Um grupo de ameaças persistentes avançadas (APT) afiliado à China, Mustang Panda, foi identificado explorando o software Visual Studio Code em campanhas de espionagem destinadas a organizações governamentais no Sudeste Asiático.
“O Mustang Panda aproveitou o shell reverso incorporado do Visual Studio Code para se infiltrar em redes alvo”, afirmou Tom Fakterman, pesquisador da Unidade 42 da Palo Alto Networks. Ele a rotulou como uma “técnica relativamente nova” demonstrada pela primeira vez por Truvis Thornton em setembro de 2023.
Acredita-se que esta operação estenda uma campanha anterior contra um governo não identificado do Sudeste Asiático no final de setembro de 2023.
Ativo desde 2012, o Mustang Panda — também conhecido por pseudônimos como BASIN, Bronze President e RedDelta — frequentemente realiza espionagem visando instituições governamentais e religiosas na Europa e Ásia, particularmente em nações do Mar da China Meridional.
A campanha recente se destaca pelo uso do shell reverso do Visual Studio Code para executar código arbitrário e implantar payloads adicionais.
“Os invasores podem explorar a versão portátil do code.exe (executável do Visual Studio Code) ou uma instalação existente”, explicou Fakterman. “Ao executar o comando de túnel code.exe, os invasores obtêm um link que requer login no GitHub com sua própria conta.”
Após esta etapa, o invasor obtém acesso a um ambiente web do Visual Studio Code vinculado para a máquina comprometida, permitindo que eles executem comandos e criem novos arquivos.
Notavelmente, o uso malicioso desse método foi sinalizado pela primeira vez pela empresa holandesa de segurança cibernética mnemonic em relação a uma vulnerabilidade de dia zero nos produtos de gateway Check Point’s Network Security (CVE-2024-24919, pontuação CVSS: 8,6), que já foi corrigida.
De acordo com a Unidade 42, o Mustang Panda utilizou essa abordagem para implantar malware, conduzir reconhecimento e exfiltrar dados confidenciais. O agente da ameaça também aproveitou o OpenSSH para executar comandos, transferir arquivos e mover-se lateralmente dentro da rede.
Análises posteriores revelaram um cluster secundário de atividade “ocorrendo simultaneamente e às vezes nos mesmos endpoints”, que envolveu o malware ShadowPad — um backdoor modular comumente usado por grupos de espionagem chineses.
Ainda não se sabe se esses dois clusters de intrusão estão conectados ou se grupos diferentes estão “aproveitando o acesso um do outro”.
“Com base na análise forense e na linha do tempo, é plausível que esses clusters tenham se originado do mesmo agente de ameaça (Stately Taurus)”, disse Fakterman. “No entanto, outras explicações, como um esforço colaborativo entre dois grupos APT chineses, não podem ser descartadas.”
Fonte: TheHackerNews
