cette porte dérobée représente une évolution significative par rapport aux versions précédentes, abandonnant le support du protocole KCP hérité au profit d’un multiplexage des communications en utilisant des bibliothèques tierces pour le trafic de commandement et de contrôle (C2). Cette modernisation suggère que BRONZE BUTLER maintient des équipes de développement actives améliorant continuellement leur arsenal de malwares.

Infrastructure malveillante avancée

Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des opérations différentes. La variante serveur fonctionne comme un point d’écoute, acceptant les connexions client entrantes sur des ports spécifiques, notamment les ports 38000 et 38002, tout en fournissant des capacités d’accès distant. La variante client initie des connexions vers des serveurs C2 codés en dur, établissant des tunnels de communication qui fonctionnent comme des portes dérobées persistantes.

Dans certains segments réseau, BRONZE BUTLER a substitué Gokcpdoor au framework C2 Havoc, démontrant une flexibilité opérationnelle et un accès à plusieurs outils offensifs. Cette capacité d’adaptation et l’utilisation de multiples frameworks C2 rendent la détection et la défense contre ce groupe particulièrement difficiles.

Une comparaison des noms de fonctions internes dans les échantillons Gokcpdoor de 2023 et 2025 révèle des modifications significatives dans l’architecture du malware, indiquant une évolution continue conçue pour contourner les solutions de détection et de réponse aux menaces (EDR) modernes.

Techniques d’exfiltration de données

Une fois établie leur première position d’intrusion, BRONZE BUTLER a employé des outils légitimes, notamment goddi pour la reconnaissance Active Directory combinée à des applications de bureau à distance pour faciliter le déplacement latéral. Ces tactiques permettent aux attaquants de se fondre dans le trafic légitime, rendant leur détection encore plus difficile.

Les acteurs de la menace ont ensuite compressé les données volées à l’aide de 7-Zip avant d’exfiltrer les informations via des services de stockage cloud, notamment Piping Server et LimeWire, accessibles directement via des navigateurs web pendant les sessions à distance. Cette approche d’exfiltration utilise des infrastructures apparemment légitimes pour masquer le trafic malveillant, contournant ainsi les systèmes de prévention des fuites de données (DLP) traditionnels.

Indicateurs de compromission (IoC) clés à surveiller :
Type Valeur Contexte
Hash MD5 932c91020b74aaa7ffc687e21da0119c Gokcpdoor (oci.dll)
Hash SHA1 be75458b489468e0acdea6ebbb424bc898b3db29 Gokcpdoor (oci.dll)
Hash SHA256 3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba Gokcpdoor (oci.dll)
Adresse IP 38.54.56.57 Serveur C2 Gokcpdoor (port 443)
Adresse IP 38.54.88.172 Serveur C2 Havoc (port 443)

Type	Valeur	Contexte
Hash MD5	932c91020b74aaa7ffc687e21da0119c	Gokcpdoor (oci.dll)
Hash SHA1	be75458b489468e0acdea6ebbb424bc898b3db29	Gokcpdoor (oci.dll)
Hash SHA256	3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba	Gokcpdoor (oci.dll)
Adresse IP	38.54.56.57	Serveur C2 Gokcpdoor (port 443)
Adresse IP	38.54.88.172	Serveur C2 Havoc (port 443)

Recommandations de sécurité pour se protéger

Face à cette menace persistante et sophistiquée, les organisations utilisant LANSCOPE Endpoint Manager doivent prioriser la mise à jour immédiate des systèmes vulnérables et mener des examens approfondis des serveurs LANSCOPE exposés à Internet pour déterminer les exigences commerciales légitimes de leur exposition publique.

Mesures correctives immédiates

La première étape cruciale consiste à appliquer les correctifs de sécurité fournis par le fabricant dès leur disponibilité. Dans l’intervalle, les administrateurs système doivent mettre en œuvre des mesures de mitigation temporaires pour réduire la surface d’attaque, notamment :

Isoler les systèmes LANSCOPE non essentiels exposés à Internet
Mettre en place des listes de contrôle d’accès (ACL) strictes
Surveiller les connexions suspectées vers les adresses IP C2 connues
Désactiver les fonctionnalités non nécessaires pour réduire l’attaque

Renforcement de la posture de sécurité

Pour se protéger efficacement contre les menaces avancées comme celles de BRONZE BUTLER, les organisations doivent adopter une approche défensive en couches. Cela inclut :

Segmentation réseau stricte : Limiter la latéralisation potentielle en segmentant les réseaux de manière granulaire.
Défense en profondeur : Déployer plusieurs couches de sécurité, pare-feu, systèmes de détection d’intrusion (IDS) et systèmes de prévention des intrusions (IPS).
Gestion des accès privilégiés : Mettre en œuvre une gestion rigoureuse des accès privilégiés (PAM) pour limiter l’impact d’une compromission.
Chiffrement des données : Appliquer un chiffrement robuste aux données sensibles, tant au repos qu’en transit.

Surveillance et détection avancée

Étant donné la nature sophistiquée des tactiques employées par BRONZE BUTLER, les organisations doivent investir dans des capacités de détection et de réponse avancées. Cela inclut :

Surveillance du trafic réseau anormal, en particulier les communications utilisant des ports non standards
Détection des exécutables suspects injectés dans des processus légitimes
Surveillance des activités anormales des privilèges SYSTEM
Analyse des commandes suspectées exécutées via des outils de gestion à distance

Stratégies de détection recommandées :
Mettre en œuvre des règles de détection basées sur les indicateurs de compromission (IoC) fournis par les agences de sécurité
Utiliser l’analyse du comportement pour identifier les activités anormales
Surveiller les tentatives d’accès aux outils de compression comme 7-Zip
Détecter les connexions vers les services de stockage cloud non autorisés
Analyser le trafic sortant anormal vers les adresses IP suspectées

Mesures proactives pour les organisations françaises

Bien que cette campagne semble principalement cibler les organisations japonaises, les entreprises françaises ne doivent pas ignorer cette menace. Dans un contexte géopolitique tendu, les acteurs de la menace étatique développent continuellement des capacités d’attaque visant les infrastructures critiques internationales.

Alignement avec les cadres de référence

Les organisations françaises doivent s’aligner sur les cadres de référence nationaux et internationaux pour renforcer leur résilience cyber. L’ANSSI recommande notamment :

L’application stricte du principe du moindre privilège
La mise en œuvre de défenses en profondeur
La surveillance continue des environnements informatiques
La préparation aux incidents de sécurité et tests de pénétration réguliers

Ces pratiques, conformes aux normes ISO 27001 et aux exigences du RGPD, constituent une base solide pour se protéger contre les menaces émergentes comme celle décrite dans cet article.

Formation et sensibilisation du personnel

La sensibilisation du personnel reste un élément crucial de la défense contre les menaces avancées. Les organisations doivent investir dans des programmes de formation réguliers pour :

Éduquer les employés sur les tactiques d’ingénierie sociale
Renforcer les meilleures pratiques de cybersécurité
Encourager une culture de vigilance et de reporting des incidents
Mettre à jour régulièrement les connaissances du personnel sur les menaces émergentes

Conclusion : rester vigilant face aux menaces zero-day

La campagne de BRONZE BUTLER contre LANSCOPE Endpoint Manager illustre la persistance et la sophistication croissante des acteurs de la menace étatique. Dans un paysage cybermenaçé en constante évolution, les organisations doivent adopter une approche proactive et défensive en couches pour se protéger contre ces menaces émergentes.

La vulnérabilité zero-day dans LANSCOPE Endpoint Manager représente un rappel important que même les solutions de sécurité bien établies peuvent contenir des failles critiques. En adoptant les bonnes pratiques de sécurité, en restant informé des menaces émergentes et en maintenant une posture de vigilance constante, les organisations peuvent réduire considérablement leur exposition aux risques cyber.

Face à la menace persistente des zero-day, la cybersécurité ne doit pas être considérée comme un projet ponctuel, mais plutôt comme un processus continu d’amélioration, de détection et de réponse. En investissant dans la résilience cyber et en adoptant une approche proactive, les organisations peuvent non seulement se protéger contre les menactes actuelles, mais aussi se préparer aux défis de sécurité demain.