O grupo hacker Mustang Panda, ligado ao governo chinês, está utilizando o software Visual Studio Code em ataques cibernéticos direcionados a entidades governamentais no Sudeste Asiático. A descoberta foi feita pela equipe de pesquisa da Palo Alto Networks Unit 42, que observou a exploração da funcionalidade de shell reverso embutida no Visual Studio Code para obter acesso a redes-alvo. Essa técnica é relativamente nova e foi demonstrada pela primeira vez em setembro de 2023.

Mustang Panda, também conhecido por diversos nomes como Bronze President e RedDelta, está ativo desde 2012 e é famoso por conduzir campanhas de espionagem cibernética em vários países, com foco em governos e instituições religiosas, especialmente na região do Mar do Sul da China. A recente campanha é vista como uma continuação de ataques anteriores contra um governo não identificado do Sudeste Asiático em setembro de 2023.

A técnica envolve o uso do Visual Studio Code para estabelecer uma conexão reversa com a máquina infectada, permitindo que os invasores executem comandos ou criem arquivos remotamente. Ao utilizar uma versão portátil do Visual Studio Code, o invasor pode gerar um link de conexão por meio do comando “code.exe tunnel”, que redireciona para um ambiente web do Visual Studio Code, facilitando o controle do sistema comprometido.

Além da exploração do Visual Studio Code, os pesquisadores também identificaram o uso do malware ShadowPad, um backdoor modular amplamente utilizado por grupos de espionagem chineses. A presença de duas cadeias de intrusão simultâneas em alguns casos sugere que pode haver mais de um grupo operando na mesma rede, ou até mesmo uma possível colaboração entre diferentes atores de ameaças.