(https://i.imgur.com/RRYLFze.jpeg)
Una nueva amenaza de ciberespionaje ha sido detectada afectando a empresas y organizaciones en Asia, luego de que investigadores confirmaran la explotación activa de una vulnerabilidad crítica en Motex Lanscope Endpoint Manager. El ataque ha sido atribuido al grupo Tick, también conocido como Bronze Butler, un colectivo de origen chino especializado en operaciones de inteligencia y robo de información.
La falla, identificada como CVE-2025-61932, tiene una puntuación CVSS de 9.3, lo que la clasifica como crítica, ya que permite a atacantes remotos ejecutar comandos arbitrarios con privilegios SYSTEM en versiones locales del software. Según la alerta publicada por JPCERT/CC, la vulnerabilidad está siendo explotada de forma activa para instalar puertas traseras (backdoors) y obtener control total sobre los sistemas comprometidos.
CVE-2025-61932: una vulnerabilidad crítica con explotación activaDe acuerdo con los investigadores de seguridad, el defecto reside en la gestión de comandos del Lanscope Endpoint Manager, permitiendo a un atacante remoto aprovechar la vulnerabilidad sin autenticación previa. Una vez explotada, la falla otorga privilegios de administrador a nivel de sistema, facilitando la ejecución de código malicioso, el acceso a información sensible y la instalación de componentes de espionaje.
El Centro de Coordinación de Respuesta ante Incidentes de Japón (JPCERT/CC) confirmó que la vulnerabilidad ya está siendo aprovechada activamente en ataques dirigidos, principalmente en Japón, para desplegar una sofisticada puerta trasera denominada Gokcpdoor.
Rafe Pilling, director de inteligencia de amenazas en Sophos CTU, señaló en declaraciones a The Hacker News que la explotación se ha limitado hasta ahora a "sectores alineados con los intereses de inteligencia de Bronze Butler", aunque advirtió que, tras la publicación pública del exploit, otros grupos de cibercriminales podrían comenzar a aprovechar la misma falla.
Tick (Bronze Butler): un grupo de ciberespionaje con largo historialEl grupo Tick, también conocido como Bronze Butler, Daserf, REDBALDKNIGHT, Stalker Panda, Stalker Taurus o Swirl Typhoon (anteriormente Tellurium), es un colectivo de espionaje cibernético chino que ha estado activo desde al menos 2006.
Sus operaciones se centran principalmente en Japón y otras regiones del este de Asia, con un enfoque en el robo de información confidencial, propiedad intelectual y datos de redes corporativas. Tick es conocido por el uso de exploits de día cero y técnicas avanzadas de persistencia y evasión de detección, lo que lo convierte en uno de los grupos más sofisticados en el panorama de amenazas actual.
Gokcpdoor: la nueva puerta trasera desplegada en los ataquesLos analistas de Sophos han identificado que el exploit de CVE-2025-61932 está siendo utilizado para distribuir una nueva versión del malware Gokcpdoor, una puerta trasera modular diseñada para establecer canales de comunicación encubiertos con servidores remotos.
El Gokcpdoor 2025 presenta cambios importantes respecto a versiones anteriores, como la eliminación del soporte para el protocolo KCP y la incorporación de multiplexación mediante la biblioteca de terceros smux, que mejora la eficiencia y el sigilo de la comunicación C2 (comando y control).
Sophos CTU identificó dos variantes distintas de Gokcpdoor con funciones específicas:
- Tipo servidor: escucha conexiones entrantes de clientes para permitir acceso remoto persistente.
- Tipo cliente: inicia conexiones salientes a servidores C2 codificados en el código, estableciendo canales cifrados de control remoto.
Estas versiones trabajan en conjunto para mantener el acceso, ejecutar comandos, transferir archivos y permitir el control total de los sistemas comprometidos, incluso a través de redes restringidas.
Uso de Havoc, DLL side-loading y herramientas para movimiento lateralEl ataque no se limita a la explotación inicial de la vulnerabilidad. Sophos también descubrió que los atacantes implementan el framework de postexplotación Havoc para expandir su presencia dentro de las redes comprometidas.
Las cadenas de infección incluyen carga lateral de DLL (DLL side-loading) mediante un cargador conocido como OAED Loader, encargado de inyectar las cargas útiles maliciosas directamente en la memoria.
Otras herramientas utilizadas en el ataque incluyen:
- goddi, una herramienta de código abierto para el volcado de información de Active Directory.
- Escritorio remoto (RDP), utilizado para mantener acceso a través de túneles cifrados y backdoors.
- 7-Zip, empleado para comprimir y exfiltrar datos confidenciales hacia servidores externos.
Asimismo, los analistas observaron que los atacantes acceden a servicios en la nube como io, LimeWire y Piping Server durante sesiones RDP activas, con el fin de extraer información robada sin ser detectados.
Antecedentes de Tick y su uso de vulnerabilidades de día ceroNo es la primera vez que el grupo Tick explota vulnerabilidades de día cero en software japonés. En 2017, Secureworks (filial de Sophos) documentó cómo el grupo aprovechó la falla CVE-2016-7836 en SKYSEA Client View, un software de gestión de activos de TI, para comprometer infraestructuras empresariales y robar datos sensibles.
Estos antecedentes refuerzan el patrón de ataque del grupo, que prioriza vulnerabilidades locales de alta criticidad en herramientas empresariales ampliamente utilizadas para infiltrar redes con valor estratégico.
Medidas de mitigación recomendadasSophos y JPCERT recomiendan que todas las organizaciones que utilicen Lanscope Endpoint Manager:
- Apliquen de inmediato las actualizaciones de seguridad publicadas por Motex.
- Revisen los servidores Lanscope expuestos a Internet y determinen si existe una justificación comercial para mantenerlos accesibles públicamente.
- Analicen sus sistemas en busca de indicadores de compromiso (IoCs) relacionados con Gokcpdoor, Havoc y OAED Loader.
- Implemente controles de red restrictivos, autenticación multifactor y monitoreo de actividad sospechosa.
El reporte técnico de Sophos CTU enfatiza que las organizaciones deben cerrar los vectores de ataque y verificar la integridad del software para prevenir reinfecciones o movimientos laterales dentro de la red.
En fin...La explotación de CVE-2025-61932 por parte del grupo Tick demuestra la creciente sofisticación de las operaciones de ciberespionaje patrocinadas por Estados.
El caso resalta la necesidad urgente de mantener una gestión proactiva de vulnerabilidades, aplicar parches de seguridad sin demora y reforzar los mecanismos de detección y respuesta ante incidentes.
El ataque a Motex Lanscope Endpoint Manager es un recordatorio contundente de que incluso los entornos empresariales más seguros pueden convertirse en objetivos si no se actualizan y protegen adecuadamente.
Fuente: https://thehackernews.com/