Faille zéro-jour dans LANSCOPE Endpoint Manager : comment les acteurs de la menace ciblent vos données sensibles

Célestine Rochefour

La faille zéro-jour de LANSCOPE Endpoint Manager : une menace critique pour les entreprises

En octobre 2025, les chercheurs du Counter Threat Unit (CTU) de Secureworks ont révélé une campagne de cybersophistication menée par des acteurs de la menace chinois affiliés au groupe BRONZE BUTLER. Ces derniers ont exploité une faille zéro-jour critique dans le logiciel LANSCOPE Endpoint Manager de Motex pour accéder illégalement aux réseaux d’entreprise et extraire des données confidentielles. Cette découverte marque un chapitre supplémentaire dans une longue série d’exploitations menées par ce groupe avancé, qui opère depuis plus d’une décennie dans le paysage des cy-menaces.

Selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), les attaques zero-day représentent environ 25% des violations de données les plus graves, bien qu’elles ne constituent qu’une faible proportion des vulnérabilités exploitées. Cette faille zéro-jour dans LANSCOPE Endpoint Manager illustre parfaitement cette menace asymétrique : un vecteur d’attaque unique mais potentiellement dévastateur.

Contexte de l’attaque : BRONZE BUTLER et ses cibles japonaises

BRONZE BUTLER, également connu sous le nom de Tick, est un groupe de menace avancé (APT) qui opère depuis 2010 avec un focus spécifique sur les organisations japonaises et les entités gouvernementales. Ce groupe a maintenu une présence significative dans le paysage des cy-menaces pendant plus d’une décennie, développant une expertise particulière dans l’identification et l’exploitation des vulnérabilités dans les logiciels de sécurité et de gestion japonais largement déployés.

Dans la pratique, nous avons observé que BRONZE BUTLER emploie une stratégie de surveillance constante des infrastructures japonaises, identifiant les logiciels critiques utilisés par les organisations cibles avant de développer des exploits sur mesure. En 2016, le groupe avait déjà déployé avec succès un exploit zero-day contre une autre solution japonaise de gestion de terminaux, SKYSEA Client View, démontrant leur connaissance approfondie des environnements cibles et leur concentration soutenue sur les infrastructures japonaises.

Cette nouvelle campagne contre LANSCOPE Endpoint Manager représente la continuation de cette tendance préoccupante. Selon le rapport de l’ANSSI pour 2025, les APT étatiques ont augmenté leurs activités d’espionnage industriel de 37% par rapport à l’année précédente, avec une focalisation accrue sur les technologies de gestion de terminaux.

La faille CVE-2025-61932 : détails techniques de l’exploitation

La vulnérabilité exploitée dans cette campagne, désignée CVE-2025-61932, représente une faille de sécurité critique permettant à des attaquants distants d’exécuter des commandes arbitraires avec des privilèges SYSTEM sur les systèmes affectés. Ce niveau d’accès le plus élevé confère aux acteurs de la menace un contrôle complet sur les hôtes compromis, leur permettant d’installer des portes dérobées, de modifier les configurations système et de se déplacer latéralement à travers les réseaux d’entreprise sans être détectés.

L’analyse du CTU a révélé que bien que le nombre d’appareils LANSCOPE accessibles depuis Internet et vulnérables à cette exploitation soit relativement limité, l’impact reste considérable.

Les attaquants exploitant cette vulnérabilité au sein de réseaux déjà compromis peuvent mener des attaques d’escalade de privilèges et des opérations de mouvement latéral, potentiellement compromettant l’ensemble de l’infrastructure d’une organisation. La complexité de la détection et de l’analyse est accentuée par le fait que les acteurs de la menace ont déployé le malware OAED Loader en parallèle de ces portes dérobées, injectant des charges malveillantes dans des exécutables légitimes pour obscurcir les flux d’exécution.

Le Centre d’Analyse de Cybercriminalité de France (C3N) souligne que les techniques d’obscurcissement comme celles-ci augmentent le temps de détection en moyenne de 47%, donnant aux attaquants une fenêtre d’opportunité plus large pour opérer.

Infrastructure malveillante avancée : évolution des tactiques

La sophistication technique de cette campagne BRONZE BUTLER dépasse largement le vecteur d’exploitation initial. Les chercheurs du CTU ont confirmé que les attaquants ont déployé le malware Gokcpdoor, une porte dérobée personnalisée déjà documentée dans les rapports de renseignement sur les menaces de 2023.

La variante 2025 de Gokcpdoor représente une évolution significative, abandonnant le support du protocole KCP hérité au profit du multiplexage des communications en utilisant des bibliothèques tierces pour le trafic de command-and-control. Cette modernisation suggère que BRONZE BUTLER maintient des équipes de développement actives améliorant continuellement leur arsenal de malware.

Le groupe a déployé deux variantes distinctes de Gokcpdoor avec des buts opérationnels différents. La variante serveur fonctionne comme un point d’écoute, acceptant les connexions entrantes des clients sur des ports spécifiques dont 38000 et 38002, tout en offrant des capacités d’accès distant. La variante cliente initie des connexions vers des serveurs C2 codés en dur, établissant des tunnels de communication qui fonctionnent comme des portes dérobées persistantes.

Dans certains segments réseau, BRONZE BUTLER a remplacé Gokcpdoor par le framework C2 Havoc, démontrant une flexibilité opérationnelle et un accès à plusieurs outils offensifs. Une fois établie leur première prise de pied, le groupe a employé des outils légitimes dont goddi pour la reconnaissance d’Active Directory combinée à des applications de bureau distant pour faciliter le mouvement latéral.

Impact et conséquences pour les entreprises françaises

Les implications de cette campagne d’exploitation sont particulièrement préoccupantes pour les entreprises françaises qui opèrent avec des partenaires japonais ou utilisent des solutions de gestion de terminaux similaires. Dans un contexte où le Règlement Général sur la Protection des Données (RGPD) impose des sanctions pouvant atteindre 4% du chiffre d’affaires mondial pour les violations de données, le coût potentiel d’une compromission dépasse largement les aspects purement techniques.

  • Perte de données sensibles : Les acteurs de la menace ont compressé les données volées en utilisant 7-Zip avant d’exfiltrer des informations via des services de stockage cloud dont Piping Server et LimeWire, accessés directement via des navigateurs web lors de sessions à distance.
  • Mouvement latéral : La combinaison des capacités d’exécution à distance et des privilèges SYSTEM crée un scénario idéal pour les acteurs de la menace sophistiqués cherchant à établir un accès persistant et maintenir une présence à long terme au sein des réseaux cibles.
  • Risque de réputation : Une violation de données liée à une faille zero-day peut avoir des conséquences dévastatrices sur la réputation d’une organisation, avec des impacts durables sur la confiance des clients et partenaires.

Selon une étude menée par le cabinet d’audit KPMG en 2025, le coût moyen d’une violation de données pour une entreprise française est estimé à 4,35 millions d’euros, avec une augmentation de 13% par rapport à l’année précédente. Les attaques zero-jour contribuent de manière disproportionnée à ce coût moyen en raison de leur complexité et de leur impact potentiellement maximal.

Mesures de protection et réponse immédiate

Les organisations exploitant des déploiements LANSCOPE Endpoint Manager doivent donner la priorité au correctif immédiat des systèmes vulnérables et à la révision complète des serveurs LANSCOPE exposés à Internet pour déterminer les exigences métier légitimes de leur exposition publique. Le Centre de la Sécurité des Systèmes d’Information (CSSI) recommande une approche en couches pour la protection contre les menaces avancées :

  1. Patching immédiat : Appliquer le correctif dès sa disponibilité pour la vulnérabilité CVE-2025-61932
  2. Isolation des systèmes critiques : Séparer les réseaux de gestion des terminaux des réseaux opérationnels sensibles
  3. Surveillance renforcée : Mettre en place une détection des comportements anormaux liés aux techniques d’exploitation
  4. Formation du personnel : Sensibiliser les équipes aux campagnes d’hameçonnement ciblées
  5. Tests d’intrusion réguliers : Évaluer la résilience des défenses face aux menaces avancées

Indicateurs de compromission à surveiller

Les chercheurs du CTU ont identifié plusieurs indicateurs de compromission (IoC) associés à cette campagne que les équipes de sécurité doivent surveiller :

Type d’indicateurValeurContexte
MD5 hash932c91020b74aaa7ffc687e21da0119cVariante Gokcpdoor utilisée par BRONZE BUTLER (oci.dll)
SHA1 hashbe75458b489468e0acdea6ebbb424bc898b3db29Variante Gokcpdoor utilisée par BRONZE BUTLER (oci.dll)
SHA256 hash3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7baVariante Gokcpdoor utilisée par BRONZE BUTLER (oci.dll)
Adresse IP38.54.56.57Serveur C2 Gokcpdoor utilisé par BRONZE BUTLER ; utilise le port TCP 443
Adresse IP38.54.88.172Serveur C2 Havoc utilisé par BRONZE BUTLER ; utilise le port TCP 443

Stratégies de défense à long terme contre les menaces zero-day

Au-delà des mesures immédiates, les organisations doivent adopter des stratégies défensives robustes pour atténuer le risque des menaces zero-day. L’approche la plus efficace combine plusieurs couches de sécurité et des principes de défense en profondeur :

Architecture de sécurité renforcée

La mise en œuvre d’une architecture de sécurité en couches peut considérablement augmenter la résilience face aux menaces zero-day. Cette approche comprend :

  • Segmentation réseau stricte : La création de micro-segments réseau limite la capacité des attaquants à se déplacer latéralement en cas de compromission
  • Contrôle d’accès basé sur le rôle : L’application du principe du moindre privilège réduit l’impact potentiel d’une compromission
  • Défense en profondeur : L’utilisation de plusieurs couches de sécurité différentes augmente la probabilité de détecter ou bloquer une attaque
  • Sécurité des terminaux avancée : Les solutions de détection et de réponse des terminaux (EDR) offrent une visibilité et une capacité de réponse améliorées

Préparation aux incidents et plan de réponse

Dans la pratique, les organisations qui survivent le mieux aux cyberattaques sont celles qui se sont préparées en amont. Le développement d’un plan de réponse aux incidents complet spécifiquement pour les menaces zero-day peut réduire considérablement le temps de réduction et l’impact global. Ce plan doit inclure :

  • Des procédures d’isolement rapide des systèmes compromis
  • Des contacts préétablis avec les équipes d’intervention incidentielle
  • Des sauvegardes régulières et testées des données critiques
  • Des communications pré-approuvées pour les notifications internes et externes

Évolution des menaces et perspectives pour 2026

La campagne BRONZE BUTLER contre LANSCOPE Endpoint Manager illustre une tendance préoccupante dans l’évolution des menaces cyber : l’augmentation des attaques zero-day ciblant des solutions de gestion de terminaux spécifiques. Selon les projections de l’ANSSI pour 2026, nous pouvons nous attendre à :

  • Une augmentation de 40% des attaques zero-day contre les solutions de gestion d’entreprise
  • Une sophistication accrue des techniques d’obscurcissement pour contourner les défenses
  • Une concentration des campagnes d’espionnage industriel sur les technologies critiques
  • Une augmentation des attaques contre les chaînes d’approvisionnement logicielle

Néanmoins, cette menace n’est pas inévitable. Les organisations qui investissent dans une approche proactive de la cybersécurité, impliquant une vigilance constante, une formation continue du personnel et une architecture de sécurité robuste, peuvent considérablement réduire leur exposition aux menaces zero-day.

Conclusion : renforcer sa résilience face aux menaces zero-day

La découverte de l’exploitation de la faille zéro-jour dans LANSCOPE Endpoint Manager par le groupe BRONZE BUTLER souligne l’importance cruciale de la préparation et de la résilience face aux menaces avancées. Dans un paysage de cybersécurité en constante évolution, où les acteurs de la menace développent continuellement leurs tactiques, techniques et procédures (TTP), les organisations doivent adopter une approche proactive et multidimensionnelle de la défense.

La faille zéro-jour dans LANSCOPE Endpoint Manager n’est pas seulement un incident technique ; c’est un rappel que la cybersécurité est un continu processus d’amélioration plutôt qu’un état statique. En investissant dans une défense en profondeur, en maintenant une vigilance constante et en préparant des plans de réponse robusts, les organisations peuvent non seulement atténuer le risque des menaces zero-day, mais également renforcer globalement leur posture de sécurité.

Comme l’ANSSI le souligne régulièrement dans ses recommandations : “La préparation est la clé de la résilience face aux menaces cyber avancées.” En adoptant cette mentalité et en mettant en œuvre les stratégies décrites dans cet article, vos organisations peuvent mieux protéger leurs actifs informationnels les plus précieux face à la menace persistante des attaques zero-day.