اکسپلویت از آسیبپذیری حیاتی با شناسه CVE-2025-61932 (امتیاز 9.3) که اخیرا در Motex Lanscope Endpoint Manager افشا شده است، به گروه جاسوسی سایبری Tick نسبت داده شده است.
این نقص امنیتی به نفوذگران از راه دور اجازه اجرای دستورات دلخواه با سطح دسترسی SYSTEM روی نسخههای پیشفرض برنامه را میدهد. عامل جاسوسی سایبری چینی Tick (که با عناوین Bronze Butler، Daserf، REDBALDKNIGHT، Stalker Panda، Stalker Taurus و Swirl Typhoon (Tellurium سابق) نیز شناخته میشود)، به دلیل هدفگیری گسترده شرق آسیا به ویژه ژاپن، شناخته میشود و حداقل از 2006 فعال بوده است.
این کمپین پیچیده توسط شرکت Sophos مشاهده شد، شامل اکسپلویت از این نقص امنیتی برای ارائه بدافزار شناختهشده Gokcpdoor است که میتواند اتصال پروکسی با سرور از راه دور برقرار و به عنوان دربپشتی برای اجرای دستورات مخرب روی هاست آسیبپذیر عمل کند. Gokcpdoor در نسخه 2025، پشتیبانی از پروتکل KCP را متوقف و ارتباط چندگانه با استفاده از کتابخانه شخص ثالث برای ارتباط C2 خود اضافه کرد.
حملات مشاهده شده با استقرار چارچوب پس از اکسپلویت Havoc در سیستمهای منتخب همراه بوده، زنجیرههای آلودگی نیز به بارگذاری جانبی DLL برای راهاندازی لودر DLL به نام OAED Loader جهت تزریق پیلودها متکی هستند.
https://thehackernews.com/2025/10/china-linked-tick-group-exploits.html
