g0060-bronze-butler

# BRONZE BUTLER ## Visão Geral O **BRONZE BUTLER** (também rastreado como **Tick**, **Swirl Typhoon** e **REDBALDKNIGHT**) e um grupo de espionagem cibernética com origem chinesa, ativo desde pelo menos **2006** e com foco quase exclusivo no **Jápao**. O grupo e um dos mais persistentes contra alvos jáponeses: 20 anos de operações continuas com renovacao constante de toolset, especializado em comprometer empresas de manufatura, tecnologia, biotecnologia e setores de energia que detem propriedade intelectual de alto valor estratégico para a China. O marco mais recente do grupo (2025) foi o uso de uma **zero-day em produto jápones de gerenciamento de ativos** (Motex LANSCOPE Endpoint Manager) para ganhar privilegios SYSTEM - historicamente a segunda vez que o grupo explora zero-days em software jápones de IT asset management (o primeiro foi o SKYSEA Client View em 2016). A CISA adicionou o **CVE-2025-61932** ao KEV em 22 de outubro de 2025 - no mesmo dia em que o JPCERT/CC emitiu alerta. O malware **Gokcpdoor** (variante 2025) evoluiu para usar multiplexacao via biblioteca smux, abandonando o protocolo KCP anterior. > Organizacoes que usam **LANSCOPE Endpoint Manager** em versoes on-premise devem aplicar o patch urgentemente - CVE-2025-61932 esta no CISA KEV com exploração ativa confirmada. ```mermaid graph TB A["CVE-2025-61932 RCE LANSCOPE zero-day SYSTEM privileges"] --> B["OAED Loader Injeta payload em executavel legitimo"] B --> C["Gokcpdoor 2025 Backdoor C2 smux multiplexing"] C --> D["Reconhecimento AD goddi dump RDP via tunnel"] D --> E["Exfiltração 7-Zip + file.io LimeWire / Piping Server"] style A fill:#e74c3c,color:#fff style B fill:#8e44ad,color:#fff style C fill:#e67e22,color:#fff style D fill:#2980b9,color:#fff style E fill:#196f3d,color:#fff ``` ## Atribuicao BRONZE BUTLER e atribuido a China com **media-alta confiança** com base em: - Foco geografico exclusivo em Jápao e vizinhos (Korea do Sul, Russia) - alinhado com interesses estratégicos chineses de inteligência industrial - Uso de malware exclusivo (Daserf, Gokcpdoor) sem relacao com outros atores - Reutilização de infraestrutura e técnicas ao longo de 15+ anos documentados - Padroes de horario de operação consistentes com UTC+8 (China Standard Time) - Microsoft rebrandou o grupo como "Swirl Typhoon" dentro da nomenclatura Typhoon da China ## Arsenal - Evolução 2006-2025 | Período | Ferramenta | Novidade | |---------|-----------|----------| | 2006-2012 | Ferramentas públicas + Daserf | RAT customizado para targets jáponeses | | 2013-2017 | ABK, BBK, build_downer, down_new | Downloaders modulares especializados | | 2016 | SKYSEA Client View 0-day | Primeiro zero-day em software jápones IT management | | 2018-2022 | Daserf variantes | Web C2, VBS scripts | | 2023 | Gokcpdoor (protocolo KCP) | Backdoor com proxy C2 | | 2025 | Gokcpdoor (smux multiplex) + CVE-2025-61932 | Zero-day LANSCOPE, protocolo atualizado | ### [[cve-2025-61932|CVE-2025-61932]] - Destaque 2025 **CVSS: 9.3 (Critico) | CISA KEV: Sim | Patch: Disponível** Vulnerabilidade no **Motex LANSCOPE Endpoint Manager** (produto jápones de gerenciamento de ativos) que permite execução remota de comandos com privilegios SYSTEM. A CISA adicionou ao KEV em 22/out/2025, mesmo dia do alerta do JPCERT/CC. O BRONZE BUTLER foi o primeiro grupo a explorar esta vulnerabilidade - mas com divulgacao pública, outros atores podem tentar replicar. ### [[gokcpdoor|Gokcpdoor]] 2025 - Evolução técnica O backdoor Gokcpdoor foi atualizado em 2025 com mudanças significativas: - **Protocolo**: abandono do KCP (UDP-based) para **smux (TCP multiplexing)** via biblioteca terceira - maior compatibilidade com firewalls corporativos - **Dois modos operacionais**: - Modo Servidor: aguarda conexoes em portas configuradas (38000 ou 38002) - Modo Cliente: conecta a C2 hardcoded, cria tunel de backdoor - **OAED Loader**: injeta payload em executavel legitimo para ofuscar fluxo de execução - **Alternativa**: Havoc C2 framework em alguns alvos (em vez de Gokcpdoor) - **Exfiltração**: 7-Zip + servicos de compartilhamento (file.io, LimeWire, Piping Server) - **Reconhecimento AD**: ferramenta goddi para dump do Active Directory ## Campanhas Notaveis ```mermaid graph TB C1["2006-2012 Campanha inicial Jápao Daserf RAT"] --> C2["2016 SKYSEA Client View 0-day Primeiro zero-day jápones"] C2 --> C3["2017-2019 Campanhas supply chain Componentes eletronica"] --> C4["2023 Gokcpdoor v1 Protocolo KCP"] C4 --> C5["Mid-2025 LANSCOPE CVE-2025-61932 Gokcpdoor smux + Havoc"] --> C6["Out 2025 CISA KEV + JPCERT alert Divulgacao publica"] style C1 fill:#7f8c8d,color:#fff style C2 fill:#e67e22,color:#fff style C3 fill:#2980b9,color:#fff style C4 fill:#8e44ad,color:#fff style C5 fill:#e74c3c,color:#fff style C6 fill:#c0392b,color:#fff ``` | Período | Alvo | Vetor | Malware | Destaque | |---------|------|-------|---------|----------| | 2016 | Empresas jáponesas | SKYSEA Client View 0-day | Daserf RAT | Primeiro zero-day em IT management software jápones | | 2017 | Organização de controle de acesso Jápao | Supply chain comprometido | Daserf | Malware injetado em updates legitimos | | 2023 | Empresas jáponesas | Spearphishing | Gokcpdoor v1 (KCP) | Novo backdoor com proxy C2 | | Mid-2025 | Setores alinhados com objetivos chineses | CVE-2025-61932 | Gokcpdoor (smux) + Havoc | Zero-day LANSCOPE, CISA KEV | ## Técnicas de Ataque - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração CVE-2025-61932 - [[t1068-exploitation-for-privilege-escalation|T1068 - Privilege Escalation]] - de usuario normal para SYSTEM via LANSCOPE - [[t1055-012-process-hollowing|T1055 - Process Injection via OAED Loader]] - payload injetado em executavel legitimo - [[t1574-001-dll|T1574.001 - DLL Side-Loading]] - Gokcpdoor carregado como oci.dll - [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] - movimento lateral via tunel Gokcpdoor - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable Security Tools]] - evasão de detecção - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode]] - payloads obfuscados pelo OAED Loader ## Relevância para o Brasil e LATAM BRONZE BUTLER concentra operações no Jápao com foco em espionagem industrial. O Brasil tem relevância moderada: **Risco indireto por cadeias produtivas:** - Empresas jáponesas comprometidas pelo grupo frequentemente tem **subsidiarias ou parcerias no Brasil** - especialmente nos setores automotivo (Toyota, Honda, Denso), eletronico (Sony, Panasonic, Hitachi) e biotecnologia - Comprometimento de uma matriz jáponesa pode dar acesso a dados de subsidiaria brasileira via redes corporativas interligadas - um risco de **lateral movement geografico** **Relevância técnica para SOCs brasileiros:** - A técnica de **zero-day em software de IT asset management** (SKYSEA 2016, LANSCOPE 2025) demonstra que ferramentas de monitoramento corporativo sao vetores de ataque de alta eficacia - qualquer software similar usado no Brasil deve ser prioridade de patching - O **CVE-2025-61932** esta no CISA KEV e organizacoes com filiais jáponesas devem auditar o uso de LANSCOPE - O modelo **Gokcpdoor smux** e um backdoor discreto que contorna firewalls corporativos via TCP multiplexado - técnica documentada relevante para regras de detecção em SOCs LATAM **Setores brasileiros em risco potencial:** [[technology|tecnologia]], [[manufacturing|manufatura]], [[biotechnology|biotecnologia]], [[automotive|automotivo]] com relacoes com Jápao. ## Referências - [Sophos CTU - BRONZE BUTLER LANSCOPE (Out 2025)](https://news.sophos.com/en-us/2025/10/30/bronze-butler-exploits-jápanese-asset-management-software-vulnerability/) - [The Hacker News - Tick CVE-2025-61932 (Out 2025)](https://thehackernews.com/2025/10/china-linked-tick-group-exploits.html) - [SecurityOnline - Gokcpdoor 2025 Analysis](https://securityonline.info/chinese-apt-bronze-butler-exploits-lanscope-zero-day-for-system-control/) - [CISA KEV - CVE-2025-61932](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [JPCERT/CC - LANSCOPE Advisory (Out 2025)](https://jpcert.or.jp) - [MITRE ATT&CK - G0060](https://attack.mitre.org/groups/G0060/)