Recentemente, il gruppo di minaccia persistente avanzata (APT) noto come Mustang Panda è stato osservato mentre sfruttava il software Visual Studio Code per operazioni di spionaggio informatico mirate a enti governativi nel Sud-Est asiatico. Questo gruppo, legato alla Cina, ha utilizzato la funzione di reverse shell incorporata in Visual Studio Code per penetrare nelle reti bersaglio. Questa tecnica, considerata relativamente nuova, è stata dimostrata per la prima volta nel settembre 2023 da Truvis Thornton.

La campagna in corso sembra essere una continuazione di un'attività di attacco documentata in precedenza, che ha preso di mira un'entità governativa del Sud-Est asiatico non specificata alla fine di settembre 2023. Mustang Panda, operativo dal 2012, ha condotto numerose campagne di spionaggio informatico contro enti governativi e religiosi in Europa e Asia, concentrandosi in particolare sui paesi del Mar Cinese Meridionale.

L'ultima sequenza di attacchi osservata si distingue per l'abuso della reverse shell di Visual Studio Code per eseguire codice arbitrario e distribuire payload aggiuntivi. Per sfruttare Visual Studio Code a scopi dannosi, l'attaccante può utilizzare la versione portatile di code.exe o una versione già installata del software. Eseguendo il comando "code.exe tunnel", l'attaccante riceve un link che richiede l'accesso a GitHub con il proprio account. Una volta completato questo passaggio, l'attaccante viene reindirizzato a un ambiente web di Visual Studio Code collegato alla macchina infetta, consentendo l'esecuzione di comandi o la creazione di nuovi file.

L'uso dannoso di questa tecnica è stato precedentemente evidenziato dall'azienda di cybersecurity olandese mnemonic in relazione allo sfruttamento di una vulnerabilità zero-day, ora risolta, nei prodotti di sicurezza di rete di Check Point (CVE-2024-24919, punteggio CVSS: 8.6) all'inizio di quest'anno. Secondo Unit 42, l'attore Mustang Panda ha utilizzato questo meccanismo per consegnare malware, effettuare ricognizioni ed esfiltrare dati sensibili. Inoltre, l'attaccante avrebbe utilizzato OpenSSH per eseguire comandi, trasferire file e diffondersi attraverso la rete.

Un'analisi più approfondita dell'ambiente infetto ha rivelato un secondo cluster di attività "che si verificano simultaneamente e talvolta anche sugli stessi endpoint" utilizzando il malware ShadowPad, un backdoor modulare ampiamente utilizzato dai gruppi di spionaggio cinesi. Non è chiaro se questi due set di intrusioni siano collegati l'uno all'altro o se due gruppi diversi stiano "approfittando dell'accesso reciproco".

In base alle prove forensi e alla timeline, si potrebbe concludere che questi due cluster provengano dallo stesso attore di minaccia (Stately Taurus). Tuttavia, potrebbero esserci altre spiegazioni possibili, come una collaborazione tra due attori di minaccia APT cinesi.