El grupo de amenaza persistente avanzada (APT) vinculado a China, conocido como Panda Mustang Se ha observado que utiliza el software Visual Studio Code como arma como parte de operaciones de espionaje dirigidas a entidades gubernamentales en el sudeste asiático.
“Este actor de amenazas utilizó la función de shell inverso integrada de Visual Studio Code para afianzarse en las redes objetivo”, dijo el investigador de la Unidad 42 de Palo Alto Networks, Tom Fakterman. dicho en un informe, describiéndolo como una “técnica relativamente nueva” que fue primero demostrado en septiembre de 2023 por Truvis Thornton.
Se considera que la campaña es una continuación de una actividad de ataque previamente documentada dirigida a una entidad gubernamental anónima del sudeste asiático a fines de septiembre de 2023.
Mustang Panda, también conocido por los nombres BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta y Red Lich, ha estado operativo desde 2012, realizando rutinariamente campañas de espionaje cibernético dirigidas a entidades gubernamentales y religiosas en Europa y Asia, particularmente aquellas ubicadas en países del Mar de China Meridional.
La última secuencia de ataque observada se destaca por el abuso del shell inverso de Visual Studio Code para ejecutar código arbitrario y entregar cargas útiles adicionales.
“Para abusar de Visual Studio Code con fines maliciosos, un atacante puede utilizar la versión portátil de code.exe (el archivo ejecutable de Visual Studio Code) o una versión ya instalada del software”, señaló Fakterman. “Al ejecutar el comando code.exe tunnel, un atacante recibe un enlace que le exige iniciar sesión en GitHub con su propia cuenta”.
Una vez completado este paso, el atacante es redirigido a un entorno web de Visual Studio Code que está conectado a la máquina infectada, lo que le permite ejecutar comandos o crear archivos nuevos.
Vale la pena señalar que el uso malicioso de esta técnica fue destacado previamente por la firma de ciberseguridad holandesa mnemonic en relación con la explotación de día cero de una vulnerabilidad en los productos de puerta de enlace de seguridad de red de Check Point (CVE-2024-24919, puntuación CVSS: 8,6) a principios de este año.
La Unidad 42 afirmó que el actor de Mustang Panda aprovechó el mecanismo para distribuir malware, realizar tareas de reconocimiento y extraer datos confidenciales. Además, se dice que el atacante utilizó OpenSSH para ejecutar comandos, transferir archivos y propagarse por la red.
Pero eso no es todo. Un análisis más detallado del entorno infectado ha revelado un segundo grupo de actividades “que se producen simultáneamente y a veces incluso en los mismos puntos finales” que utilizan el malware ShadowPad, una puerta trasera modular ampliamente compartida por los grupos de espionaje chinos.
Actualmente no está claro si estos dos conjuntos de intrusiones están relacionados entre sí o si dos grupos diferentes están “aprovechándose del acceso del otro”.
“Basándonos en las pruebas forenses y en la cronología, se podría concluir que estos dos grupos se originaron a partir del mismo actor de amenazas (Stately Taurus)”, dijo Fakterman. “Sin embargo, podría haber otras explicaciones posibles que expliquen esta conexión, como un esfuerzo colaborativo entre dos actores de amenazas APT chinos”.