Vào giữa năm 2025, các nhà nghiên cứu từ Đơn vị Chống Mối đe dọa (CTU) của Secureworks đã phát hiện một chiến dịch mạng tinh vi. Trong chiến dịch này, các tác nhân đe dọa được nhà nước Trung Quốc tài trợ, thuộc nhóm BRONZE BUTLER, đã khai thác một lỗ hổng zero-dayCVE nghiêm trọng trong Motex LANSCOPE Endpoint Manager. Mục tiêu của họ là giành quyền truy cập trái phép vào các mạng doanh nghiệp và trích xuất dữ liệu nhạy cảm.

Phát hiện này đánh dấu một chương mới trong chuỗi dài các hoạt động khai thác của nhóm đe dọa tiên tiến này, vốn đã duy trì sự hiện diện đáng kể trong bối cảnh an ninh mạng suốt hơn một thập kỷ qua.

BRONZE BUTLER: Nhóm APT Trung Quốc với Mối đe dọa Mạng Tập trung

BRONZE BUTLER, còn được biết đến với tên gọi Tick, đã hoạt động từ năm 2010. Nhóm này duy trì sự tập trung đặc biệt vào việc nhắm mục tiêu vào các tổ chức và thực thể chính phủ Nhật Bản.

Lịch sử hoạt động của nhóm cho thấy một chiến lược nhất quán: xác định và khai thác các lỗ hổng trong phần mềm quản lý và bảo mật Nhật Bản được triển khai rộng rãi.

Đáng chú ý, vào năm 2016, BRONZE BUTLER đã thành công triển khai một cuộc khai thác zero-day chống lại một giải pháp quản lý điểm cuối khác của Nhật Bản, SKYSEA Client View. Điều này chứng tỏ kiến thức sâu sắc của nhóm về môi trường mục tiêu và sự tập trung liên tục vào hạ tầng Nhật Bản. Chiến dịch mới chống lại LANSCOPE Endpoint Manager này là sự tiếp nối của xu hướng đáng lo ngại đó.

Phân tích Lỗ hổng Zero-Day CVE-2025-61932

Trung tâm Điều phối Ứng cứu Khẩn cấp Máy tính Nhật Bản (JPCERT/CC) đã chính thức công bố lỗ hổng LANSCOPE vào ngày 22 tháng 10 năm 2025. Cùng ngày, Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã bổ sung cuộc khai thác zero-day này vào Danh mục các Lỗ hổng đã bị Khai thác (Known Exploited Vulnerabilities Catalog) của mình. Sự phản ứng nhanh chóng này từ các cơ quan an ninh mạng quốc tế nhấn mạnh mức độ nghiêm trọng của mối đe dọa và rủi ro tức thời đối với các tổ chức đang vận hành hệ thống LANSCOPE dễ bị tổn thương. Bạn có thể tham khảo danh mục này tại CISA KEV Catalog.

Lỗ hổng được khai thác trong chiến dịch này, định danh là CVE-2025-61932, đại diện cho một lỗi bảo mật nghiêm trọng. Lỗ hổng này cho phép những kẻ tấn công từ xa thực thi các lệnh tùy ý với đặc quyền SYSTEM-level trên các hệ thống bị ảnh hưởng.

Mức truy cập cao nhất này cung cấp cho các tác nhân đe dọa toàn quyền kiểm soát các máy chủ bị xâm nhập, cho phép họ cài đặt backdoor, sửa đổi cấu hình hệ thống và di chuyển ngang trong toàn bộ mạng doanh nghiệp mà không bị phát hiện.

Thông tin chi tiết về cuộc khai thác zero-day này có thể được tìm thấy qua báo cáo bảo mật đáng tin cậy: Sophos News – BRONZE BUTLER Exploits Japanese Asset Management Software Vulnerability.

Chiến dịch Tấn công Mạng và Công cụ của BRONZE BUTLER

Giai đoạn Khai thác và OAED Loader

Để gây khó khăn cho việc phát hiện và phân tích, các tác nhân đe dọa đã triển khai mã độc OAED Loader cùng với các backdoor. Mã độc này tiêm các payload độc hại vào các tệp thực thi hợp pháp để che giấu luồng thực thi.

Phân tích của CTU cho thấy mặc dù số lượng thiết bị LANSCOPE hướng ra internet dễ bị tổn thương bởi cuộc khai thác zero-day này là tương đối hạn chế, tác động của nó vẫn rất đáng kể. Kẻ tấn công lợi dụng lỗ hổng này trong các mạng đã bị xâm nhập có thể thực hiện các cuộc tấn công leo thang đặc quyền và các hoạt động di chuyển ngang, có khả năng xâm phạm toàn bộ cơ sở hạ tầng của một tổ chức.

Mã độc Gokcpdoor và Khung C2 Havoc

Sự tinh vi về mặt kỹ thuật của chiến dịch BRONZE BUTLER này mở rộng vượt ra ngoài vector khai thác ban đầu. Các nhà nghiên cứu CTU đã xác nhận rằng kẻ tấn công đã triển khai mã độc Gokcpdoor, một backdoor tùy chỉnh đã được ghi nhận trong các báo cáo tình báo về mối đe dọa năm 2023.

Biến thể Gokcpdoor năm 2025 thể hiện một sự tiến hóa đáng kể, ngừng hỗ trợ giao thức KCP cũ để chuyển sang giao tiếp đa kênh (multiplexing) sử dụng các thư viện bên thứ ba cho lưu lượng điều khiển và kiểm soát (C2).

Sự hiện đại hóa này cho thấy BRONZE BUTLER duy trì các nhóm phát triển tích cực, liên tục cải thiện kho vũ khí mã độc của họ.

Nhóm đã triển khai hai biến thể Gokcpdoor riêng biệt với các mục đích hoạt động khác nhau. Biến thể máy chủ hoạt động như một điểm cuối lắng nghe, chấp nhận các kết nối client đến trên các cổng được chỉ định bao gồm 38000 và 38002, đồng thời cung cấp khả năng truy cập từ xa. Biến thể client khởi tạo các kết nối đến các máy chủ C2 được mã hóa cứng, thiết lập các kênh liên lạc hoạt động như các backdoor dai dẳng.

Trong một số phân đoạn mạng, BRONZE BUTLER đã thay thế Gokcpdoor bằng khung C2 Havoc, thể hiện sự linh hoạt trong hoạt động và khả năng tiếp cận nhiều công cụ tấn công khác nhau.

Các Hoạt động Hậu Khai thác và Đánh cắp Dữ liệu

Sau khi thiết lập chỗ đứng ban đầu, BRONZE BUTLER đã sử dụng các công cụ hợp pháp bao gồm goddi để trinh sát Active Directory kết hợp với các ứng dụng máy tính từ xa nhằm tạo điều kiện cho việc di chuyển ngang.

Các tác nhân đe dọa sau đó đã nén dữ liệu bị đánh cắp bằng 7-Zip trước khi đánh cắp thông tin qua các dịch vụ lưu trữ đám mây bao gồm Piping Server và LimeWire, được truy cập trực tiếp qua trình duyệt web trong các phiên làm việc từ xa.

Sự kết hợp giữa khả năng thực thi từ xa và đặc quyền cấp SYSTEM tạo ra một kịch bản lý tưởng cho các tác nhân đe dọa tinh vi tìm cách thiết lập quyền truy cập dai dẳng và duy trì sự hiện diện lâu dài trong các mạng mục tiêu.

Chỉ số Thỏa hiệp (IOCs)

Dựa trên chiến dịch tấn công mạng này, các chỉ số thỏa hiệp chính bao gồm:

• Nhóm Tác nhân Đe dọa: BRONZE BUTLER (Tick)
• Lỗ hổng Khai thác: CVE-2025-61932 (lỗ hổng zero-day trong Motex LANSCOPE Endpoint Manager)
• Mã độc được triển khai: OAED Loader, Gokcpdoor (biến thể server/client)
• Khung C2: Gokcpdoor (với các cổng 38000, 38002), Havoc C2 framework
• Công cụ Hậu khai thác: goddi (cho trinh sát Active Directory), 7-Zip (cho nén dữ liệu)
• Dịch vụ Exfiltration: Piping Server, LimeWire (truy cập qua trình duyệt web)

Biện pháp Giảm thiểu và Bản Vá Bảo Mật

Các tổ chức đang vận hành triển khai LANSCOPE Endpoint Manager nên ưu tiên vá lỗi ngay lập tức cho các hệ thống dễ bị tổn thương. Đây là một hành động khẩn cấp để bảo vệ trước các mối đe dọa.

Ngoài ra, cần tiến hành rà soát toàn diện các máy chủ LANSCOPE hướng ra internet để xác định các yêu cầu kinh doanh hợp pháp cho việc tiếp xúc công khai. Hạn chế tối đa các điểm tiếp xúc không cần thiết với internet nhằm giảm thiểu bề mặt tấn công. Việc áp dụng bản vá bảo mật kịp thời là then chốt để ngăn chặn các cuộc khai thác tương tự trong tương lai.