LANSCOPE の脆弱性 CVE-2025-61932:中国政府が支援する BRONZE BUTLER が悪用

Threat Actors Exploit LANSCOPE Endpoint Manager Zero-Day Vulnerability to Steal Confidential Data

2025/10/31 gbhackers — 2025年の半ばに、Sophos Counter Threat Unit (CTU) の研究者たちが公表したのは、中国政府が支援する BRONZE BUTLER の脅威アクターが、MOTEX LANSCOPE Endpoint Manager の深刻なゼロデイ脆弱性 CVE-2025-61932 を悪用したことである。この攻撃者は、企業ネットワークへの不正アクセスと機密データの窃取を試みる、高度なサイバー攻撃キャンペーンを展開していた。この発見が示すのは、10年以上にわたりサイバー・セキュリティの脅威状況において大きな存在感を示してきた、この高度な脅威グループによる攻撃パターンの新たな兆しである。

BRONZE BUTLER (別名 Tick) は 2010年から活動しており、特に日本の組織や政府機関を標的としてきた。

このグループの活動履歴は、日本市場で広く普及しているセキュリティ/マネージメント・ソフトウェアの脆弱性を特定し、悪用するという一貫した戦略を示している。

特筆すべき点として、2016年に BRONZE BUTLER は、別の日本製エンドポイント管理ソリューションである SKYSEA Client View にゼロデイ・エクスプロイトを仕掛けることに成功している。このインシデントが示すのは、このグループが標的環境に関する深い知識を持ち、日本のインフラの継続的な侵害に注力してきたことだ。 LANSCOPE Endpoint Manager に対する今回の攻撃キャンペーンは、この憂慮すべきトレンドが継続していることを示している。

2025年10月22日に Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) が LANSCOPE の脆弱性を正式に公表し、それと同日に、この脆弱性は米国の CISA KEV に追加されている。

国際的なサイバー・セキュリティ当局による迅速な対応が浮き彫りにするのは、この脅威の深刻さと、脆弱な LANSCOPE システムを運用する組織が直面するリスクである。

LANSCOPE Endpoint Manager のゼロデイ脆弱性

今回の攻撃で悪用された LANSCOPE の脆弱性 CVE-2025-61932 は、リモート攻撃者に対して、SYSTEM レベルの権限で任意のコマンド実行を許す深刻なセキュリティ欠陥である。

この最高レベルのアクセス権を悪用する脅威アクターは、侵害したホストの完全な制御を可能にするため、バックドアのインストール/システム・コンフィグの変更に加えて、企業ネットワーク内におけるラテラル・ムーブメントも実行できる。

この脅威アクターは、バックドアを機能させるだけではなく、検出と分析を困難にするために OAED Loader マルウェアを展開し、正規の実行ファイルに悪意のあるペイロードを挿入することで実行フローを隠蔽していた。

Execution flow utilizing OAED Loader.
Execution flow utilizing OAED Loader.


Sophos CTU の分析によると、インターネットに接続された LANSCOPE デバイスの数は少ないため、このエクスプロイトの影響範囲は限定されるが、それでも深刻な被害が予測されるという。

すでに侵害したネットワーク内で、この脆弱性を悪用する攻撃者は、権限昇格やラテラル・ムーブメントなどを実行し、組織のインフラ全体を侵害する可能性がある。

その後に脅威アクターは、窃取したデータを 7-Zip で圧縮し、Piping Server や LimeWire などを介してクラウド・ストレージ・サービスに流出させた。これらのサービスは、リモート・セッション中に Web ブラウザから直接アクセスされる。

標的ネットワーク内で永続的なアクセスを確立し、長期的なプレゼンスを維持しようとする高度な脅威アクターにとって、リモート実行機能と SYSTEM レベルの権限の組み合わせは理想的なシナリオを作り出す。

高度なマルウェア・インフラ

BRONZE BUTLER 攻撃キャンペーンの技術的な洗練度は、当初の攻撃ベクターをはるかに超えている。 Secureworks CTU の研究者たちは、この攻撃者が Gokcpdoor マルウェアを展開していることを確認した。この Gokcpdoor は、2023年の脅威インテリジェンス・レポートで報告されているカスタム・バックドアである。

Comparison of internal function names in the 2023 (left) and 2025 (right) Gokcpdoor samples.
Comparison of internal function names in the 2023 (left) and 2025 (right) Gokcpdoor samples.

2025年版の Gokcpdoor 亜種は大きな進化を遂げており、従来の KCP プロトコルのサポートを廃止し、サードパーティ製の C2 (Command and Control) ライブラリを用いることで多重化された通信を達成している。

この近代化が示唆するのは、 BRONZE BUTLER がアクティブな開発チームを維持し、マルウェアの武器庫を継続的に改良していることだ。

このグループは、運用目的が異なる2種類の Gokcpdoor 亜種を展開している。そのサーバ亜種は、リスニング・エンドポイントとして機能し、38000 や 38002 などの特定のポートを介して、クライアントからの着信接続を受け付け、リモート・アクセス機能を提供する。

その一方で、クライアント型亜種は、ハードコードされた C2 サーバへの接続を開始し、永続的なバックドアとして機能する通信トンネルを確立する。特定のネットワーク・セグメントにおいては、BRONZE BUTLER は Gokcpdoor を Havoc C2 フレームワークに置き換え、運用の柔軟性と複数の攻撃ツールへのアクセスを実証している。

最初の足掛かりを確立した後の BRONZE BUTLER は、Active Directory 偵察用の goddi などの正規ツールと、RDP アプリケーションを組み合わせて、ラテラル・ムーブメントを容易にしていく。

LANSCOPE Endpoint Manager を導入している組織にとって必要なことは、脆弱なシステムへの即時パッチ適用を優先し、インターネットに接続された LANSCOPE サーバの包括的なレビューを実施することで、公開が必要なビジネス要件を判断することである。

検出と指標
IndicatorTypeContext
932c91020b74aaa7ffc687e21da0119cMD5 hashGokcpdoor variant used by BRONZE BUTLER (oci.dll)
be75458b489468e0acdea6ebbb424bc898b3db29SHA1 hashGokcpdoor variant used by BRONZE BUTLER (oci.dll)
3c96c1a9b3751339390be9d7a5c3694df46212fb97ebddc074547c2338a4c7baSHA256 hashGokcpdoor variant used by BRONZE BUTLER (oci.dll)
4946b0de3b705878c514e2eead096e1eMD5 hashHavoc sample used by BRONZE BUTLER (MaxxAudioMeters64LOC.dll)
1406b4e905c65ba1599eb9c619c196fa5e1c3bf7SHA1 hashHavoc sample used by BRONZE BUTLER (MaxxAudioMeters64LOC.dll)
9e581d0506d2f6ec39226f052a58bc5a020ebc81ae539fa3a6b7fc0db1b94946SHA256 hashHavoc sample used by BRONZE BUTLER (MaxxAudioMeters64LOC.dll)
8124940a41d4b7608eada0d2b546b73c010e30b1SHA1 hashgoddi tool used by BRONZE BUTLER (winupdate.exe)
704e697441c0af67423458a99f30318c57f1a81c4146beb4dd1a88a88a8c97c3SHA256 hashgoddi tool used by BRONZE BUTLER (winupdate.exe)
38[.]54[.]56[.]57IP addressGokcpdoor C2 server used by BRONZE BUTLER; uses TCP port 443
38[.]54[.]88[.]172IP addressHavoc C2 server used by BRONZE BUTLER; uses TCP port 443
38[.]54[.]56[.]10IP addressConnected to ports opened by Gokcpdoor variant used by BRONZE BUTLER
38[.]60[.]212[.]85IP addressConnected to ports opened by Gokcpdoor variant used by BRONZE BUTLER
108[.]61[.]161[.]118IP addressConnected to ports opened by Gokcpdoor variant used by BRONZE BUTLER

LANSCOPE の未修正ゼロデイCVE-2025-61932 を悪用する攻撃者は、認証を必要とせずに、SYSTEM 権限でリモート実行を可能にします。その一方で、BRONZE BUTLER は日本環境の普及状況や運用実態を熟知し、OAED Loader や進化した Gokcpdoor で実行フローや C2 通信を隠蔽し、高権限化 → ラテラルムーブ → 永続化へとつなげていくと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、2025/10/21 の「LANSCOPE の脆弱性 CVE-2025-61932 が FIX:ユーザーの操作を必要としない RCE」を、ご参照ください。