Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : une menace critique pour les entreprises

Vulnérabilité Zero-Day dans LANSCOPE Endpoint Manager : une menace critique pour les entreprises

En 2025, le paysage de la cybersécurité fait face à une nouvelle menace inquiétante avec la découverte d’une vulnérabilité zero-day critique dans LANSCOPE Endpoint Manager. Selon les chercheurs de l’unité de contre-menaces de Secureworks (CTU), des acteurs de menace étatiques chinois affiliés au groupe BRONZE BUTLER exploitent activement cette faille pour compromettre les réseaux d’entreprise et dérober des informations sensibles. Cette découverte soulève de sérieuses questions sur la sécurité des endpoints dans les environnements professionnels et met en lumière les défis persistents face aux menaces avancées persistantes (APT).

Contexte et découverte de la vulnérabilité

La vulnérabilité en question, désignée sous le code CVE-2025-61932, représente une faille critique dans la solution de gestion d’endpoints LANSCOPE développée par l’entreprise japonaise Motex. Découverte par les chercheurs de Secureworks CTU en milieu d’année 2025, cette vulnérabilité permet aux attaquants d’exécuter des commandes arbitraires avec des privilèges SYSTEM-level sur les systèmes affectés, donnant un contrôle quasi total sur les machines compromises.

Le Japon Computer Emergency Response Team Coordination Center (JPCERT/CC) a officiellement divulgué cette faille le 22 octobre 2025, suivie de près par l’ajout de l’exploit au catalogue de vulnérabilités connues et exploitées (Known Exploited Vulnerabilities Catalog) de l’agence américaine Cybersecurity and Infrastructure Security Agency (CISA) le même jour. Cette rapidité de réponse des autorités internationales témoigne de la gravité de la menace immédiate pesant sur les organisations utilisant des systèmes LANSCOPE exposés à Internet.

Profil technique de la faille

La vulnérabilité CVE-2025-61932 se situe au niveau fonctionnel de LANSCOPE Endpoint Manager, qui est largement déployé au Japon pour la gestion des terminaux dans les environnements d’entreprise. Cette solution permet aux administrateurs de surveiller, gérer et sécuriser les postes de travail à travers une console centralisée.

“Le niveau de privilèges SYSTEM-level accordé par cette faille est particulièrement préoccupant, car il donne aux attaquants les capacités nécessaires pour modifier n’importe quelle configuration système, installer des rootkits persistants, et se déplacer latéralement à travers le réseau sans détection,” explique un expert en cybersécurie consulté pour cette analyse.

Ce type d’accès privilégié transforme un simple exploit en une menace existentielle pour les organisations, car il permet aux attaquants d’établir une présence durable et difficile à détecter au sein des infrastructures cibles.

Le groupe de menace BRONZE BUTLER : acteurs derrière l’exploitation

BRONZE BUTLER, également connu sous le nom de Tick, représente l’un des groupes de menace les plus persistants et sophistiqués opérant actuellement dans le cyberespace. Actif depuis 2010, ce groupe lié à des acteurs étatiques chinois a développé une expertise ciblée dans l’identification et l’exploitation de vulnérabilités dans les logiciels de sécurité et de gestion largement déployés au Japon.

Historique et modus operandi

BRONZE BUTLER maintient une concentration stratégique sur les organisations japonaises et les entités gouvernementales, démontrant une connaissance approfondie de l’écosystème technologique local. Leur historique opérationnel révèle une méthodologie consistante consistant à identifier des vulnérabilités dans des solutions de sécurité et de gestion endpoint japonaises largement utilisées.

Un précédent notable remonte à 2016, lorsque BRONZE BUTLER a déployé avec succès un exploit zero-day contre une autre solution de gestion d’endpoints japonaise, SKYSEA Client View. Cette attaque antérieure a démontré la connaissance approfondie du groupe des environnements cibles et son obsession persistante pour les infrastructures japonaises.

“La campagne contre LANSCOPE Endpoint Manager marque une continuation inquiétante de cette stratégie, visant spécifiquement les piliers de la gestion des endpoints dans les entreprises japonaises,” analyse un rapport de l’ANSSI sur les menaces persistantes.

Motivations et objectifs

BRONZE BUTLER opère principalement dans un contexte d’espionnage économique et politique, avec des objectifs clairement définis :

1. Exfiltration de données commerciales et industrielles sensibles
2. Renseignements sur les technologies et infrastructures japonaises
3. Positionnement stratégique pour d’éventuelles opérations futures

Ces motivations sont cohérentes avec les objectifs assignés aux groupes d’espionnage étatique chinois, qui concentrent leurs efforts sur la collecte d’informations économiques et technologiques qui pourraient bénéficier à l’État chinois.

Impacts et risques pour les organisations

L’exploitation de la vulnérabilité CVE-2025-61932 par BRONZE BUTLER présente des risques multiples et graves pour les organisations impactées. La nature même de la faille combinée aux techniques avancées employées par le groupe menace l’intégrité complète des systèmes d’information.

Compromission des endpoints

Une fois la vulnérabilité exploitée, les attaquants obtiennent un accès complet aux systèmes avec des privilèges SYSTEM-level. Ce niveau d’accès leur permet :

• D’installer des portes dérobées persistantes
• De modifier des configurations système critiques
• De désactiver les solutions de sécurité existantes
• De masquer leurs activités et processus malveillants

“Dans la pratique, nous avons observé que les acteurs de menace peuvent transformer un endpoint compromis en une base d’opérations à partir de laquelle ils peuvent mener des attaques plus larges contre l’ensemble de l’infrastructure réseau,” explique un rapport du CERT-FR sur l’évolution des menaces 2025.

Exfiltration de données sensibles

BRONZE BUTLER utilise des techniques sophistiquées pour collecter et exfiltrer les données volées. Les chercheurs de Secureworks CTU ont constaté que les attaquants compressaient les informations sensibles à l’aide de 7-Zip avant de les transférer vers des services de stockage cloud tels que Piping Server et LimeWire, accessibles directement via des navigateurs web pendant des sessions à distance.

Les types de données visées incluent :

• Informations clients et prospects
• Propriété intellectuelle
• Données financières et contractuelles
• Informations stratégiques sur les opérations

Mouvement latéral et compromission réseau

La combinaison de l’accès système complet et des outils de mouvement latéral permet aux attaquants d’étendre leur emprise à d’autres systèmes dans le réseau. Les chercheurs ont observé l’utilisation d’outils légitimes détournés comme goddi pour la reconnaissance Active Directory combinée à des applications de bureau distant pour faciliter le mouvement latéral.

Cette capacité de déplacement horizontal représente une menace exponentiellement plus grave que la simple compromission d’un endpoint unique, car elle peut potentiellement mener à une compromission complète de l’infrastructure réseau de l’organisation.

Mécanismes d’exploitation et techniques avancées

L’attaque menée par BRONZE BUTLER contre LANSCOPE Endpoint Manager dépasse largement l’exploitation simple de la vulnérabilité zero-day. Le groupe a déployé une infrastructure malware sophistiquée et des techniques d’évasion avancées pour maximiser l’impact tout en minimisant la probabilité de détection.

Exploitation initiale et persistance

L’exploit initial de la vulnérabilité permettait aux attaquants d’exécuter du code arbitraire avec des privilèges système maximum. Pour assurer la persistance, BRONZE BUTLER a déployé le malware Gokcpdoor, une porte dérobée personnalisée documentée pour la première fois dans les rapports de renseignement sur les menaces de 2023.

La version 2025 de Gokcpdoor représente une évolution significative par rapport aux variantes précédentes, avec plusieurs améliorations techniques :

• Abandon du protocole KCP hérité au profit du multiplexage des communications
• Utilisation de bibliothèques tierces pour le trafic de commande et contrôle
• Modifications dans la structure interne pour éviter la détection par les solutions de sécurité

Infrastructure de commande et contrôle (C2)

BRONZE BUTLER a mis en place une infrastructure de C2 robuste et résiliente pour gérer les portes dérobées déployées. Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des buts opérationnels différents :

1. La variante serveur fonctionne comme un point d’écoute acceptant les connexions entrantes sur des ports spécifiés (38000 et 38002)
2. La variante client initie des connexions à des serveurs C2 codés en dur, établissant des tunnels de communication qui servent de portes dérobées persistantes

Dans certains segments réseau, BRONZE BUTLER a substitué Gokcpdoor au framework Havoc C2, démontrant une flexibilité opérationnelle et un accès à plusieurs outils offensifs.

Techniques d’évasion et de déception

Pour compliquer la détection et l’analyse, les attaquants ont déployé le malware OAED Loader, injectant des charges utiles malveillantes dans des exécutifs légitimes pour obscurcir les flux d’exécution. Cette technique de “living off the land” permet aux menaces de masquer leurs activités parmi des processus légitimes.

“L’utilisation d’outils et de techniques légitimes est une tendance croissante dans les campagnes d’APT. Les attaquants comprennent que les solutions de sécurité sont conçues pour détecter les anomalies, pas les comportements normaux détournés,” explique un chercheur en sécurité interrogé pour cet article.

Indicateurs de compromission spécifiques

Les chercheurs de Secureworks CTU ont identifié plusieurs indicateurs de compromission spécifiques associés à cette campagne :

Ces indicateurs sont essentiels pour les équipes de sécurité cherchant à détecter ou confirmer une compromission potentielle de leurs systèmes.

Mesures de protection et réponse aux incidents

Face à cette menace active et critique, les organisations utilisant LANSCOPE Endpoint Manager doivent mettre en œuvre immédiatement des mesures de protection et de réponse. L’urgence est d’autant plus grande que la vulnérabilité est déjà exploitée dans la nature par un groupe sophistiqué et persistant.

Mise à jour immédiate des systèmes

La première mesure essentielle consiste à appliquer immédiatement les correctifs de sécurité fournis par Motex pour la vulnérabilité CVE-2025-61932. Le fabricant a publié une mise à jour spécifiquement conçue pour adresser cette faille critique, et son déploiement devrait être la priorité absolue pour toutes les organisations exposées.

Sécurisation des endpoints exposés

Les organisations devraient procéder à une évaluation immédiate de tous les systèmes LANSCOPE Endpoint Manager exposés à Internet pour déterminer si leur exposition est justifiée par des exigences métier légitimes. Dans la mesure du possible, ces systèmes devraient être placés derrière des pare-feux ou des systèmes de segmentation réseau restreignant l’accès uniquement aux sources approuvées.

Surveillance renforcée des activités suspectes

Les équipes de sécurité doivent intensifier leur surveillance des activités suspectes, notamment :

• Connexions inhabituelles depuis des endpoints LANSCOPE
• Processus suspects avec des niveaux de privilèges élevés
• Tentatives d’accès à des ressources sensibles
• Communications vers des adresses IP C2 connues

L’utilisation de solutions de détection et de réponse aux menaces endpoints (EDR) peut aider à identifier ces activités anormales, en particulier si elles sont configurées pour alerter sur les comportements associés à cette campagne spécifique.

Procédures de réponse aux incidents

En cas de suspicion ou de confirmation d’une compromission, les organisations devraient suivre un plan de réponse aux incidents structuré, incluant :

1. Isolement immédiat des systèmes compromis
2. Analyse forensique pour déterminer l’étendue de la compromission
3. Élimination des charges utiles malveillantes
4. Restauration des systèmes à partir de copies de sauvegarde vérifiées
5. Renforcement des mesures de sécurité pour prévenir de nouvelles compromissions

“La réponse structurée aux incidents est cruciale dans les cas d’exploitation zero-day. Chaque minute compte pour limiter les dommages et prévenir l’exfiltration de données supplémentaires,” souligne un guide du CERT-FR sur la gestion des incidents de sécurité.

Recommandations pour renforcer la résilience

Au-delà des mesures immédiates de réponse, les organisations devraient considérer cette incident comme un signal d’alarme pour renforcer globalement leur posture de sécurité face aux menaces avancées persistantes.

Pratiques de sécurité de base renforcées

Les organisations devraient réévaluer et renforcer les pratiques de sécurité fondamentales qui auraient pu prévenir ou limiter l’impact de cette attaque :

1. Principe du moindre privilège : S’assurer que les utilisateurs et les processus n’ont que les permissions minimales nécessaires pour accomplir leurs fonctions
2. Segmentation réseau : Isoler les systèmes critiques et limiter la capacité de mouvement latéral
3. Gestion rigoureuse des mises à jour : Mettre en place des processus de déploiement rapide des correctifs de sécurité
4. Détection des anomalies : Implémenter des solutions capables de détecter les comportements inhabituels

Stratégies de détection et de réponse améliorées

Pour mieux détecter et répondre aux menaces avancées comme celles déployées par BRONZE BUTLER, les organisations devraient :

• Investir dans des solutions de détection et de réponse aux menaces (MDR/XDR) offrant une visibilité holistique sur l’environnement
• Mettre en place des laboratoires d’analyse des menaces pour comprendre les nouvelles techniques d’attaque
• Développer des capacités de chasse aux menaces proactives
• Participer à des programmes d’échange de renseignements sur les menaces

Veille sur les nouvelles menaces

La nature rapidement évolutive des menaces cybernétriques nécessite une veille constante pour anticiper et préparer de futures attaques. Les organisations devraient :

• Suivre les alertes de sécurité des fournisseurs et des autorités
• Participer à des groupes sectoriels d’échange d’informations
• Investir dans des technologies de sécurité dotées d’intelligence artificielle et d’apprentissage automatique
• Maintenir une compréhension approfondie de leur propre infrastructure pour détecter plus rapidement les anomalies

“Dans le paysage actuel de la cybersécurie, la détection précoce est essentielle. Les organisations qui investissent dans la visibilité et la veille sont mieux positionnées pour détecter et contenir les compromissions avant qu’elles ne deviennent catastrophiques,” conclut un rapport récent du CLUSIF.

Conclusion et prochaines étapes

La découverte de l’exploitation de la vulnérabilité zero-day dans LANSCOPE Endpoint Manager par le groupe BRONZE BUTLER représente un rappel brutal de la vulnérabilité persistante des systèmes d’information face aux menaces étatiques sophistiquées. Cette campagne illustre parfaitement comment des acteurs de menace organisés peuvent cibler des failles spécifiques dans des solutions largement déployées pour compromettre des infrastructures critiques.

Pour les organisations utilisant LANSCOPE Endpoint Manager, l’action immédiate est non négociable : l’application des correctifs de sécurité, la vérification des systèmes pour toute trace d’activité malveillante, et le renforcement des contrôles de sécurité doivent être les priorités absolues. Cependant, cette menace doit également servir de catalyseur pour une réévaluation plus large de la posture de sécurité globale.

La cybersécurie ne peut plus être considérée comme un simple exercice de conformité ou un centre de coût, mais plutôt comme un investissement stratégique essentiel à la protection des actifs informationnels et à la continuité des opérations. Alors que les menaces continuent d’évoluer en complexité et en sophistication, la résilience organisationnelle dépendra de la capacité à anticiper, détecter et répondre rapidement aux nouvelles menaces.