La explotación de una falla de seguridad crítica recientemente revelada en Motex Lanscope Endpoint Manager se ha atribuido a un grupo de ciberespionaje conocido como Garrapata.
La vulnerabilidad, rastreada como CVE-2025-61932 (puntuación CVSS: 9,3), permite a atacantes remotos ejecutar comandos arbitrarios con privilegios de SISTEMA en versiones locales del programa. JPCERT/CC, en una alerta emitida este mes, dijo que había confirmado informes de abuso activo del defecto de seguridad para abrir una puerta trasera en los sistemas comprometidos.
Tick, también conocido como Bronze Butler, Daserf, REDBALDKNIGHT, Stalker Panda, Stalker Taurus y Swirl Typhoon (anteriormente Tellurium), es un presunto actor chino de ciberespionaje conocido por sus extensos objetivos en el este de Asia, específicamente en Japón. Se estima que está activo desde al menos 2006.
«Somos conscientes de una actividad muy específica en Japón y creemos que la explotación por parte de Bronze Butler se limitó a sectores alineados con sus objetivos de inteligencia», dijo a The Hacker News Rafe Pilling, director de inteligencia de amenazas de Sophos CTU. «Dado que esta vulnerabilidad ahora se divulga públicamente, otros actores de amenazas pueden intentar explotarla».
La sofisticada campaña, observada por Sophos, implicó la explotación de CVE-2025-61932 para entregar una puerta trasera conocida denominada Gokcpdoor que puede establecer una conexión proxy con un servidor remoto y actuar como puerta trasera para ejecutar comandos maliciosos en el host comprometido.
«La variante 2025 suspendió el soporte para el protocolo KCP y agregó comunicación multiplexada utilizando una biblioteca de terceros (smux) para su comunicación C2 (comando y control)», dijo la Unidad Contra Amenazas (CTU) de Sophos en un informe del jueves.
La compañía de ciberseguridad dijo que detectó dos tipos diferentes de Gokcpdoor que sirven para casos de uso distintos:
- Un tipo de servidor que escucha las conexiones entrantes de los clientes para permitir el acceso remoto
- Un tipo de cliente que inicia conexiones a servidores C2 codificados con el objetivo de configurar un canal de comunicación encubierto.
El ataque también se caracteriza por el despliegue del marco de post-explotación Havoc en sistemas seleccionados, con las cadenas de infección dependiendo de la carga lateral de DLL para lanzar un cargador de DLL llamado OAED Loader para inyectar las cargas útiles.
Algunas de las otras herramientas utilizadas en el ataque para facilitar el movimiento lateral y la filtración de datos incluyen goddi, una herramienta de volcado de información de Active Directory de código abierto; Escritorio Remoto, para acceso remoto a través de un túnel de puerta trasera; y 7-Zip.
También se ha descubierto que los actores de amenazas acceden a servicios en la nube como io, LimeWire y Piping Server a través del navegador web durante sesiones de escritorio remoto en un esfuerzo por filtrar los datos recopilados.
Esta no es la primera vez que se observa que Tick aprovecha una falla de día cero en sus campañas de ataque. En octubre de 2017, Secureworks, propiedad de Sophos, detalló la explotación por parte del grupo de hackers de una vulnerabilidad de ejecución remota de código (CVE-2016-7836) en SKYSEA Client View, un software japonés de gestión de activos de TI, para comprometer máquinas y robar datos.
«Las organizaciones actualizan los servidores Lanscope vulnerables según sea apropiado en sus entornos», dijo Sophos TRU. «Las organizaciones también deben revisar los servidores Lanscope conectados a Internet que tienen instalado el programa cliente Lanscope (MR) o el agente de detección (DA) para determinar si existe una necesidad comercial de exponerlos públicamente».
(La historia se actualizó después de la publicación para incluir una respuesta de Sophos).
