「Bronze Butler」(Tick)として追跡されている中国関連のサイバースパイ活動者が、Motex Lanscope Endpoint Managerの脆弱性をゼロデイで悪用し、Gokcpdoorマルウェアの更新版を展開しました。
この活動の発見は、Sophosの研究者によるもので、脅威アクターが2025年中頃にパッチが適用される前の脆弱性を悪用し、機密情報を窃取していたことが観測されました。
これらの攻撃で悪用された脆弱性はCVE-2025-61932であり、Motex Lanscope Endpoint Managerバージョン9.4.7.2以前に影響する重大なリクエスト元検証の欠陥です。これにより、認証されていない攻撃者が特別に細工されたパケットを通じて、対象システム上でSYSTEM権限で任意のコードを実行できます。
Motexは2025年10月20日にCVE-2025-61932の修正をリリースし、CISAも先週この脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加し、連邦機関に対して2025年11月12日までにパッチを適用するよう促しています。
ベンダーもCISAも、検出された悪用の具体的な詳細は公表していません。しかし、Sophosの最新レポートによると、CVE-2025-61932は少なくとも数か月間ハッカーによって悪用されていたことが示されています。
Bronze ButlerはCVE-2025-61932を利用してGokcpdoorマルウェアを標的に展開し、攻撃者のコマンド&コントロール(C2)インフラストラクチャとのプロキシ接続を確立しました。
今回の攻撃で確認された最新版では、GokcpdoorはKCPプロトコルのサポートを廃止し、複数化されたC2通信が追加されています。
出典:Sophos
Sophosの研究者は、マルウェアの2つのバリアントをサンプル化しています。1つはポート38000および38002でクライアント接続を待ち受けるサーバー実装、もう1つはハードコードされたC2アドレスに接続しバックドアとして機能するクライアントです。
一部のケースでは、攻撃者は代わりにHavoc C2フレームワークを使用しましたが、いずれの場合も最終ペイロードはOAED Loaderによってロードされ、DLLサイドローディングを利用して正規の実行ファイルにインジェクションされ、検知を回避していました。
出典:Sophos
Sophosはまた、Bronze Butlerがgoddi Active Directory dumper、リモートデスクトップ、7-Zipアーカイバーツールをデータ流出に利用していたと報告しています。
ハッカーはおそらくクラウドベースのストレージサービスを流出先として利用しており、Sophosはio、LimeWire、Piping Serverへのアクセスを確認しています。
Lanscope Endpoint Managerを利用している組織には、CVE-2025-61932に対応したバージョンへのクライアントのアップグレードが推奨されています。現在、この脆弱性に対する回避策や緩和策は存在せず、パッチ適用のみが推奨される対応です。
