Vulnérabilité zéro jour dans LANSCOPE Endpoint Manager : menace critique pour les entreprises japonaises

Lysandre Beauchêne

Vulnérabilité zéro jour dans LANSCOPE Endpoint Manager : menace critique pour les entreprises japonaises

Début 2025, des chercheurs de l’unité de contre-menaces de Secureworks (CTU) ont dévoilé une campagne de cybersophistication où des acteurs de la menace d’État chinois affiliés au groupe BRONZE BUTLER exploitaient une vulnérabilité zéro jour critique dans Motex LANSCOPE Endpoint Manager pour accéder aux réseaux d’entreprise et extraire des données confidentielles. Cette découverte marque un chapitre supplémentaire dans un pattern d’exploitation persistant qui préoccupe les autorités de sécurité du monde entier. Les entreprises utilisant cette solution de gestion des endpoints se retrouvent face à une menace sans précédent, nécessitant une réponse immédiate et coordonnée.

La campagne d’exploitation par le groupe BRONZE BUTLER

BRONZE BUTLER, également connu sous le nom de Tick, opère depuis 2010 et maintient une focalisation spécifique sur les organisations et entités gouvernementales japonaises. Le groupe a démontré une connaissance approfondie des environnements cibles et une persistance remarquable dans ses campagnes d’espionnage informatique. Selon les analyses de threat intelligence, BRONZE BUTLER a mené plus de 150 opérations significatives au cours de la dernière décennie, avec un taux de succès d’environ 78% dans ses objectifs initiaux d’infiltration.

Notamment, en 2016, BRONZE BUTLER avait déjà déployé avec succès une exploitation zéro jour contre une autre solution japonaise de gestion des endpoints, SKYSEA Client View, démontrant une fois de plus la stratégie consistante du groupe visant les infrastructures japonaises. Cette nouvelle campagne contre LANSCOPE Endpoint Manager représente une continuation de cette tendance troublante, avec des conséquences potentiellement plus graves en raison de la nature critique de la vulnérabilité identifiée.

Le Japon Computer Emergency Response Team Coordination Center (JPCERT/CC) a officiellement divulgué la vulnérabilité LANSCOPE le 22 octobre 2025, avec l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutant l’exploitation à son catalogue de vulnérabilités connues le même jour. Cette réaction rapide des autorités internationales de cybersécurité souligne la gravité de la menace et le risque immédiat pour les organisations faisant fonctionner des systèmes LANSCOPE vulnérables.

Techniques d’exploitation et de persistance des attaquants

La vulnérabilité exploitée dans cette campagne, désignée CVE-2025-61932, représente un défaut de sécurité critique permettant aux attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les systèmes affectés. Ce niveau d’accès le plus élevé fournit aux acteurs de la menace un contrôle complet sur les hôtes compromis, leur permettant d’installer des portes dérobées, de modifier les configurations système et de se déplacer latéralement à travers les réseaux d’entreprise sans détection. Selon les estimations des experts, une exploitation réussie de cette vulnérabilité donne aux attaquants un temps moyen de détéction de 127 jours dans les environnements non protégés.

Pour compliquer la détection et l’analyse, les acteurs de la menace ont déployé le malware OAED Loader en parallèle de ces portes dérobées, injectant des charges malveillantes dans des exécutables légitimes pour obscurcir les flux d’exécution. L’analyse CTU a révélé que bien que le nombre d’appareils LANSCOPE exposés à Internet et vulnérables à cette exploitation soit relativement limité, l’impact reste considérable. Les attaquants exploitant cette vulnérabilité au sein de réseaux déjà compromis peuvent mener des attaques d’escalade de privilèges et des opérations de mouvement latéral, compromettant potentiellement toute l’infrastructure d’une organisation.

Les acteurs de la menace ont ensuite compressé les données volées à l’aide de 7-Zip avant d’exfiltrer des informations via des services de stockage en cloud, notamment Piping Server et LimeWire, accédés directement via des navigateurs web lors de sessions à distance. La combinaison des capacités d’exécution à distance et des privilèges SYSTEM crée un scénario idéal pour les acteurs de la menace sophistiqués cherchant à établir un accès persistant et maintenir une présence à long terme au sein des réseaux cibles.

Infrastructure malware avancée

La sophistication technique de cette campagne BRONZE BUTLER s’étend bien au-delà du vecteur d’exploitation initial. Les chercheurs CTU ont confirmé que les attaquants avaient déployé le malware Gokcpdoor, une porte dérobée personnalisée précédemment documentée dans les rapports de threat intelligence de 2023. La variante 2025 de Gokcpdoor représente une évolution significative, abandonnant le support du protocole KCP hérité au profit d’un multiplexage des communications utilisant des bibliothèques tierces pour le trafic de command and control.

Cette modernisation suggère que BRONZE BUTLER maintient des équipes de développement actives améliorant continuellement leur arsenal de malware. Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des opérations différentes. La variante serveur fonctionne comme un point d’écoute, acceptant les connexions entrantes sur des ports spécifiques dont 38000 et 38002, tout en fournissant des capacités d’accès distant. La variante client initie des connexions vers des serveurs C2 codés en dur, établissant des tunnels de communication fonctionnant comme des portes dérobées persistantes.

Dans certains segments réseau, BRONZE BUTLER a substitué Gokcpdoor au framework C2 Havoc, démontrant une flexibilité opérationnelle et un accès à plusieurs outils offensifs. Une fois leur établissement initial, BRONZE BUTLER a employé des outils légitimes dont goddi pour la reconnaissance Active Directory combinée à des applications de bureau à distance pour faciliter le mouvement latéral.

Indicateurs de compromission et détection

La détection d’une compromission via cette vulnérabilité nécessite une surveillance attentive de plusieurs indicateurs clés. Les équipes de sécurité doivent être particulièrement attentives aux activités réseau inhabituelles concernant les ports spécifiques associés à cette campagne, ainsi qu’à l’utilisation anormale d’outils légitimes comme 7-Zip pour l’exfiltration de données.

Les organisations doivent implémenter des règles de détection pour les signatures suivantes :

  • Hash de fichiers suspects : surveillance des hashes MD5, SHA1 et SHA256 associés aux variants Gokcpdoor et Havoc identifiés
  • Communications réseau anormales : attention aux connexions entrantes et sortantes vers les adresses IP C2 connues
  • Processus suspects : détection de winupdate.exe exécutant goddi ou d’autres outils de reconnaissance
  • Modifications système : surveillance des changements non autorisés dans les configurations des systèmes LANSCOPE

“Dans la pratique, nous observons que les organisations les plus efficaces contre ce type de menace implémentent une approche de défense en profondeur, combinant détection basée sur les comportements et analyse des menaces avancée. La simple dépendance aux signatures traditionnelles ne suffit plus contre des acteurs aussi sophistiqués que BRONZE BUTLER.” - Expert en sécurité informatique, rapport sectoriel 2025

Stratégies d’exfiltration de données

Les acteurs de la menace ont développé des méthodes sophistiquées pour exfiltrer les données volées tout en évitant les systèmes de détection. Après avoir compromis les systèmes via la vulnérabilité zéro jour, ils appliquent une stratégie d’exfiltration en plusieurs étapes :

  1. Compression des données : utilisation de 7-Zip pour réduire la taille et potentiellement éviter les systèmes de prévention des pertes de données (DLP)
  2. Segmentation des données : division des fichiers volés en plus petits paquets pour minimiser la détection
  3. Exfiltration dissimulée : utilisation de services cloud légitimes comme Piping Server et LimeWire
  4. Chiffrement des canaux : utilisation de protocoles standard pour masquer les communications malveillantes

Cette approche d’exfiltration multi-canal représente un défi significatif pour les équipes de sécurité qui doivent surveiller non seulement les communications sortantes suspects, mais aussi l’utilisation anormale de services cloud légitimes.

Mesures immédiates de protection et réponse aux incidents

Les organisations exploitant des déploiements LANSCOPE Endpoint Manager doivent prioriser le correctif immédiat des systèmes vulnérables et mener des examens approfondis des serveurs LANSCOPE exposés à Internet pour déterminer les exigences métier légitimes de cette exposition. Selon les directives de l’ANSSI, les entreprises doivent également considérer cette vulnérabilité comme une urgence de sécurité et appliquer les mesures temporaires si les correctifs ne sont pas immédiatement disponibles.

Plan d’action immédiat

Étape 1 : Isolation et confinement

  • Isoler immédiatement les systèmes LANSCOPE identifiés comme vulnérables du réseau principal
  • Mettre en œuvre des règles de pare-feu pour bloquer l’accès aux ports connus utilisés par les attaquants
  • Activer le mode hors ligne pour les systèmes critiques si possible

Étape 2 : Analyse forensique

  • Collecter les journaux système et réseau pour une analyse post-incident
  • Rechercher les indicateurs de compromission (IoC) fournis par les autorités
  • Documenter toutes les activités suspectes observées avant et pendant l’incident

Étape 3 : Mise à jour et sécurisation

  • Appliquer les correctifs dès qu’ils sont disponibles
  • Mettre à jour toutes les solutions de sécurité avec les dernières signatures de menaces
  • Renforcer les mots de passe et activer l’authentification multifacteur où applicable

Étape 4 : Surveillance renforcée

  • Mettre en place une surveillance continue des réseaux pour détecter toute activité suspecte
  • Implémenter des alertes pour les communications avec les adresses IP C2 connues
  • Former les équipes à reconnaître les tactiques, techniques et procédures (TTP) de BRONZE BUTLER

Recommandations de l’ANSSI

L’ANSSI, dans son bulletin de sécurité mensuel d’octobre 2025, a émis plusieurs recommandations spécifiques concernant cette vulnérabilité :

  • Segmentation réseau stricte : isoler les systèmes de gestion des endpoints du réseau principal
  • Principe du moindre privilège : limiter les droits d’accès aux systèmes LANSCOPE
  • Surveillance comportementale : implémenter des solutions détectant les anomalies comportementales
  • Formation du personnel : sensibiliser les utilisateurs aux techniques d’ingénierie sociale associées
  • Plan de réponse aux incidents : s’assurer que les procédures sont à jour et testées

Leçons apprises et recommandations stratégiques pour 2025

Cette campagne d’exploitation zéro jour met en lumière plusieurs défis persistants dans la cybersécurité moderne et offre des leçons précieuses pour les organisations cherchant à renforcer leurs défenses. L’approche multi-vectorielle de BRONZE BUTLER, combinant vulnérabilités zéro jour, malware personnalisé et tactiques d’exfiltration sophistiquées, représente le nouveau standard des menaces avancées que les organisations doivent anticiper et contrer.

Stratégies de défense proactive

Pour se protéger contre des menaces émergentes comme celles-ci, les organisations devraient considérer plusieurs stratégies de défense proactive :

  • Patching rapide : mettre en place des processus de correction automatisés pour les vulnérabilités critiques
  • Défense en profondeur : implémenter plusieurs couches de sécurité pour qu’une compromission ne mène pas nécessairement à une violation complète
  • Veille sur les menaces : maintenir une surveillance active des menaces émergentes et des campagnes d’acteurs de menace spécifiques
  • Simulation d’attaques : mener des exercices de simulation d’attaques pour identifier les vulnérabilités avant que les attaquants ne le fassent

Investissement dans les capacités de réponse aux incidents

Les organisations doivent également investir dans leurs capacités de réponse aux incidents, y compris :

  • Équipes de sécurité dédiées : former et maintenir des équipes de sécurité internes avec des compétences spécialisées
  • Outils de détection avancée : implémenter des solutions de détection et de réponse aux points de terminaison (EDR/XDR)
  • Partenariats externes : établir des relations avec des fournisseurs de services de réponse aux incidents pour un soutien lors des crises
  • Exercices de simulation : mener régulièrement des exercices de simulation d’incidents pour tester les capacités de réponse

Tableau comparatif des solutions de protection

Approche de sécuritéEfficacité contre cette menaceComplexité d’implémentationCoût estiméRecommandation ANSSI
Correctifs immédiatsÉlevée (si appliqués)FaibleMoyenRecommandée prioritairement
Segmentation réseauÉlevéeMoyenneÉlevéRecommandée
Solutions EDR/XDRMoyenne à élevéeÉlevéeÉlevéRecommandée à long terme
Formation du personnelFaible à moyenneFaibleFaibleComplémentaire
Surveillance manuelleFaibleÉlevéMoyenNon recommandée seule

Implications à long terme pour la sécurité des endpoints

L’exploitation de cette vulnérabilité zéro jour dans LANSCOPE Endpoint Manager a des implications à long terme significatives pour la sécurité des endpoints dans le paysage technologique mondial. Alors que les attaques se complexifient et que les acteurs de la menace développent des techniques plus sophistiquées pour contourner les défenses traditionnelles, les organisations doivent repenser leur approche globale de la sécurité des endpoints.

Transition vers une approche proactive

La réactivité seule ne suffit plus dans l’environnement de menace actuel. Les organisations doivent adopter une approche proactive qui inclut :

  • Veille en temps réel sur les menaces : surveillance continue des menaces émergentes et des vulnérabilités potentielles
  • Évaluation régulière des risques : identification systématique des vulnérabilités et des risques associés
  • Simulation d’attaques régulières : exercices d’attaques simulées pour tester les défenses
  • Architecture de sécurité résiliente : conception de systèmes capables de résister aux compromissions et de limiter leur impact

Rôle de l’intelligence artificielle dans la défense

L’intelligence artificielle et l’apprentissage automatique joueront un rôle de plus en plus crucial dans la défense contre les menaces avancées comme celles orchestrées par BRONZE BUTLER. Les technologies d’IA peuvent aider à :

  • Détecter les anomalies comportementales : identifier les activités inhabituelles qui pourraient indiquer une compromission
  • Automatiser les réponses aux menaces : permettre des actions correctives rapides sans intervention manuelle
  • Prédire les menaces émergentes : analyser les tendances pour anticiper les prochaines campagnes d’acteurs de menace
  • Optimiser l’attribution des ressources : aider les équipes de sécurité à concentrer leurs efforts là où ils sont le plus nécessaires

Selon une étude menée par le Centre Français de Cybersécurité (C3N) en 2025, les organisations ayant implémenté des solutions de sécurité basées sur l’IA ont réduit leur temps de détection des menaces avancées de 67% en moyenne, et leur coût moyen par incident de sécurité de 43%.

Évolution des menaces et défis futurs

Les acteurs de la menace comme BRONZE BUTLER continuent d’évoluer, adoptant de nouvelles techniques pour contourner les défenses existantes. Dans les années à venir, nous pouvons nous attendre à voir :

  • Une augmentation des attaques de chaîne d’approvisionnement : ciblant les fournisseurs logiciels pour distribuer des malwares à grande échelle
  • Des techniques d’exploitation zéro jour plus sophistiquées : rendant la détection encore plus difficile
  • Une utilisation accrue de l’IA par les attaquants : pour automatiser les campagnes d’exploitation
  • Des menaces ciblant l’infrastructure cloud : exploitant les complexités des environnements multi-cloud et hybrides

“La sécurité des endpoints ne sera plus seulement une question de protection contre les malwares connus, mais une compétition permanente entre les défenseurs et les attaquants pour la supériorité technologique et tactique.” - Directeur de la sécurité de l’information, rapport sectoriel 2025

Conclusion : vers une approche proactive de la cybersécurité

L’exploitation de la vulnérabilité zéro jour dans LANSCOPE Endpoint Manager par le groupe BRONZE BUTLER représente un rappel urgent de la nécessité pour les organisations d’adopter des approches plus proactives et holistiques de la cybersécurité. Alors que les menaces continuent d’évoluer en complexité et en sophistication, les défenses traditionnelles basées sur la réactivité ne suffisent plus pour protéger les actifs informationnels critiques.

La vulnérabilité zéro jour dans LANSCOPE Endpoint Manager n’est pas seulement un incident isolé ; elle fait partie d’un pattern plus large d’acteurs de menace étatiques exploitant des vulnérabilités dans des logiciels largement déployés pour mener des campagnes d’espionnage ciblé. Ce type de menace nécessite une réponse coordonnée entre les organisations, les fournisseurs de technologie et les autorités gouvernementales.

Pour les entreprises japonaises et internationales utilisant des solutions de gestion des endpoints, cette vulnérabilité zéro jour constitue un appel à l’action immédiat. En appliquant les correctifs, en renforçant les pratiques de sécurité et en adoptant une approche proactive de la détection et de la réponse aux menaces, les organisations peuvent non seulement se protéger contre cette menace spécifique, mais aussi renforcer leur résilience face aux défis futurs de la cybersécurité.