A metà del 2025, i ricercatori della Counter Threat Unit™ (CTU) hanno osservato una sofisticata campagna BRONZE BUTLER che sfruttava una vulnerabilità zero-day in Motex LANSCOPE Endpoint Manager per rubare informazioni riservate. Il gruppo BRONZE BUTLER (noto anche come Tick), sponsorizzato dallo Stato cinese, è attivo dal 2010 e in precedenza aveva sfruttato una vulnerabilità zero-day nel prodotto giapponese di gestione delle risorse SKYSEA Client View nel 2016. JPCERT/CC ha pubblicato un avviso sul problema LANSCOPE il 22 ottobre 2025.
Sfruttamento della CVE-2025-61932
Nella campagna del 2025, i ricercatori di CTU™ hanno confermato che gli aggressori hanno ottenuto l’accesso iniziale sfruttando la CVE-2025-61932. Questa vulnerabilità consente agli aggressori remoti di eseguire comandi arbitrari con privilegi di SISTEMA. L’analisi del CTU indica che il numero di dispositivi vulnerabili connessi a Internet è basso. Tuttavia, gli aggressori potrebbero sfruttare i dispositivi vulnerabili all’interno delle reti compromesse per effettuare l’escalation dei privilegi e il movimento laterale. L’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) ha aggiunto la CVE-2025-61932 al Catalogo delle vulnerabilità sfruttate note il 22 ottobre.
Continua a leggere.
