El actor de ciberespionaje Bronze Butler o Transparent Tribe ha explotado un fallo de día cero en el software de gestión de endpoints japonés Lanscope Endpoint Manager. La vulnerabilidad, rastreada como CVE-2025-61932 (CVSS 9.3), permite la ejecución remota de código, lo que ha facilitado la instalación de un backdoor denominado Gokcpdoor con privilegios SYSTEM.
Zero Day en Lanscope: El Espionaje de Tick
El ataque es altamente estratégico, ya que compromete una herramienta central de administración de TI para lograr un acceso de nivel SISTEMA y persistencia.
Mecanismo de Ataque
- Vector: El fallo se encuentra en las versiones locales de Lanscope, específicamente en sus agentes de cliente (MR) o componentes de detección (DA) que están expuestos o mal segmentados. La vulnerabilidad permite a un atacante enviar paquetes especialmente manipulados para lograr la Ejecución Remota de Código (RCE).
- Payload y Sideloading : Una vez explotado, el actor instala el backdoor Gokcpdoor (o el framework Havoc C2) utilizando técnicas como el side-loading de DLL a través de un cargador llamado OAED Loader.
- Post-Explotación: Desde ahí, ejecutan herramientas para volcado de credenciales de Active Directory (“goddi”), movimiento lateral (Remote Desktop por túnel) y exfiltración de datos a servicios de nube externos, utilizando 7-Zip para la compresión.
Implicaciones Críticas
- Privilegios Elevados: El backdoor opera con privilegios SYSTEM. El compromiso de una herramienta de gestión de endpoints con este nivel de acceso permite al atacante controlar la administración de software, la instalación de parches y el movimiento lateral en toda la red.
- Actor Madura: Tick lleva operando más de una década con un enfoque persistente en Japón y Asia-Pacífico, lo que significa que el ataque está respaldado por capacidades maduras de espionaje y persistencia.
- Software Permitido como Vector: El actor explota software que es inherentemente “permitido” en el entorno, lo que dificulta la detección basada en firmas o listas negras.
- Riesgo Global: Aunque el foco de Tick es Asia/Pacífico, cualquier organización que utilice Lanscope o software equivalente con este tipo de exposición debe considerar el riesgo como global.
Recomendaciones
La respuesta debe ser inmediata y enfocarse en el control estricto de los servidores de gestión de endpoints .
Parcheo Urgente y Aislamiento de Agentes
- Parchear CVE-2025-61932: Parchear urgentemente todas las instancias de Lanscope Endpoint Manager on-premise (cliente y servidor) que fueron anteriores a la versión corregida.
- Revisar Exposición: Aislar inmediatamente los agentes de gestión de endpoints que estén expuestos a Internet. Restringir su acceso a redes internas.
Detección y caza de amenazas
- Monitoreo de Payloads : Hacer Threat Hunting activo buscando la presencia de Gokcpdoor, OAED Loader o el framework Havoc C2.
- Búsqueda de Artefactos de Ataque: Detectar carga lateral de DLL, procesos de Escritorio Remoto no planificados (por túnel), uso de 7-Zip para compresión de datos y conexiones salientes inusuales.
- Revisión de Privilegios: Revisar las cuentas de administración, cambiar las credenciales de servicios de gestión y revisar logs de auditoría para detectar movimientos laterales originados desde los servidores de gestión.
Endurecimiento Arquitectónico
- Segmentación de Red: Aislar los servidores de gestión de endpoints y la administración de TI en redes separadas de la red de producción/OT, con acceso estrictamente restringido y monitoreo constante.
- Auditoría de Acceso: Evaluar quién tiene acceso al software de gestión de endpoints , dónde está expuesto y qué roles tiene en la administración de la red.
