Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Lo sfruttamento di una falla di sicurezza critica recentemente scoperta in Motex Lanscope Endpoint Manager è stato attribuito a un gruppo di spionaggio informatico noto come Tick.
La vulnerabilità, identificata come CVE-2025-61932 (punteggio CVSS: 9,3), consente ad aggressori remoti di eseguire comandi arbitrari con privilegi di SISTEMA sulle versioni on-premise del programma. JPCERT/CC, in un avviso emesso questo mese, ha confermato le segnalazioni di abuso attivo della falla di sicurezza per rilasciare una backdoor sui sistemi compromessi.
Tick, noto anche come Bronze Butler, Daserf, REDBALDKNIGHT, Stalker Panda, Stalker Taurus e Swirl Typhoon (ex Tellurium), è un'organizzazione cinese presumibilmente impegnata in attività di spionaggio informatico, nota per i suoi estesi attacchi all'Asia orientale, in particolare al Giappone. Si stima che sia attiva almeno dal 2006.
"Siamo a conoscenza di attività molto mirate in Giappone e riteniamo che lo sfruttamento da parte di Bronze Butler sia stato limitato a settori in linea con i loro obiettivi di intelligence", ha dichiarato a The Hacker News Rafe Pilling, direttore dell'intelligence sulle minacce presso Sophos CTU. "Dato che questa vulnerabilità è ora pubblicamente divulgata, altri autori di minacce potrebbero cercare di sfruttarla".
La sofisticata campagna, osservata da Sophos, prevedeva lo sfruttamento di CVE-2025-61932 per diffondere una backdoor nota, denominata Gokcpdoor, in grado di stabilire una connessione proxy con un server remoto e di agire come backdoor per eseguire comandi dannosi sull'host compromesso.
"La variante del 2025 ha interrotto il supporto per il protocollo KCP e ha aggiunto la comunicazione multiplexing utilizzando una libreria di terze parti [smux] per la sua comunicazione C2 [comando e controllo]", ha affermato la Sophos Counter Threat Unit (CTU) in un rapporto di giovedì.
La società di sicurezza informatica ha affermato di aver rilevato due diversi tipi di Gokcpdoor che servono a casi d'uso distinti:
L'attacco è caratterizzato anche dall'implementazione del framework di post-sfruttamento Havoc su sistemi selezionati, con le catene di infezione che si basano sul caricamento laterale delle DLL per avviare un caricatore DLL denominato OAED Loader per iniettare i payload.
Tra gli altri strumenti utilizzati nell'attacco per facilitare lo spostamento laterale e l'esfiltrazione dei dati figurano goddi, uno strumento open source per lo scarico di informazioni su Active Directory; Remote Desktop, per l'accesso remoto tramite un tunnel backdoor; e 7-Zip.
È stato scoperto che gli autori della minaccia accedono anche a servizi cloud come io, LimeWire e Piping Server tramite il browser Web durante sessioni desktop remote, nel tentativo di esfiltrare i dati raccolti.
Non è la prima volta che Tick viene osservato sfruttare una vulnerabilità zero-day nelle sue campagne di attacco. Nell'ottobre 2017, Secureworks, di proprietà di Sophos, ha descritto dettagliatamente lo sfruttamento da parte del gruppo di hacker di una vulnerabilità di esecuzione di codice remoto (CVE-2016-7836) all'epoca non corretta in SKYSEA Client View, un software giapponese di gestione delle risorse IT, per compromettere i computer e rubare dati.
"Le organizzazioni aggiornano i server Lanscope vulnerabili in base alle esigenze dei propri ambienti", ha affermato Sophos TRU. "Le organizzazioni dovrebbero anche esaminare i server Lanscope connessi a Internet che hanno installato il programma client Lanscope (MR) o l'agente di rilevamento (DA) per determinare se vi sia una necessità aziendale di esporli pubblicamente".
(La notizia è stata aggiornata dopo la pubblicazione per includere una risposta di Sophos.)
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube