‘Bronze Butler’ (Tick) olarak takip edilen Çin bağlantılı siber casusluk aktörleri, Gokcpdoor kötü amaçlı yazılımlarının güncellenmiş bir sürümünü dağıtmak için Motex Lanscope Endpoint Manager güvenlik açığından sıfır gün olarak yararlandı.
Bu aktivitenin keşfi, tehdit aktörlerinin 2025 yılının ortalarında, gizli bilgileri çalmak için yama yapılmadan önce bu güvenlik açığından yararlandığını gözlemleyen Sophos araştırmacılarından geldi.
Bu saldırılarda yararlanılan kusur, Motex Lanscope Endpoint Manager sürüm 9.4.7.2 ve önceki sürümlerini etkileyen kritik bir istek kaynağı doğrulama kusuru olan CVE-2025-61932’dir. Kimliği doğrulanmamış saldırganların, özel hazırlanmış paketler aracılığıyla SİSTEM ayrıcalıklarıyla hedef üzerinde rastgele kod yürütmesine olanak tanır.
Motex, 20 Ekim 2025’te CVE-2025-61932 için düzeltmeler yayınladı; CISA, kusuru Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna geçen hafta ekledi ve federal kurumları 12 Kasım 2025’e kadar yama yapmaya çağırdı.
Ne satıcı ne de CISA, bültenlerinde tespit edilen kötüye kullanıma ilişkin belirli ayrıntıları paylaşmadı. Ancak Sophos’un son raporu, CVE-2025-61932’nin en az birkaç aydır bilgisayar korsanları tarafından istismar edildiğini gösteriyor.
Bronze Butler, saldırganların komuta ve kontrol (C2) altyapısıyla proxy bağlantısı kuran Gokcpdoor kötü amaçlı yazılımını hedeflere dağıtmak için CVE-2025-61932’den yararlandı.
Bu saldırılarda görülen en yeni versiyonda Gokcpdoor, KCP protokolüne olan desteğini bırakarak çoklanmış C2 iletişimini ekledi.
Kaynak: Sophos
Sophos araştırmacıları kötü amaçlı yazılımın iki çeşidini örnekledi; 38000 ve 38002 numaralı bağlantı noktalarındaki istemci bağlantılarını dinleyen bir sunucu uygulaması ve sabit kodlu C2 adreslerine bağlanan ve arka kapı işlevi gören bir istemci.
Bazı durumlarda saldırganlar bunun yerine Havoc C2 çerçevesini kullandı, ancak tüm durumlarda son veri yükü OAED Loader tarafından yüklendi ve kaçırmak için DLL yan yüklemesi kullanılarak meşru yürütülebilir dosyalara enjekte edildi.
Kaynak: Sophos
Sophos ayrıca Bronze Butler’ın veri sızdırma için goddi Active Directory dumper’ı, Uzak Masaüstü’nü ve 7-Zip arşivleme aracını kullandığını da bildirdi.
Bilgisayar korsanları muhtemelen bulut tabanlı depolama hizmetlerini sızma noktaları olarak kullandı; Sophos, io, LimeWire ve Piping Server’a erişim olduğunu belirtti.
Lanscope Endpoint Manager kullanan kuruluşların, müşterilerini CVE-2025-61932’yi adresleyen bir sürüme yükseltmeleri önerilir. Şu anda güvenlik açığına yönelik herhangi bir geçici çözüm veya hafifletme yöntemi bulunmadığından önerilen tek eylem yama uygulamaktır.