近期的網路安全事件再次突顯了高階持續性威脅（APT）組織利用零日漏洞對全球企業發動精密攻擊的能力，尤其鎖定端點安全管理軟體等關鍵基礎設施。

與中國有關的網路間諜組織「青銅管家」（Tick）利用 Motex Lanscope Endpoint Manager 的零日漏洞部署了其 Gokcpdoor 惡意軟體的更新版本。這些攻擊利用的漏洞是 CVE-2025-61932，這是一個嚴重的請求來源驗證漏洞，影響 Motex Lanscope Endpoint Manager 9.4.7.2 及更早版本。它允許未經身份驗證的攻擊者透過精心建構的資料包，在目標系統上執行任意程式碼，並獲得 SYSTEM 權限。

資安研究人員的發現揭露，這個與中國相關的網路間諜組織「青銅管家」（亦稱 Tick）在漏洞修復程式發布之前，已利用這個零日漏洞進行了數個月的情報竊取活動。攻擊者利用該漏洞成功部署了他們自有的惡意軟體——Gokcpdoor 的更新版本。Gokcpdoor 是一種後門程式，能夠與駭客的命令與控制（C2）基礎設施建立代理連線，從而實現對目標系統的遠端控制與數據竊取。

在這次觀察到的最新攻擊版本中，Gokcpdoor 惡意軟體進行了技術升級，放棄了對 KCP 協議的支援，轉而增加了多路復用（multiplexed）的 C2 通訊功能，這使得其與外部的通訊更具彈性且難以追蹤。研究人員採樣了該惡意軟體的兩種變體：一種是伺服器端的實作，用於監聽特定埠的客戶端連線；另一種則是作為後門功能的客戶端，會連線到硬編碼的 C2 位址。

在某些情況下，「青銅管家」組織也使用了 Havoc C2 框架進行控制。無論採用哪種 C2 框架，最終的有效負載都是透過 OAED Loader 載入，並利用 DLL 側載（DLL sideloading）技術注入到合法的可執行檔案中，藉此達到規避安全偵測的目的。

除了部署後門程式外，「青銅管家」還在攻擊行動中使用了多種工具進行數據竊取和橫向移動。這包括 goddi Active Directory dumper，用於獲取 Active Directory 的敏感資訊；以及標準的遠端桌面（Remote Desktop）和 7-Zip 歸檔工具，用於打包和傳輸竊取的數據。駭客很可能利用了基於雲端的儲存服務作為數據外傳的端點，研究報告中也指出觀測到了對 io、LimeWire 和 Piping Server 等服務的存取。

Motex 於 2025 年 10 月 20 日發布了 CVE-2025-61932 的修復程序，CISA 上週將該漏洞添加到其已知利用漏洞 (KEV) 目錄中，敦促聯邦機構在 2025 年 11 月 12 日之前進行修補。目前，該漏洞尚無任何變通方案或緩解措施，因此安裝修補程式是唯一建議的措施。建議使用 Lanscope Endpoint Manager 的組織將其用戶端升級到能夠修復 CVE-2025-61932 漏洞的版本。

CISA 將此零日漏洞列入 KEV 目錄，強調了該漏洞被惡意利用的現實風險和嚴重性。由於端點管理解決方案通常具備極高的系統權限（如 SYSTEM 權限），對其的任何破壞都可能導致整個網路環境的深度滲透與全面淪陷。此事件再次提醒所有使用端點管理系統的組織，必須將安全修補視為網路防禦的首要任務，以避免成為國家級網路間諜活動的受害者。

資料來源：https://www.bleepingcomputer.com/news/security/china-linked-hackers-exploited-lanscope-flaw-as-a-zero-day-in-attacks/