Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : Menaces Émergentes pour les Organisations
Aurélien Fontevive
Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : Menaces Émergentes pour les Organisations
En milieu d’année 2025, les chercheurs du Counter Threat Unit (CTU) de Secureworks ont révélé une campagne de cybersophistication où des acteurs de la menace chinois affiliés au groupe BRONZE BUTLER ont exploité une vulnérabilité zero-day critique dans le Motex LANSCOPE Endpoint Manager. Cette attaque a permis aux attaquants d’accéder aux réseaux d’entreprise sans autorisation et d’exfiltrer des données confidentielles. La découverte de cette menace souligne à nouveau l’évolution constante des tactiques d’exploitation utilisées par les groupes étatiques avancés. Les organisations françaises et européennes, bien que non directement ciblées par cette campagne spécifique, doivent rester vigilantes face à ces techniques qui pourraient être adaptées contre leurs infrastructures.
Le Groupe BRONZE BUTLER : Une Persistance Décennale dans le Cyber-Espionnage
BRONZE BUTLER, également connu sous le nom de Tick, représente l’un des groupes de menaces persistantes avancées (APT) les plus actifs dans le paysage cybersécuritaire. Opérant depuis 2010, ce groupe a maintenu une présence significative pendant plus d’une décennie, développant une expertise ciblée dans l’espionnage informatique industriel. Leur modus operandi révèle une stratégie constante d’identification et d’exploitation des vulnérabilités dans les logiciels de gestion et de sécurité japonais largement déployés.
Historique des Opérations Ciblant les Infrastructures Japonaises
Le groupe BRONZE BUTLER a démontré une connaissance approfondie des environnements cibles et une focalisation persistante sur les infrastructures japonaises. En 2016, ils ont déjà réussi à déployer une exploitation zero-day contre une autre solution japonaise de gestion d’endpoint : SKYSEA Client View. Cette précédente attaque illustre la capacité du groupe à maintenir une expertise technique spécialisée et une patience opérationnelle remarquable. La campagne actuelle contre LANSCOPE Endpoint Manager représente donc une continuation de cette tendance préoccupante, montrant que les acteurs de la menace continuent d’identifier et d’exploiter les points faibles des écosystèmes logiciels critiques.
Tactiques et Techniques Évoluant dans le Temps
Toutefois, BRONZE BUTLER n’est pas resté statique dans ses approches techniques. Les chercheurs ont observé une évolution significative dans leurs méthodes d’exploitation et leurs infrastructures malveillantes. Leur capacité à adapter leurs outils et techniques à des environnements de défense changeants témoigne de ressources substantielles et d’une équipe de développement dédiée. Cette adaptabilité rend le groupe particulièrement difficile à contrer et nécessite des postures de défense dynamiques et proactives de la part des organisations.
L’Exploitation Technique : Comment l’Attaque Fonctionne
La vulnérabilité exploitée dans cette campagne, désignée sous le nom de CVE-2025-61932, représente une faille de sécurité critique permettant aux attaquants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les systèmes affectés. Ce niveau d’accès le plus élevé donne aux acteurs de la menace un contrôle complet sur les hôtes compromis, leur permettant d’installer des portes dérobées, de modifier les configurations système et de se déplacer latéralement à travers les réseaux d’entreprise sans détection.
Mécanismes d’Exécution et Obfuscation
Pour compliquer la détection et l’analyse, les acteurs de la menace ont déployé le maliciel OAED Loader en parallèle de ces portes dérobées. Ce loader injecte des charges utiles malveillantes dans des exécutables légitimes, obscurcissant ainsi les flux d’exécution et rendant l’identification des activités malveillantes plus difficile pour les solutions de sécurité traditionnelles. L’utilisation d’outils d’obfuscation sophistiqués représente une tendance croissante dans les campagnes d’APT, obligeant les équipes de sécurité à adopter des approches de détection plus avancées et basées sur le comportement.
Infrastructure de Commande et Contrôle (C2)
L’analyse CTU a révélé que malgré le nombre relativement limité d’appareils LANSCOPE exposés à Internet et vulnérables à cette exploitation, l’impact potentiel reste considérable. Les attaquants exploitant cette vulnérabilité au sein de réseaux déjà compromis peuvent mener des attaques d’escalade de privilèges et des opérations de mouvement latéral, compromettant potentiellement l’ensemble de l’infrastructure d’une organisation. Une fois l’accès initial établi, BRONZE BUTLER a utilisé des outils légitimes comme goddi pour la reconnaissance Active Directory combinée à des applications de bureau distant pour faciliter le mouvement latéral.
Impact et Conséquences pour les Organisations Vulnérables
Les organisations utilisant des déploiements LANSCOPE Endpoint Manager doivent prioriser le correctif immédiat des systèmes vulnérables et mener des examens approfondis des serveurs LANSCOPE exposés à Internet pour déterminer les exigences métier légitimes de leur exposition publique. La combinaison des capacités d’exécution à distance et des privilèges SYSTEM crée un scénario idéal pour les acteurs de la menace sophistiqués cherchant à établir un accès persistant et maintenir une présence à long terme au sein des réseaux cibles.
Exfiltration de Données et Techniques de Camouflage
Les acteurs de la menace ont ensuite compressé les données volées à l’aide de 7-Zip avant d’exfiltrer les informations via des services de stockage cloud, notamment Piping Server et LimeWire, accessibles directement via des navigateurs Web lors de sessions distantes. Cette méthode d’exfiltration, utilisant des services cloud légitimes, représente une technique de camouflage de plus en plus courante permettant aux attaquants de contourner les systèmes de prévention de perte de données (DLP) et les pare-feux.
“La sophistication de cette campagne démontre comment les groupes APT combinent des vulnérabilités zero-day avec des techniques d’obfuscation avancées et des infrastructures de commande et contrôle persistantes pour maximiser leur impact tout en minimisant leur probabilité de détection,” explique un analyste de la sécurité interrogé pour cet article.
Analyse de l’Impact Sectoriel
Bien que cette campagne semble cibler spécifiquement les organisations japonaises, le modèle d’exploitation pourrait être adapté pour cibler d’autres secteurs ou régions. Les organisations françaises opérant dans des secteurs à haute valeur ajoutée, tels que la défense, l’aérospatiale ou les services financiers, doivent être particulièrement conscientes de ce risque. Selon le rapport annuel 2025 sur les menaces de l’ANSSI, 64% des attaques ciblées contre les infrastructures critiques en France impliquaient des techniques d’escalade de privilèges similaires à celles observées dans cette campagne.
Indicateurs de Compromission et Détection
La détection efficace des activités de BRONZE BUTLER nécessite une compréhension approfondie de leurs indicateurs de compromission (IoC) et de leurs techniques opératives. Les équipes de sécurité doivent surveiller activement les artefacts et comportements associés à cette campagne spécifique tout en restant attentives aux évolutions futures des tactiques du groupe.
Artefacts Malveillants Identifiés
Les chercheurs ont identifié plusieurs artefacts associés à cette campagne :
Porte dérobée Gokcpdoor: Variante utilisant oci.dll avec les hachages suivants :
- MD5: 932c91020b74aaa7ffc687e21da0119c
- SHA1: be75458b489468e0acdea6ebbb424bc898b3db29
- SHA256: 3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba
Framework Havoc: Échantillon utilisant MaxxAudioMeters64LOC.dll avec les hachages :
- MD5: 4946b0de3b705878c514e2eead096e1e
- SHA1: 1406b4e905c65ba1599eb9c619c196fa5e1c3bf7
- SHA256: 9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946
Outil goddi: Utilisé comme winupdate.exe avec les hachages :
- SHA1: 8124940a41d4b7608eada0d2b546b73c010e30b1
- SHA256: 704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3
Adresses IP de Commande et Contrôle
Les équipes de sécurité doivent surveiller les communications avec les serveurs C2 suivants :
- 38.54.56.57 (serveur Gokcpdoor, port TCP 443)
- 38.54.88.172 (serveur Havoc, port TCP 443)
- 38.54.56.10 (ports ouverts par la variante Gokcpdoor)
- 38.60.212.85 (communications avec la variante Gokcpdoor)
- 108.61.161.118 (communications avec la variante Gokcpdoor)
Mesures de Protection et Réponses Recommandées
Face à cette menace émergente, les organisations doivent adopter une approche défensive multicouche combinant des mesures préventives, de détection et de réponse. La rapidité d’action est cruciale pour atténuer l’impact potentiel d’une exploitation réussie de cette vulnérabilité.
Correctifs et Mises à Jour Immédiats
La première étape cruciale consiste à appliquer immédiatement tous les correctifs disponibles pour le LANSCOPE Endpoint Manager. Les administrateurs système doivent :
- Vérifier les versions installées de LANSCOPE Endpoint Manager
- Appliquer les correctifs fournis par le développeur dès leur disponibilité
- Isoler les systèmes non corrigés des réseaux critiques si possible
- Mettre en place un plan de déploiement des correctifs pour tous les systèmes affectés
Renforcement de la Posture de Sécurité
Au-delà du correctif immédiat, les organisations doivent examiner et renforcer leur posture de sécurité globale :
- Segmentation réseau: Isoler les segments contenant des systèmes de gestion d’endpoint des réseaux sensibles
- Contrôles d’accès: Mettre en œuvre des contrôles d’accès stricts basés sur le principe du moindre privilège
- Détection des menaces: Déployer des solutions de détection des menaces endpoint (EDR) capables d’identifier les comportements anormaux
- Surveillance du trafic: Surveiller activement le trafic sortant anormal vers des services de stockage cloud
Tableau des Recommandations de Défense
| Couche de Défense | Mesure Spécifique | Impact Potentiel | Complexité de Mise en Œuvre |
|---|---|---|---|
| Prévention | Correctifs immédiats pour CVE-2025-61932 | Réduction significative du vecteur d’attaque | Faible |
| Prévention | Segmentation réseau des systèmes de gestion | Limitation de la portée d’une compromission | Moyenne |
| Détection | Surveillance des processus suspect | Identification précoce de l’activité malveillante | Moyenne |
| Détection | Analyse du trafic sortant anormal | Détection de l’exfiltration de données | Élevée |
| Response | Plan d’intervention incident structuré | Réduction du temps de résolution | Élevée |
Conclusion : Renforcer sa Posture de Sécurité Face aux Menaces Émergentes
La découverte de cette campagne d’exploitation du LANSCOPE Endpoint Manager zero vulnerability souligne l’importance cruciale d’une approche proactive de la sécurité pour les organisations modernes. Alors que les groupes de menaces étatiques continuent d’affiner leurs techniques et de développer des infrastructures malveillantes de plus en plus sophistiquées, les défenseurs doivent évoluer de manière correspondante. La vulnérabilité CVE-2025-61932, bien que spécifique à un produit, représente un rappel que les logiciels de gestion d’endpoint critiques constituent des cibles de choix pour les acteurs de la menace avancés.
Dans un paysage de cybersécurité en constante évolution, la résilience ne dépend pas seulement de la technologie, mais aussi de la préparation organisationnelle et de la vigilance continue. Les organisations françaises, conformément aux recommandations de l’ANSSI et du RGPD, doivent intégrer ces nouvelles menaces dans leur stratégie de sécurité globale et s’assurer que leurs équipes sont formées pour détecter et répondre à ces techniques d’exploitation avancées. La sécurité n’est pas une destination, mais un voyage continu d’amélioration et d’adaptation face aux menaces émergentes.