Motex Lanscope

Um grupo de ciberespionagem conhecido como Tick, também chamado de Bronze Butler, tem explorado uma vulnerabilidade crítica no Motex Lanscope Endpoint Manager, identificada como CVE-2025-61932, com uma pontuação CVSS de 9.3. Essa falha permite que atacantes remotos executem comandos arbitrários com privilégios de sistema em versões locais do software. O JPCERT/CC confirmou que a vulnerabilidade está sendo ativamente utilizada para instalar um backdoor em sistemas comprometidos. A campanha sofisticada, observada pela Sophos, utiliza um backdoor chamado Gokcpdoor, que estabelece uma conexão proxy com um servidor remoto e permite a execução de comandos maliciosos. Além disso, o ataque envolve o uso do framework Havoc para pós-exploração e ferramentas como goddi e Remote Desktop para movimentação lateral e exfiltração de dados. O Tick já havia sido observado explorando falhas zero-day em campanhas anteriores, como em 2017, quando comprometeu o SKYSEA Client View. A Sophos recomenda que as organizações atualizem seus servidores Lanscope vulneráveis e revisem a necessidade de expô-los publicamente na internet.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança crítica no Motex Lanscope Endpoint Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-61932, possui uma pontuação CVSS v4 de 9.3 e afeta versões locais do Lanscope, especificamente o programa Cliente e o Agente de Detecção. Essa falha permite que atacantes executem código arbitrário em sistemas vulneráveis ao enviar pacotes especialmente elaborados. A CISA recomenda que as agências do Federal Civilian Executive Branch (FCEB) remedeiem essa vulnerabilidade até 12 de novembro de 2025, a fim de proteger suas redes. Embora ainda não se saiba como a vulnerabilidade está sendo explorada em ataques reais, o portal japonês Japan Vulnerability Notes (JVN) informou que um cliente da Motex recebeu um pacote malicioso suspeito de visar essa falha. As versões afetadas são as 9.4.7.1 e anteriores, enquanto as versões corrigidas incluem a 9.4.6.3.