O grupo de ameaças persistentes avançadas (APT) ligado à China, conhecido como Panda Mustang foi observado usando o software program Visible Studio Code como arma como parte de operações de espionagem visando entidades governamentais no Sudeste Asiático.
“Esse agente de ameaça usou o recurso de shell reverso incorporado do Visible Studio Code para ganhar uma posição nas redes alvo”, disse o pesquisador da Unidade 42 da Palo Alto Networks, Tom Fakterman, em um relatório, descrevendo-o como uma “técnica relativamente nova” que foi demonstrada pela primeira vez em setembro de 2023 por Truvis Thornton.
A campanha é avaliada como uma continuação de uma atividade de ataque previamente documentada, direcionada a uma entidade governamental não identificada do Sudeste Asiático, no closing de setembro de 2023.
O Mustang Panda, também conhecido pelos nomes BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta e Crimson Lich, está em operação desde 2012, conduzindo rotineiramente campanhas de espionagem cibernética visando entidades governamentais e religiosas na Europa e na Ásia, especialmente aquelas localizadas em países do Mar da China Meridional.
A última sequência de ataque observada é notável pelo abuso do shell reverso do Visible Studio Code para executar código arbitrário e entregar cargas adicionais.
“Para abusar do Visible Studio Code para propósitos maliciosos, um invasor pode usar a versão portátil do code.exe (o arquivo executável do Visible Studio Code) ou uma versão já instalada do software program”, observou Fakterman. “Ao executar o comando code.exe tunnel, um invasor recebe um hyperlink que exige que ele faça login no GitHub com sua própria conta.”
Após a conclusão dessa etapa, o invasor é redirecionado para um ambiente internet do Visible Studio Code conectado à máquina infectada, permitindo que ele execute comandos ou crie novos arquivos.
Vale ressaltar que o uso malicioso dessa técnica foi destacado anteriormente pela empresa holandesa de segurança cibernética mnemonic em conexão com a exploração de dia zero de uma vulnerabilidade agora corrigida nos produtos de gateway de segurança de rede da Verify Level (CVE-2024-24919, pontuação CVSS: 8,6) no início deste ano.
A Unidade 42 disse que o ator Mustang Panda alavancou o mecanismo para entregar malware, executar reconhecimento e exfiltrar dados sensíveis. Além disso, o invasor teria usado OpenSSH para executar comandos, transferir arquivos e se espalhar pela rede.
Isso não é tudo. Uma análise mais detalhada do ambiente infectado revelou um segundo cluster de atividade “ocorrendo simultaneamente e às vezes até nos mesmos endpoints” que utilizou o malware ShadowPad, um backdoor modular amplamente compartilhado por grupos de espionagem chineses.
Atualmente, não está claro se esses dois conjuntos de intrusão estão relacionados entre si ou se dois grupos diferentes estão “aproveitando o acesso um do outro”.
“Com base nas evidências forenses e na linha do tempo, pode-se concluir que esses dois clusters se originaram do mesmo agente de ameaça (Stately Taurus)”, disse Fakterman. “No entanto, pode haver outras explicações possíveis que podem justificar essa conexão, como um esforço colaborativo entre dois agentes de ameaça APT chineses.”