Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : Une Campagne d'Espionnage Cyberneuristique Sophistiquée
Théophane Villedieu
Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : Menace Critique pour les Entreprises
En milieu d’année 2025, l’unité de contre-menaces de Secureworks (CTU) a révélé une campagne cyberneuristique complexe où des acteurs de la menace soutenus par l’État chinois, appartenant au groupe BRONZE BUTLER, ont exploité une vulnérabilité zero-day critique dans Motex LANSCOPE Endpoint Manager pour obtenir un accès non autorisé aux réseaux d’entreprise et extraire des données sensibles. Cette découverte marque un chapitre supplémentaire dans un modèle d’exploitation persistant observé depuis plus d’une décennie.
Au cours des dernières années, le paysage des menaces cyberneuristiques a évolué de manière exponentielle, avec une augmentation de 37% des attaques zero-day signalées en 2025 par rapport à l’année précédente, selon le dernier rapport de l’ANSSI. Dans ce contexte, l’exploitation ciblée de solutions de gestion de terminaux japonaises par des groupes étatiques représente une menace particulièrement préoccupante pour les organisations japonaises et leurs partenaires internationaux.
Le Groupe BRONZE BUTLER : Une Décennie d’Opérations Cyberneuristiques
BRONZE BUTLER, également connu sous le nom de Tick, opère depuis 2010 et maintient un focus spécifique sur le ciblage des organisations japonaises et des entités gouvernementales. L’historique opérationnel du groupe révèle une stratégie consistante d’identification et d’exploitation des vulnérabilités dans les logiciels de sécurité et de gestion japonais largement déployés.
Le groupe BRONZE BUTLER représente l’exemple parfait de la persévérance dans l’espionnage cyberneuristique. Leur spécialisation dans les solutions japonaises, combinée à leur capacité à maintenir des opérations pendant plus d’une décennie, en fait l’un des acteurs de la menace les plus sophistiqués et persistants.
En 2016, BRONZE BUTLER a réussi à déployer une attaque zero-day contre une autre solution de gestion de terminaux japonaise, SKYSEA Client View, démontrant la connaissance approfondie du groupe des environnements cibles et son focus soutenu sur les infrastructures japonaises. Cette nouvelle campagne contre LANSCOPE Endpoint Manager représente la continuation de cette tendance inquiétante.
La Vulnérabilité Zero-Day CVE-2025-61932
La vulnérabilité exploitée dans cette campagne, désignée CVE-2025-61932, représente un défaut critique de sécurité qui permet aux attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les systèmes affectés. Ce niveau d’accès le plus élevé fournit aux acteurs de la menace un contrôle complet sur les hôtes compromis, leur permettant d’installer des portes dérobées, de modifier les configurations système et de se déplacer latéralement à travers les réseaux d’entreprise sans détection.
Selon l’analyse menée par le Centre de coordination de la réponse aux incidents de sécurité informatique du Japon (JPCERT/CC), cette vulnérabilité affecte spécifiquement les versions de LANSCOPE Endpoint Manager antérieures à la version 9.2.1.1. La criticité de cette vulnérabilité est classée 9.8 sur l’échelle CVSS, ce qui la place dans la catégorie des menaces critiques nécessitant une action immédiate.
Mécanismes d’Exploitation et Techniques d’Obsfuscation
Pour compliquer la détection et l’analyse, les acteurs de la menace ont déployé le malware OAED Loader en parallèle de ces portes dérobées, injectant des charges malveillantes dans des exécutables légitimes pour obscurcir les flux d’exécution. Cette technique d’obsfuscation permet au malware de contourner les solutions de détection traditionnelles basées sur des signatures.
L’analyse CTU a révélé que bien que le nombre d’appareils LANSCOPE exposés à Internet et vulnérables à cette exploitation soit relativement limité, l’impact reste significatif. Les attaquants exploitant cette vulnérabilité au sein de réseaux déjà compromis pourraient mener des attaques d’escalade de privilèges et des opérations de mouvement latéral, compromettant potentiellement l’ensemble de l’infrastructure d’une organisation.
Infrastructure Malveillante Évoluée
La sophistication technique de cette campagne BRONZE BUTLER s’étend bien au-delà du vecteur d’exploitation initial. Les chercheurs de CTU ont confirmé que les attaquants ont déployé le malware Gokcpdoor, une porte dérobée personnalisée documentée précédemment dans les rapports de renseignement sur les menaces de 2023.
L’évolution constante des malwares utilisés par BRONZE BUTLER démontre leur capacité d’innovation et leur engagement à maintenir un accès persisteven aux cibles. Le passage du protocole KCP obsolète aux bibliothèques tierces pour le trafic de command-and-control représente une modernisation significative de leur arsenal.
La variante de 2025 de Gokcpdoor représente une évolution significative, arrêtant le support du protocole KCP hérité au profit du multiplexage des communications en utilisant des bibliothèques tierces pour le trafic de command-and-control. Cette modernisation suggère que BRONZE BUTLER maintient des équipes de développement actives améliorant continuellement leur arsenal de malwares.
Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des objectifs opérationnels différents. La variante serveur fonctionne comme un point d’écoute, acceptant les connexions entrantes sur des ports spécifiés dont 38000 et 38002, tout en fournissant des capacités d’accès distant. La variante cliente initie des connexions vers des serveurs C2 codés en dur, établissant des tunnels de communication qui fonctionnent comme des portes dérobées persistantes.
Techniques d’Exfiltration de Données
Une fois l’accès initial établi, BRONZE BUTLER a utilisé des outils légitimes, notamment goddi pour la reconnaissance d’Active Directory combiné à des applications de bureau distant pour faciliter le mouvement latéral. Cependant, la technique la plus préoccupante concerne l’exfiltration des données volées.
Les acteurs de la menace ont compressé les données volées à l’aide de 7-Zip avant d’exfiltrer les informations vers des services de stockage cloud, y compris Piping Server et LimeWire, accessibles directement via des navigateurs web lors de sessions distantes. Cette approche permet d’éviter les systèmes de détection d’exfiltration traditionnels qui se concentrent sur les protocoles réseau inhabituels.
Indicateurs de Compromission
Pour aider les équipes de sécurité à détecter cette campagne, les chercheurs ont identifié plusieurs indicateurs de compromission (IoC) associés à cette attaque :
| Type d’Indicateur | Valeur | Contexte |
|---|---|---|
| Hash MD5 | 932c91020b74aaa7ffc687e21da0119c | Gokcpdoor utilisé par BRONZE BUTLER (oci.dll) |
| Hash SHA1 | be75458b489468e0acdea6ebbb424bc898b3db29 | Gokcpdoor utilisé par BRONZE BUTLER (oci.dll) |
| Hash SHA256 | 3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba | Gokcpdoor utilisé par BRONZE BUTLER (oci.dll) |
| Hash MD5 | 4946b0de3b705878c514e2eead096e1e | Havoc utilisé par BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| Hash SHA1 | 1406b4e905c65ba1599eb9c619c196fa5e1c3bf7 | Havoc utilisé par BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| Hash SHA256 | 9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946 | Havoc utilisé par BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| Hash SHA1 | 8124940a41d4b7608eada0d2b546b73c010e30b1 | goddi utilisé par BRONZE BUTLER (winupdate.exe) |
| Hash SHA256 | 704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3 | goddi utilisé par BRONZE BUTLER (winupdate.exe) |
| Adresse IP | 38.54.56.57 | Serveur C2 Gokcpdoor utilisé par BRONZE BUTLER, port TCP 443 |
| Adresse IP | 38.54.88.172 | Serveur C2 Havoc utilisé par BRONZE BUTLER, port TCP 443 |
| Adresse IP | 38.54.56.10 | Connecté aux ports ouverts par la variante Gokcpdoor de BRONZE BUTLER |
| Adresse IP | 38.60.212.85 | Connecté aux ports ouverts par la variante Gokcpdoor de BRONZE BUTLER |
| Adresse IP | 108.61.161.118 | Connecté aux ports ouverts par la variante Gokcpdoor de BRONZE BUTLER |
Réponse des Autorités de Cybersécurité
Le Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) a officiellement divulgué la vulnérabilité LANSCOPE le 22 octobre 2025, avec l’Agence de la sécurité des infrastructures et de la cybersécurité des États-Unis (CISA) ajoutant l’exploitation à son catalogue de vulnérabilités connues et exploitées le même jour. Cette réponse rapide des autorités internationales de cybersécurité souligne la gravité de la menace et le risque immédiat posé aux organisations exécutant des systèmes LANSCOPE vulnérables.
Dans la pratique, cette coordination internationale entre les agences de cybersécurité japonaise et américaine démontre l’efficacité croissante des mécanismes de partage d’informations sur les menaces. Néanmoins, le délai entre la découverte de la vulnérabilité et son divulguement public a permis aux acteurs de la menace d’exploiter activement ce défaut pendant plusieurs mois avant que des correctifs ne soient disponibles.
Mesures de Contre-Mesure et Recommandations
Les organisations exploitant des déploiements de LANSCOPE Endpoint Manager doivent donner la priorité au correctif immédiat des systèmes vulnérables et mener des examens complets des serveurs LANSCOPE exposés à Internet pour déterminer les exigences métier légitimes pour une exposition publique.
Étapes d’Urgence à Mettre en Œuvre
Appliquer les correctifs disponibles : Installer immédiatement la version 9.2.1.1 ou plus récente de LANSCOPE Endpoint Manager, qui corrige cette vulnérabilité zero-day.
Isoler les systèmes affectés : Si le correctif ne peut pas être appliqué immédiatement, isoler les systèmes LANSCOPE exposés à Internet du réseau interne jusqu’à ce que le correctif soit disponible.
Surveiller les indicateurs de compromission : Mettre en place une surveillance active des indicateurs de compromission (IoC) listés précédemment pour détecter toute tentative d’exploitation ou d’activité post-exploitation.
Examiner les journaux système : Analyser les journaux d’accès et d’audit de LANSCOPE pour toute activité suspecte, tentatives d’accès non autorisées ou modifications de configuration non approuvées.
Mettre à jour les signatures antivirus : S’assurer que les signatures antivirus sont à jour pour détecter les malwares associés à cette campagne, notamment Gokcpdoor et OAED Loader.
Stratégies de Défense à Long Terme
Au-delà des mesures d’urgence, les organisations doivent adopter des stratégies de défense à long terme pour se protéger contre les menaces similaires :
- Segmentation réseau renforcée : Mettre en œuvre une segmentation réseau stricte pour limiter le mouvement latéral en cas d’intrusion.
- Principe du moindre privilège : Appliquer strictement le principe du moindre privilège à tous les comptes et services système.
- Défense en profondeur : Déployer plusieurs couches de sécurité pour contrer différentes techniques d’attaque.
- Surveillance avancée : Mettre en place une surveillance avancée des activités réseau et des points d’accès privilégiés pour détecter les comportements anormaux.
- Formation à la sensibilisation : Former le personnel aux techniques d’ingénierie sociale et aux méthodes d’identification des tentatives d’intrusion.
Implications pour la Sécurité des Entreprises Françaises
Bien que cette campagne soit principalement ciblée vers les organisations japonaises, elle présente des implications importantes pour les entreprises françaises pour plusieurs raisons :
Chaînes d’approvisionnement logicielle : De nombreuses entreprises françaises utilisent des solutions de gestion de terminaux similaires à LANSCOPE, potentiellement exposées à des vulnérabilités comparables.
Menaces persistantes avancées : Les techniques employées par BRONZE BUTLER représentent un risque pour toutes les organisations, quel que soit leur secteur ou leur localisation géographique.
Coopération internationale : Cette campagne met en évidence l’importance cruciale de la coopération internationale en matière de cybersécurité et du partage d’informations sur les menaces.
Vulnérabilités zero-day : La menace croissante des vulnérabilités zero-day nécessite des stratégies de défense proactives plutôt que réactives.
En France, l’ANSSI a observé une augmentation de 45% des tentatives d’exploitation de vulnérabilités zero-day au cours du premier semestre 2025, principalement dirigées contre les secteurs de la défense, des technologies de l’information et des industries de pointe. Cette tendance souligne la nécessité pour les organisations françaises de renforcer leurs postures de sécurité face à ces menaces sophistiquées.
Conclusions et Prochaines Étapes
La campagne BRONZE BUTLER exploitant la vulnérabilité zero-day dans LANSCOPE Endpoint Manager illustre de manière préoccupante l’évolution continue des menaces cyberneuristiques étatiques. La combinaison d’une connaissance approfondie des environnements cibles, de techniques d’exploitation sophistiquées et d’une infrastructure malveillante en constante évolution représente un défi majeur pour les équipes de sécurité du monde entier.
Dans le contexte actuel où les vulnérabilités zero-day sont de plus en plus utilisées dans des campagnes ciblées, les organisations doivent adopter une approche proactive de la sécurité. Cela inclut non seulement l’application rapide des correctifs, mais également la mise en œuvre de défenses en profondeur, la surveillance avancée et la formation continue du personnel.
Que votre organisation utilise ou non directement LANSCOPE Endpoint Manager, cette campagne devrait servir de rappel de l’importance constante de la cybersécurité et de la nécessité de rester vigilant face aux menaces émergentes. En investissant dans une défense robuste et en restant informé des dernières menaces, les organisations peuvent mieux se protéger contre les attaques sophistiquées qui menacent leur sécurité et leur continuité opérationnelle.
En pratique, la meilleure défense contre les vulnérabilités zero-day reste une approche multicouche combinant la gestion rigoureuse des vulnérabilités, la surveillance avancée des menaces et une culture de sécurité sensibilisée à travers toute l’organisation.