Un recente attacco informatico ha portato alla luce una grave vulnerabilità zero-day all’interno della piattaforma Motex Lanscope Endpoint Manager, sfruttata da un gruppo di cyber spionaggio noto come Tick. La falla, identificata come CVE-2025-61932 con un punteggio CVSS di 9.3, consente a un aggressore remoto di eseguire comandi con privilegi di sistema sulle versioni on-premise del software. JPCERT/CC ha confermato che la vulnerabilità è stata attivamente utilizzata per installare una backdoor sui sistemi compromessi.

Il gruppo Tick e la campagna di spionaggio

Il gruppo Tick, conosciuto anche con nomi come Bronze Butler, Daserf, REDBALDKNIGHT e Swirl Typhoon, è associato alla Cina ed è attivo almeno dal 2006, con una particolare attenzione verso il Giappone e l’Asia orientale. Secondo le indagini di Sophos, questa campagna è stata mirata e ha colpito settori in linea con gli obiettivi d’intelligence del gruppo. Tuttavia, ora che la vulnerabilità è pubblica, si teme che altri attori possano tentare di sfruttarla.

La backdoor Gokcpdoor e le tecniche usate

L’attacco si è concretizzato con il rilascio di una backdoor denominata Gokcpdoor, in grado di stabilire una connessione proxy con server remoti e consentire l’esecuzione di comandi malevoli. L’ultima variante di Gokcpdoor ha introdotto la comunicazione multiplexata tramite la libreria smux, abbandonando il protocollo KCP utilizzato in precedenza. Sono stati rilevati due tipi principali di Gokcpdoor: uno server, che attende connessioni in ingresso per fornire accesso remoto, e uno client, che si connette a server C2 preconfigurati per creare un canale di comunicazione nascosto.

Strumenti e vettori utilizzati dagli attaccanti

La catena di infezione comprende l’utilizzo del framework Havoc per il post-exploitation e sfrutta il side-loading di DLL tramite un loader denominato OAED Loader, che inietta i payload dannosi. Tra gli strumenti impiegati dagli attaccanti figurano anche goddi, per l’estrazione di informazioni da Active Directory, l’uso di Remote Desktop per il controllo remoto e programmi come 7-Zip per l’estrazione dei dati. È stato inoltre osservato l’accesso a servizi cloud come io, LimeWire e Piping Server tramite sessioni desktop remote, finalizzato all’esfiltrazione dei dati raccolti.

Raccomandazioni di sicurezza

Non è la prima volta che Tick sfrutta falle zero-day: già nel 2017 aveva preso di mira software di gestione IT giapponese con vulnerabilità non ancora corrette. Gli esperti raccomandano di aggiornare immediatamente i server Lanscope e di valutare la reale necessità di esporre pubblicamente questi sistemi su Internet.