Uma falha crítica de segurança recentemente divulgada no Motex Lanscope Endpoint Manager vem sendo explorada por um grupo de ciberespionagem conhecido como Tick.
Registrada como
CVE-2025-61932
, a vulnerabilidade possui pontuação CVSS 9,3 e permite que invasores remotos executem comandos arbitrários com privilégios de SYSTEM em versões on-premise do software.
Em alerta publicado neste mês, o JPCERT/CC confirmou relatos de ataques ativos que exploram essa falha para instalar backdoors em sistemas comprometidos.
O grupo Tick — também conhecido por diversos codinomes, como Bronze Butler, Daserf, REDBALDKNIGHT, Stalker Panda, Stalker Taurus e Swirl Typhoon (anteriormente Tellurium) — é um ator de ciberespionagem suspeito de origem chinesa, com foco em países da Ásia Oriental, especialmente o Japão.
O grupo está ativo desde pelo menos 2006.
A campanha sofisticada observada pela Sophos utiliza a exploração da
CVE-2025-61932
para entregar uma backdoor conhecida como Gokcpdoor.
Essa ameaça estabelece uma conexão proxy com um servidor remoto e executa comandos maliciosos no host comprometido.
De acordo com a Sophos Counter Threat Unit (CTU), em relatório divulgado na quinta-feira, a variante de 2025 do Gokcpdoor descontinuou o suporte ao protocolo KCP e passou a usar multiplexação de comunicação baseada em uma biblioteca de terceiros chamada smux para o canal de comando e controle (C2).
O Gokcpdoor apresenta-se em duas versões distintas, com funções diferentes:
- Um tipo servidor, que aguarda conexões de clientes para possibilitar acesso remoto;
- Um tipo cliente, que inicia conexões com servidores C2 pré-configurados, criando um canal de comunicação oculto.
Além disso, o ataque envolve o uso do framework de pós-exploração Havoc em sistemas selecionados.
As cadeias de infecção utilizam DLL side-loading para executar um carregador de DLLs chamado OAED Loader, que injeta os payloads maliciosos.
Outras ferramentas empregadas pelos invasores incluem o goddi — software open source para coleta de informações do Active Directory —, Remote Desktop para acesso remoto via túnel backdoor, e o compactador 7-Zip.
Os agentes de ameaça também utilizam serviços em nuvem como io, LimeWire e Piping Server através de navegadores durante sessões de Remote Desktop, visando a exfiltração dos dados extraídos.
Esta não é a primeira vez que o grupo Tick explora vulnerabilidades zero-day em suas campanhas.
Em outubro de 2017, a Secureworks — empresa do grupo Sophos — detalhou a exploração, pelo Tick, de uma falha de execução remota de código ainda não corrigida (
CVE-2016-7836
) no SKYSEA Client View, software japonês de gestão de ativos de TI, para comprometer máquinas e roubar informações.
A Sophos TRU recomenda que as organizações atualizem seus servidores LANSCOPE vulneráveis conforme a necessidade do ambiente.
Também é fundamental revisar servidores LANSCOPE expostos à internet com o programa Cliente (MR) ou o agente de detecção (DA) instalados, para avaliar a real necessidade de exposição pública.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...