Vulnérabilité zero-day dans LANSCOPE Endpoint Manager : menace critique pour les entreprises japonaises

Hippolyte Valdegré

Vulnérabilité zero-day dans LANSCOPE Endpoint Manager : menace critique pour les entreprises japonaises

En milieu d’année 2025, les chercheurs de l’unité de contre-menaces de Secureworks (CTU) ont mis au jour une campagne de cybersécurité sophistiquée où des acteurs de menaces soutenus par l’État chinois, appartenant au groupe BRONZE BUTLER, ont exploité une vulnérabilité zero-day critique dans le logiciel Motex LANSCOPE Endpoint Manager pour accéder aux réseaux d’entreprise et extraire des données sensibles. Cette découverte marque un chapitre supplémentaire dans un pattern d’exploitation en cours depuis de nombreuses années, soulignant l’urgence pour les organisations utilisant ce logiciel de se protéger contre cette menace avancée.

La découverte de la vulnérabilité : un risque immédiat

La vulnérabilité identifiée, désignée sous le code CVE-2025-61932, représente une faille de sécurité critique permettant aux attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les systèmes affectés. Ce niveau d’accès maximal offre aux acteurs de menaces un contrôle complet sur les hôtes compromis, leur permettant d’installer des portes dérobées, de modifier les configurations système et de se déplacer latéralement à travers les réseaux d’entreprise sans être détectés.

Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), les vulnérabilités zero-day comme celle-ci sont particulièrement dangereuses car elles n’ont pas de correctif public disponible au moment de leur découverte. Le Japon Computer Emergency Response Team Coordination Center (JPCERT/CC) a officiellement divulgué cette faille le 22 octobre 2025, avec l’agence américaine CISA (Cybersecurity and Infrastructure Security Agency) ajoutant l’exploit à son catalogue de vulnérabilités exploitées le même jour.

Cette réponse rapide des autorités de cybersécurité internationales souligne la gravité de la menace et le risque immédiat pour les organisations exécutant des systèmes LANSCOPE vulnérables.

Dans la pratique, bien que le nombre de périphériques LANSCOPE accessibles depuis Internet exposés à cette exploit soit relativement limité, l’impact reste considérable. Les attaquants exploitant cette vulnérabilité au sein de réseaux déjà compromises peuvent mener des attaques d’escalade de privilèges et des opérations de mouvement latéral, compromettant potentiellement toute l’infrastructure d’une organisation.

Les acteurs de la menace : BRONZE BUTLER, une menace persistante

Le groupe BRONZE BUTLER, également connu sous le nom de Tick, opère depuis 2010 et maintient une focalisation spécifique sur les organisations japonaises et les entités gouvernementales. Son historique opérationnel révèle une stratégie consistante d’identification et d’exploitation des vulnérabilités dans les logiciels de sécurité et de gestion japonais largement déployés.

Notoirement, en 2016, BRONZE BUTLER a déployé avec succès un exploit zero-day contre une autre solution japonaise de gestion d’endpoints, SKYSEA Client View, démontrant la connaissance approfondie du groupe des environnements cibles et son attention continue portée aux infrastructures japonaises. Cette nouvelle campagne contre LANSCOPE Endpoint Manager représente la continuation de cette tendance préoccupante.

En pratique, BRONZE BUTLER utilise souvent des tactiques de pointe combinant des exploits zero-day avec des méthodes d’infection sophistiquées. Leur historique montre une préférence pour les logiciels japonais largement utilisés dans les entreprises et les agences gouvernementales, ce qui leur offre un accès privilégié à un large éventail d’organisations stratégiques.

L’exploitation technique : mécanismes et impacts

L’exploitation de la vulnérabilité LANSCOPE par BRONZE BUTLER met en œuvre une technique d’injection de code malveillant dans des processus légitimes, compliquant ainsi la détection et l’analyse. Les acteurs de menaces ont déployé le malware OAED Loader en parallèle de ces portes dérobées, injectant des charges utiles malveillantes dans des exécutables légitimes pour obscurcir les flux d’exécution.

Cette technique d’obscurcissement permet aux attaquants de masquer leurs activités malveillantes parmi des processus légitimes, rendant leur détection par les solutions traditionnelles de sécurité beaucoup plus difficile. Dans certains cas observés par les chercheurs de Secureworks, les attaquants ont réussi à maintenir leur présence sur les systèmes compromis pendant plusieurs semaines avant d’être détectés.

Une fois l’accès initial établi, les acteurs de menaces ont compressé les données volées à l’aide de 7-Zip avant d’exfiltrer les informations vers des services de stockage en cloud, notamment Piping Server et LimeWire, accessed directement via des navigateurs web lors de sessions à distance. Cette technique d’exfiltration discrète utilise des canaux légitimes pour éviter les détections des systèmes de prévention de perte de données (DLP).

L’infrastructure malveillante : évolution et sophistication

La sophistication technique de cette campagne de BRONZE BUTLER s’étend bien au-delà du vecteur d’exploitation initial. Les chercheurs de la CTU ont confirmé que les attaquants ont déployé le malware Gokcpdoor, une porte dérobée personnalisée précédemment documentée dans les rapports de renseignement sur les menaces de 2023.

La variante de 2025 de Gokcpdoor représente une évolution significative, abandonnant le support du protocole KCP hérité au profit du multiplexage des communications en utilisant des bibliothèques tierces pour le trafic de commandement et de contrôle. Cette modernisation suggère que BRONZE BUTLER maintient des équipes de développement actives améliorant continuellement leur arsenal de malwares.

Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des opérations différentes. La variante serveur fonctionne comme un point d’écoute, acceptant les connexions entrantes sur des ports spécifiques dont 38000 et 38002, tout en offrant des capacités d’accès distant. La variante client initie des connexions vers des serveurs de commandement et de contrôle (C2) codés en dur, établissant des tunnels de communication qui fonctionnent comme des portes dérobées persistantes.

Dans certains segments réseau, BRONZE BUTLER a substitué Gokcpdoor au framework Havoc C2, démontrant une flexibilité opérationnelle et un accès à plusieurs outils offensifs. Cette polyvalence leur permet de s’adapter aux environnements cibles et d’éviter les détections basées sur les signatures.

Indicateurs de compromission : se protéger et détecter

Pour aider les organisations à détecter cette campagne, plusieurs indicateurs de compromission (IoC) ont été identifiés par les chercheurs de Secureworks. Ces informations sont cruciales pour les équipes de sécurité cherchant à identifier une potentielle infiltration de leurs réseaux.

Les indicateurs incluent :

  • Hash de fichiers : Les hash MD5, SHA1 et SHA256 des variantes Gokcpdoor et Havoc utilisées par BRONZE BUTLER
  • Adresses IP : Les serveurs C2 utilisés pour la communication malveillante
  • Noms de fichiers : Les exécutables légitimes modifiés pour héberger du code malveillant

En pratique, les organisations devraient surveiller attentivement ces indicateurs dans leurs environnements et intégrer ces signatures dans leurs systèmes de détection d’intrusion (IDS) et d’information et de gestion d’événements de sécurité (SIEM).

Mesures de protection immédiates : corriger et sécuriser

Les organisations exploitant des déploiements LANSCOPE Endpoint Manager doivent donner la priorité au correctif immédiat des systèmes vulnérables et mener des examens approfondis des serveurs LANSCOPE exposés à Internet pour déterminer les exigences métier légitimes de leur exposition publique.

Dans la pratique, les équipes de sécurité devraient :

  1. Appliquer immédiatement les correctifs fournis par le fournisseur
  2. Isoler les systèmes non corrigés du réseau jusqu’à leur mise à jour
  3. Surveiller activement les tentatives d’exploitation de cette vulnérabilité
  4. Mettre en œuvre des contrôles d’accès réseau stricts pour limiter l’exposition

Selon le dernier rapport de l’ANSSI sur les menaces cyber, les attaques exploitant des vulnérabilités zero-day ont augmenté de 37% en 2025, soulignant l’importance cruciale d’une réponse rapide face à ce type de menace.

Une fois les systèmes corrigés, les organisations devraient mener des analyses forensiques approfondies pour détecter d’éventuelles compromissions antérieures. Cela inclut l’examen des journaux système, le scan des processus en cours d’exécution et la vérification des connexions réseau suspectes.

Recommandations à long terme : renforcer la défense

Au-delà de la réponse immédiate à cette vulnérabilité spécifique, les organisations devraient considérer cette campagne comme un rappel de la nécessité d’une approche holistique de la cybersécurité. Plusieurs mesures à long terme peuvent aider à atténuer les risques futurs :

Architecture de défense en profondeur

Implémenter une stratégie de défense en profondeur qui inclut :

  • La segmentation réseau stricte
  • Le contrôle d’accès basé sur le rôle (RBAC)
  • La microsegmentation pour limiter le mouvement latéral
  • La surveillance continue des endpoints

Cette approche multilayered réduit la surface d’attaque et limite l’impact potentiel d’une compromission unique.

Surveillance avancée et détection des menaces

Déployer des capacités avancées de détection des menaces, notamment :

  • La détection comportementale des endpoints (EDR)
  • La chasse aux menaces proactive
  • L’analyse réseau en temps réel
  • La sandboxing des exécutables suspects

Ces technologies permettent de détecter les activités malveillantes qui pourraient contourner les défenses traditionnelles.

Gestion des vulnérabilités proactive

Établir un programme robuste de gestion des vulnérabilités, comprenant :

  • L’inventaire complet des actifs
  • L’évaluation continue des risques
  • La priorisation des correctifs basée sur le risque
  • Les tests d’intrusion réguliers

Dans la pratique, les organisations devraient consacrer au moins 15% de leur budget de sécurité à la gestion proactive des vulnérabilités, conformément aux meilleures pratiques de l’industrie.

Conclusion : agir maintenant face à la menace

La découverte de cette campagne exploitant une vulnérabilité zero-day dans LANSCOPE Endpoint Manager souligne une fois de plus le paysage évolutif et persistant des menaces cyber avancées. Pour les organisations concernées, l’action immédiate est cruciale pour atténuer les risques.

Les entreprises japonaises utilisant LANSCOPE Endpoint Manager devraient prioriser la mise à jour de leurs systèmes et mettre en œuvre des mesures de surveillance renforcée pour détecter d’éventuelles tentatives d’exploitation. Au-delà de cette réponse immédiate, cette campagne devrait servir de rappel de l’importance d’une approche proactive de la cybersécurité, incluant une gestion rigoureuse des vulnérabilités et une architecture de défense en profondeur.

Dans un contexte où les acteurs de menaces continuent d’affiner leurs techniques et de cibler spécifiquement les infrastructures critiques, la vigilance et la préparation restent les meilleures défenses. En prenant des mesures immédiates tout en investissant dans une stratégie de cybersécurité à long terme, les organisations peuvent mieux se protéger contre les vulnérabilités zero-day et les menaces avancées qui en découlent.