La explotación de una falla de seguridad crítica revelada recientemente en Motex Lanscope Endpoint Manager ha sido atribuido a un grupo de ciberespionaje conocido como garrapata .
La vulnerabilidad, rastreada como CVE-2025-61932 (puntuación CVSS: 9.3), permite a los atacantes remotos ejecutar comandos arbitrarios con privilegios de SISTEMA en las versiones locales del programa. JPCERT/CC, en una alerta emitida este mes, dijo que había confirmado las denuncias de abuso activo del defecto de seguridad para colocar una puerta trasera en los sistemas comprometidos.
Tick, también conocido como Bronze Butler, Daserf, REDBALDKNIGHT, Stalker Panda, Stalker Taurus y Swirl Typhoon (anteriormente Tellurium), es un sospechoso Actor de ciberespionaje chino conocido por sus ataques extensos al este de Asia, específicamente a Japón. Se estima que está activo desde al menos 2006.
La sofisticada campaña, observada por Sophos, implicó la explotación del CVE-2025-61932 para crear una puerta trasera conocida como Puerta Gokcp que puede establecer una conexión proxy con un servidor remoto y actuar como puerta trasera para ejecutar comandos maliciosos en el host comprometido.
«La variante 2025 dejó de ser compatible con el protocolo KCP y añadió la comunicación de multiplexación mediante una biblioteca de terceros. [ mancha ] por su comunicación C2 [mando y control]», dijo la Unidad de Lucha contra Amenazas (CTU) de Sophos en un informe del jueves.
La empresa de ciberseguridad dijo que detectó dos tipos diferentes de Gokcpdoor que servían para distintos casos de uso:
- Un tipo de servidor que escucha las conexiones entrantes de los clientes para permitir el acceso remoto
- Un tipo de cliente que inicia conexiones a servidores C2 codificados con el objetivo de configurar un canal de comunicación encubierto
El ataque también se caracteriza por el despliegue del marco posterior a la explotación de Havoc en sistemas seleccionados, ya que las cadenas de infección dependen de la carga lateral de las DLL para lanzar un cargador de DLL llamado OAED Loader para inyectar las cargas útiles.
Algunas de las otras herramientas utilizadas en el ataque para facilitar el movimiento lateral y la exfiltración de datos incluyen: Goddi , una herramienta de descarga de información de Active Directory de código abierto; Remote Desktop, para acceso remoto a través de un túnel de puerta trasera; y 7-Zip.
También se ha descubierto que los actores de amenazas acceden a servicios en la nube como io, LimeWire y Piping Server a través del navegador web durante las sesiones de escritorio remoto, en un esfuerzo por filtrar los datos recopilados.
No es la primera vez que se observa que Tick aprovecha una falla de día cero en sus campañas de ataque. En octubre de 2017, Secureworks era propiedad de Sophos detallada la explotación por parte de un grupo de hackers de una vulnerabilidad de ejecución remota de código que entonces no se había parcheado (CVE-2016-7836) en SKYSEA Client View, un software japonés de gestión de activos de TI, para comprometer las máquinas y robar datos.
«Las organizaciones actualizan los servidores LANSCOPE vulnerables según corresponda en sus entornos», afirma Sophos TRU. «Las organizaciones también deberían revisar los servidores LANSCOPE conectados a Internet que tengan instalados el programa cliente (MR) o el agente de detección (DA) de LANSCOPE para determinar si existe la necesidad empresarial de que se expongan públicamente».