Главная

  1. Страницы
  2. Главная
Обложка статьи

КИТАЙСКИЕ ШПИОНЫ ПРОБИЛИ LANSCOPE

Новости · 03.11.2025
🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и реальные скиллы.

На горизонте снова дымится киберподвал — китайская APT-банда Bronze Butler (a.k.a. Tick) вытащила в продакшн свежую версию своей малвари Gokcpdoor, пробив корпоративные сети через нулевую дыру в Motex Lanscope Endpoint Manager. Всё по классике: уязвимость, неавторизованный доступ, SYSTEM-привилегии, слив данных, кофе остывает, C2 поёт.

Исследователи из Sophos выловили активность ещё в середине 2025-го, когда акторы катали эксплойт под CVE-2025-61932 — критическую брешь в Lanscope, которая позволяла выполнить любой код на устройстве жертвы. Всё, что нужно злоумышленнику, — пара хитро замешанных пакетов, и сервер уже под рутом. Фикс вышел 20 октября, но китайцы за это время успели выгрести тонны корпоративных секретов.

Bronze Butler действовали быстро: они катнули обновлённый Gokcpdoor, который теперь не возится со старым KCP-протоколом, зато получил мультиплексированный C2-канал — теперь управление ботами идёт как у приличных APT-групп, в HD-качестве и без задержек. Малварь делится на два вида — сервер и клиент. Сервер слушает 38000/38002 порты, клиент ломится по хардкодам на C2, открывая заднюю дверь в инфраструктуру.

В некоторых атаках ребята миксовали Havoc C2 — свеженький фреймворк для командования ботами. Но независимо от инструментария, всё упаковано через OAED Loader, который внедряет полезную нагрузку в легитимные бинарники через DLL sideloading, чтобы антивирь даже не пикнул. На выходе — тихий доступ, полный контроль, сбор инфы и уход в тень.

По данным Sophos, китайцы использовали классический набор для эксфила — goddi для дампа Active Directory, RDP для подхвата сессий, и 7-Zip, чтобы аккуратно запаковать всё украденное добро. Сливы шли не напрямую — данные грузились через облачные хранилища: io, LimeWire (да, оно живо), и Piping Server. Следов в логах — минимум, нервов у админов — ноль.

Сама брешь уже в списке CISA KEV, так что федагентам дали край — до 12 ноября 2025-го всё пропатчить. Никаких обходных манёвров не существует: нет патча — нет защиты. Lanscope 9.4.7.2 и ниже — это, по сути, открытка с надписью “взломай меня полностью”.

Sophos предупреждает: Bronze Butler не новичок — это те самые ребята, что годами ковыряют японские и южнокорейские компании, любят шпионить за технологиями и тихо сидят в сетях, пока не соберут всё, что движется. Gokcpdoor — их фирменный инструмент, и нынешний апдейт показывает, что Tick жив, бодр и снова вышел на охоту.

📘 Понравилась статья?
Больше практики — в Kraken Academy.
Подписывайся на наш Telegram-канал.
Рекомендуемые статьи
Обложка

Видит ли твой SOC ChatGPT?

Читать полностью →
Обложка

Мошенничество на Авито, Юле и других онлайн-площадках

Читать полностью →
Обложка

Grokking

Читать полностью →