Se cree que la explotación recientemente revelada de una falla de seguridad crítica en Motex Lanscope Endpoint Manager es obra de un grupo de ciberespionaje conocido como Tick.
Esta vulnerabilidad se rastrea como CVE-2025-61932 (puntuación CVSS: 9.3) y permite a atacantes remotos ejecutar comandos arbitrarios con privilegios de SISTEMA en la versión local del programa. En una alerta emitida este mes, JPCERT/CC dijo que había visto informes de fallas de seguridad explotadas activamente para abrir puertas traseras en sistemas comprometidos.
Tick, también conocido como Bronze Butler, Daserf, REDBALDKNIGHT, Stalker Panda, Stalker Taurus y Swirl Typhoon (anteriormente conocido como Tellur), es una supuesta operación de ciberespionaje china conocida por sus extensos objetivos en el este de Asia, particularmente en Japón. Se estima que ha estado activo desde al menos 2006.
Esta sofisticada campaña observada por Sophos implicó explotar CVE-2025-61932 para entregar una puerta trasera conocida llamada Gokcpdoor, que actúa como puerta trasera para establecer una conexión proxy con un servidor remoto y ejecutar comandos maliciosos en un host comprometido.
“La variante 2025 dejó de admitir el protocolo KCP y agregó multiplexación utilizando una biblioteca de terceros (smux) para comunicaciones C2 (comando y control)”, dijo la Unidad Contra Amenazas (CTU) de Sophos en un informe el jueves.
La firma de ciberseguridad anunció que ha detectado dos tipos diferentes de Gokcpdoor que sirven para diferentes casos de uso.
Un tipo de servidor que escucha las conexiones entrantes de los clientes para permitir el acceso remoto. Un tipo de cliente que inicia una conexión a un servidor C2 codificado con el fin de configurar un canal de comunicación encubierto.
Este ataque también incluye la implementación del marco post-exploit Havoc en algunos sistemas, y la cadena de infección se basa en la descarga de DLL para iniciar un cargador de DLL llamado OAED Loader para inyectar la carga útil.
Otras herramientas utilizadas en el ataque para facilitar el movimiento lateral y la filtración de datos incluyen Goddi, una herramienta de volcado de información de Active Directory de código abierto. Escritorio remoto: para acceso remoto a través de túneles de puerta trasera. y 7-Zip.
También se ha descubierto que los actores de amenazas acceden a servicios en la nube como io, LimeWire y Piping Server a través de navegadores web durante sesiones de escritorio remoto para filtrar los datos recopilados.
Esta no es la primera vez que se observa a Tick aprovechando fallas de día cero en campañas de ataque. En octubre de 2017, Secureworks, una empresa de Sophos, detalló cómo un grupo de piratas informáticos había explotado una vulnerabilidad de ejecución remota de código (CVE-2016-7836) en el software japonés de gestión de activos de TI SKYSEA Client View para comprometer máquinas y robar datos.
«Las organizaciones actualizan los servidores Lanscope vulnerables según su entorno», dijo Sophos TRU. «Las organizaciones también deben revisar los servidores Lanscope conectados a Internet que tienen instalados programas de cliente (MR) o agentes de detección (DA) de Lanscope para determinar si existe una necesidad comercial de ponerlos a disposición del público».
Source link
