La explotación de una descompostura de seguridad crítica recientemente revelada en Motex Lanscope Endpoint Manager se ha atribuido a un conjunto de ciberespionaje conocido como Garrapata.
La vulnerabilidad, rastreada como CVE-2025-61932 (puntuación CVSS: 9,3), permite a atacantes remotos ejecutar comandos arbitrarios con privilegios de SISTEMA en versiones locales del software. JPCERT/CC, en una alerta emitida este mes, dijo que había confirmado informes de extralimitación activo del defecto de seguridad para destapar una puerta trasera en los sistemas comprometidos.
Tick, además conocido como Bronze Butler, Daserf, REDBALDKNIGHT, Stalker Panda, Stalker Taurus y Swirl Typhoon (anteriormente Tellurium), es un supuesto actor chino de ciberespionaje conocido por sus extensos objetivos en el este de Asia, específicamente en Japón. Se estima que está activo desde al menos 2006.
La sofisticada campaña, observada por Sophos, implicó la explotación de CVE-2025-61932 para entregar una puerta trasera conocida denominada Gokcpdoor que puede establecer una conexión proxy con un servidor remoto y llevar a cabo como puerta trasera para ejecutar comandos maliciosos en el host comprometido.
“La transformación 2025 suspendió el soporte para el protocolo KCP y agregó comunicación multiplexada utilizando una biblioteca de terceros (smux) para su comunicación C2 (comando y control)”, dijo la Pelotón Contra Amenazas (CTU) de Sophos en un crónica del jueves.
La compañía de ciberseguridad dijo que detectó dos tipos diferentes de Gokcpdoor que sirven para casos de uso distintos:
- Un tipo de servidor que audición las conexiones entrantes de los clientes para permitir el golpe remoto
- Un tipo de cliente que inicia conexiones a servidores C2 codificados con el objetivo de configurar un canal de comunicación encubierto.
El ataque además se caracteriza por el despliegue del ámbito de post-explotación Havoc en sistemas seleccionados, con las cadenas de infección dependiendo de la carga supletorio de DLL para difundir un cargador de DLL llamado OAED Loader para inyectar las cargas aperos.
Algunas de las otras herramientas utilizadas en el ataque para entregar el movimiento supletorio y la filtración de datos incluyen goddi, una útil de volcado de información de Active Directory de código amplio; Escritorio Remoto, para golpe remoto a través de un túnel de puerta trasera; y 7-Zip.
Asimismo se ha descubierto que los actores de amenazas acceden a servicios en la abundancia como io, LimeWire y Piping Server a través del navegador web durante sesiones de escritorio remoto en un esfuerzo por filtrar los datos recopilados.
Esta no es la primera vez que se observa que Tick aprovecha una descompostura de día cero en sus campañas de ataque. En octubre de 2017, Secureworks, propiedad de Sophos, detalló la explotación por parte del conjunto de hackers de una vulnerabilidad de ejecución remota de código (CVE-2016-7836) en SKYSEA Client View, un software japonés de diligencia de activos de TI, para comprometer máquinas y robar datos.
“Las organizaciones actualizan los servidores Lanscope vulnerables según corresponda en sus entornos”, dijo Sophos TRU. “Las organizaciones además deben revisar los servidores Lanscope conectados a Internet que tienen instalado el software cliente Lanscope (MR) o el agente de detección (DA) para determinar si existe una falta comercial de exponerlos públicamente”.
