A mediados de 2025, los investigadores de Counter Threat Unit™ (CTU) observaron una sofisticada campaña de BRONZE BUTLER que aprovechaba una vulnerabilidad de día cero en Motex LANSCOPE Endpoint Manager para robar información confidencial. El grupo de amenazas BRONZE BUTLER (también conocido como Tick), patrocinado por el estado chino, lleva activo desde 2010 y anteriormente ya había aprovechado una vulnerabilidad de día cero en el producto japonés de gestión de activos SKYSEA Client View en 2016. JPCERT/CC publicó un aviso sobre el problema de LANSCOPE el 22 de octubre de 2025.
CVE-2025-61932
En la campaña de 2025, los investigadores de CTU™ confirmaron que los actores maliciosos obtuvieron acceso inicial explotando CVE-2025-61932. Esta vulnerabilidad permite a los atacantes remotos ejecutar comandos arbitrarios con privilegios del SISTEMA. El análisis de CTU indica que el número de dispositivos vulnerables conectados a Internet es bajo. Sin embargo, los atacantes podrían explotar los dispositivos vulnerables dentro de las redes comprometidas para llevar a cabo una escalada de privilegios y un movimiento lateral. La Agencia de Seguridad Cibernética y de Infraestructuras de EE. UU. (CISA) añadió CVE-2025-61932 al Catálogo de vulnerabilidades explotadas conocidas el 22 de octubre.
Comando y control
Los investigadores de CTU confirmaron que los actores maliciosos utilizaron el malware Gokcpdoor en esta campaña. Según informó un tercero en 2023, Gokcpdoor puede establecer una conexión proxy con un servidor de comando y control (C2) como puerta trasera. La variante de 2025 dejó de ser compatible con el protocolo KCP y añadió la comunicación multiplexada utilizando una biblioteca de terceros para su comunicación C2 (véase la figura 1).
Además, los investigadores de la CTU identificaron dos tipos diferentes de Gokcpdoor con fines distintos:
-
El tipo de servidor escucha las conexiones entrantes de los clientes, abriendo el puerto especificado en su configuración. Algunas de las muestras analizadas utilizaban el 38000, mientras que otras utilizaban el 38002. La funcionalidad C2 permitía el acceso remoto.
-
El tipo cliente inicia conexiones con servidores C2 codificados de forma rígida, estableciendo un túnel de comunicación que funciona como puerta trasera.
En algunos hosts comprometidos, BRONZE BUTLER implementó el marco C2 Havoc en lugar de Gokcpdoor. Algunas muestras de Gokcpdoor y Havoc utilizaban el malware OAED Loader, que también se vinculaba a BRONZE BUTLER en el informe de 2023, para complicar el flujo de ejecución. Este malware inyecta una carga útil en un ejecutable legítimo según su configuración integrada (véase la figura 2).
Figura 2: flujo de ejecución utilizando OAED Loader
Uso indebido de herramientas y servicios legítimos
Los investigadores de la CTU también confirmaron que se utilizaron las siguientes herramientas para el movimiento lateral y la exfiltración de datos:
-
goddi (Go dump domain info): herramienta de código abierto para volcar información de Active Directory.
-
Escritorio remoto: una aplicación legítima de escritorio remoto utilizada a través de un túnel de puerta trasera.
-
7-Zip: un archivador de archivos de código abierto utilizado para la exfiltración de datos.
BRONZE BUTLER también accedió a los siguientes servicios de almacenamiento en la nube a través del navegador web durante las sesiones de escritorio remoto, posiblemente con la intención de exfiltrar la información confidencial de la víctima:
-
file.io
-
LimeWire
-
Piping Server
Recomendaciones
Los investigadores de CTU recomiendan que las organizaciones actualicen los servidores LANSCOPE vulnerables según sea apropiado en vuestros entornos. Las organizaciones también deben revisar los servidores LANSCOPE conectados a Internet que tienen instalado el programa cliente LANSCOPE (MR) o el agente de detección (DA) para determinar si existe una necesidad comercial de que estén expuestos públicamente.
Detecciones e indicadores
Las siguientes protecciones de Sophos detectan la actividad relacionada con esta amenaza:
-
Torj/BckDr-SBL
-
Mal/Generic-S
Los indicadores de amenaza de la tabla 1 pueden utilizarse para detectar la actividad relacionada con esta amenaza. Ten en cuenta que las direcciones IP pueden reasignarse. Las direcciones IP pueden contener contenido malicioso, por lo que debes tener en cuenta los riesgos antes de abrirlas en un navegador.
| Indicador | Tipo | Contexto |
| 932c91020b74aaa7ffc687e21da0119c | MD5 hash |
Variante de Gokcpdoor utilizada por BRONZE BUTLER (oci.dll) |
| be75458b489468e0acdea6ebbb424bc898b3db29 | SHA1 hash | Variante de Gokcpdoor utilizada por BRONZE BUTLER (oci.dll) |
| 3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7ba | SHA256 hash |
Variante de Gokcpdoor utilizada por BRONZE BUTLER (oci.dll) |
| 4946b0de3b705878c514e2eead096e1e | MD5 hash |
Muestra de Havoc utilizada por BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| 1406b4e905c65ba1599eb9c619c196fa5e1c3bf7 | SHA1 hash | Muestra de Havoc utilizada por BRONZE BUTLER
(MaxxAudioMeters64LOC.dll) |
| 9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946 | SHA256 hash | Muestra de Havoc utilizada por BRONZE BUTLER (MaxxAudioMeters64LOC.dll) |
| 8124940a41d4b7608eada0d2b546b73c010e30b1 | SHA1 hash | Herramienta goddi utilizada por BRONZE BUTLER (winupdate.exe) |
| 704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3 | SHA256 hash | Herramienta goddi utilizada por BRONZE BUTLER (winupdate.exe) |
| 38[.]54[.]56[.]57 | IP address | Servidor C2 Gokcpdoor utilizado por BRONZE BUTLER; utiliza el puerto 443 |
| 38[.]54[.]88[.]172 | IP address |
Servidor C2 Havoc utilizado por BRONZE BUTLER; utiliza el puerto 443 |
| 38[.]54[.]56[.]10 | IP address |
Dirección IP conectada a los puertos abiertos por la variante Gokcpdoor utilizada por BRONZE BUTLER |
| 38[.]60[.]212[.]85 | IP address |
Dirección IP conectada a los puertos abiertos por la variante Gokcpdoor utilizada por BRONZE BUTLER |
| 108[.]61[.]161[.]118 | IP address |
Dirección IP conectada a los puertos abiertos por la variante Gokcpdoor utilizada por BRONZE BUTLER |
Tabla 1: indicadores de esta amenaza
