Kelompok peretas China-linked Bronze Butler (Tick) kembali beraksi — kali ini dengan mengeksploitasi celah zero-day kritis pada Motex Lanscope Endpoint Manager untuk menyebarkan versi terbaru malware Gokcpdoor, menurut laporan terbaru dari Sophos.
🧩 Detail Kerentanan: CVE-2025-61932
Kerentanan yang dimanfaatkan, CVE-2025-61932, adalah request origin verification flaw dengan tingkat keparahan critical yang memengaruhi Lanscope Endpoint Manager versi 9.4.7.2 dan sebelumnya.
Celah ini memungkinkan penyerang menjalankan kode arbitrer dengan hak akses SYSTEM melalui crafted network packets tanpa perlu autentikasi.
- Ditemukan dieksploitasi sejak: pertengahan 2025
- Diperbaiki oleh Motex: 20 Oktober 2025
- Ditambahkan ke CISA KEV Catalog: 24 Oktober 2025
- Batas waktu patch untuk lembaga federal AS: 12 November 2025
Sophos menemukan bukti bahwa eksploitasi telah berlangsung beberapa bulan sebelum patch dirilis, menjadikannya zero-day aktif saat itu.
🦠 Gokcpdoor: Malware Baru dengan Komunikasi C2 Multiplexed
Melalui celah Lanscope, Bronze Butler menginstal Gokcpdoor, malware backdoor canggih yang:
- Membentuk koneksi proxy terenkripsi ke server C2,
- Kini meninggalkan protokol KCP dan beralih ke komunikasi multiplexed agar lebih sulit dilacak,
- Menyembunyikan dirinya dengan DLL sideloading ke executable sah,
- Dimuat melalui OAED Loader untuk menghindari deteksi antivirus.
Sophos mengidentifikasi dua varian Gokcpdoor:
- Server version – mendengarkan koneksi di port 38000 dan 38002.
- Client version – terkoneksi ke alamat C2 hard-coded dan berfungsi sebagai persistent backdoor.
Dalam beberapa kasus, kelompok ini juga menggunakan framework Havoc C2 untuk kendali tambahan.
🧰 Alat yang Digunakan untuk Eksfiltrasi Data
Selain Gokcpdoor, Bronze Butler juga menggunakan:
- goddi untuk Active Directory dumping,
- Remote Desktop untuk akses manual,
- 7-Zip untuk mengarsipkan data curian,
- Dan layanan penyimpanan cloud seperti io, LimeWire, dan Piping Server untuk menyalurkan data keluar jaringan target.
🏢 Siapa yang Terkena Dampak
Motex Lanscope banyak digunakan oleh:
- Perusahaan Jepang dan Asia Timur,
- Lembaga pemerintahan dan pendidikan,
- Organisasi dengan sistem endpoint management internal.
Celah ini sangat berisiko bagi organisasi yang belum memperbarui Lanscope, karena eksploitasi dapat memberikan akses administratif penuh tanpa autentikasi.
⚠️ Rekomendasi Mitigasi
Saat ini tidak ada solusi sementara (workaround).
Sophos dan CISA menyarankan segera memperbarui Lanscope Endpoint Manager ke versi terbaru yang menutup celah CVE-2025-61932.
Langkah tambahan:
- Audit sistem endpoint untuk mendeteksi aktivitas mencurigakan,
- Pantau port 38000–38002,
- Periksa file DLL dan proses tidak sah yang dimuat oleh OAED Loader.
📚 Kesimpulan
Eksploitasi zero-day Lanscope oleh Bronze Butler (Tick) menunjukkan peningkatan agresivitas kelompok siber China dalam menyerang sistem endpoint korporasi Asia.
Dengan Gokcpdoor versi terbaru dan metode C2 yang lebih canggih, serangan ini menandai babak baru dalam spionase siber terarah (APT) terhadap target pemerintah dan industri sensitif.
Sumber: Sophos, CISA