Selon Sophos (sophos.com, 30 octobre 2025), les chercheurs du Counter Threat Unit (CTU) ont observé mi‑2025 une campagne sophistiquée de BRONZE BUTLER (Tick) exploitant une zero‑day dans Motex LANSCOPE Endpoint Manager (CVE‑2025‑61932), permettant l’exécution de commandes à privilèges SYSTEM. Le JPCERT/CC a publié un avis le 22 octobre 2025 et la CISA a ajouté la faille au catalogue KEV le même jour.
-
Vecteur initial et impact: exploitation de CVE‑2025‑61932 pour RCE avec SYSTEM, utilisée pour élévation de privilèges et mouvement latéral. Peu d’équipements exposés sur Internet, mais exploitation possible en interne dans des réseaux compromis.
-
Command & Control (C2): utilisation du malware Gokcpdoor (variant 2025 abandonnant KCP et ajoutant une multiplexion via une bibliothèque tierce). Deux types observés:
- Serveur: écoute sur des ports de configuration (ex. 38000, 38002) pour l’accès distant.
- Client: connexion à des C2 codés en dur, tunnel de communication pour backdoor. Sur certains hôtes, Havoc C2 est utilisé à la place. Des échantillons Gokcpdoor/Havoc recourent au chargeur OAED Loader pour injecter la charge utile dans un exécutable légitime et obfusquer le flux d’exécution.
-
Outils et exfiltration: abus d’outils légitimes dont goddi (dump AD), Remote Desktop (via tunnel backdoor), 7‑Zip (exfiltration). Accès à des services de stockage via navigateur pendant les sessions RDP, potentiellement pour l’exfiltration: file.io, LimeWire, Piping Server. 🗂️
-
Détections et protections: signatures Sophos mentionnées: Torj/BckDr‑SBL, Mal/Generic‑S. Recommandations CTU: mettre à jour les serveurs LANSCOPE vulnérables et réexaminer la nécessité d’exposition publique des serveurs LANSCOPE disposant du client (MR) ou de l’agent de détection (DA).
-
IOCs 📌
- Malware/hashes:
- Gokcpdoor (oci.dll): MD5
932c91020b74aaa7ffc687e21da0119c; SHA1be75458b489468e0acdea6ebbb424bc898b3db29; SHA2563c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba - Havoc (MaxxAudioMeters64LOC.dll): MD5
4946b0de3b705878c514e2eead096e1e; SHA11406b4e905c65ba1599eb9c619c196fa5e1c3bf7; SHA2569e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946 - goddi (winupdate.exe): SHA1
8124940a41d4b7608eada0d2b546b73c010e30b1; SHA256704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3
- Gokcpdoor (oci.dll): MD5
- Infrastructures:
- 38.54.56.57 – C2 Gokcpdoor (TCP 443)
- 38.54.88.172 – C2 Havoc (TCP 443)
- 38.54.56.10, 38.60.212.85, 108.61.161.118 – connexions vers ports ouverts par Gokcpdoor
- Malware/hashes:
Il s’agit d’une analyse de menace décrivant une campagne APT, ses techniques (exploitation de zero‑day, C2, exfiltration) et fournissant des IOCs et détections.
🧠 TTPs et IOCs détectés
TTPs
[‘Exploitation de vulnérabilité (CVE-2025-61932) pour exécution de code à distance (T1203)’, ‘Élévation de privilèges (T1068)’, ‘Mouvement latéral (T1078)’, ‘Utilisation de malware pour Command & Control (T1105)’, ‘Injection de code (T1055)’, “Obfuscation du flux d’exécution (T1027)”, “Dump des informations d’Active Directory (T1003)”, “Utilisation d’outils légitimes pour exfiltration (T1071)”, ‘Exfiltration via Remote Desktop Protocol (T1021.001)’]
IOCs
{‘hashes’: {‘Gokcpdoor’: {‘MD5’: ‘932c91020b74aaa7ffc687e21da0119c’, ‘SHA1’: ‘be75458b489468e0acdea6ebbb424bc898b3db29’, ‘SHA256’: ‘3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba’}, ‘Havoc’: {‘MD5’: ‘4946b0de3b705878c514e2eead096e1e’, ‘SHA1’: ‘1406b4e905c65ba1599eb9c619c196fa5e1c3bf7’, ‘SHA256’: ‘9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946’}, ‘goddi’: {‘SHA1’: ‘8124940a41d4b7608eada0d2b546b73c010e30b1’, ‘SHA256’: ‘704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3’}}, ‘ips’: [‘38.54.56.57’, ‘38.54.88.172’, ‘38.54.56.10’, ‘38.60.212.85’, ‘108.61.161.118’]}
🔗 Source originale : https://news.sophos.com/en-us/2025/10/30/bronze-butler-exploits-japanese-asset-management-software-vulnerability/