El grupo de amenazas persistentes avanzadas (APT) vinculado a China, conocido como Mustang Panda, ha sido observado utilizando el software Visual Studio Code en operaciones de espionaje dirigidas a entidades gubernamentales en el sudeste asiático.

Este actor de amenazas aprovechó la función de shell inverso integrada de Visual Studio Code para establecerse en las redes objetivo”, explicó Tom Fakterman, investigador de la Unidad 42 de Palo Alto Networks, en un informe, describiéndolo como una “técnica relativamente nueva” que fue demostrada por primera vez en septiembre de 2023 por Truvis Thornton.

Se considera que esta campaña es una continuación de una actividad de ataque previamente documentada que se dirigió a una entidad gubernamental anónima en el sudeste asiático a fines de septiembre de 2023.

Mustang Panda, también conocido por nombres como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta y Red Lich, ha estado activo desde 2012, llevando a cabo rutinariamente campañas de espionaje cibernético contra entidades gubernamentales y religiosas en Europa y Asia, especialmente en países ubicados en el Mar de China Meridional.

La última secuencia de ataque observada se distingue por el abuso del shell inverso de Visual Studio Code para ejecutar código arbitrario y desplegar cargas útiles adicionales.

“Para explotar Visual Studio Code con fines maliciosos, un atacante puede usar la versión portátil de code.exe (el archivo ejecutable de Visual Studio Code) o una versión ya instalada del software”, señaló Fakterman. “Al ejecutar el comando code.exe tunnel, el atacante recibe un enlace que lo obliga a iniciar sesión en GitHub con su cuenta”.

Una vez completado este paso, el atacante es redirigido a un entorno web de Visual Studio Code que está conectado a la máquina infectada, lo que le permite ejecutar comandos o crear archivos nuevos.

Cabe destacar que el uso malicioso de esta técnica fue previamente resaltado por la empresa de ciberseguridad holandesa mnemonic, en relación con la explotación de una vulnerabilidad de día cero en los productos de puerta de enlace de seguridad de red de Check Point (CVE-2024-24919, con una puntuación CVSS de 8.6) a principios de este año.

La Unidad 42 afirmó que el grupo Mustang Panda utilizó este mecanismo para distribuir malware, realizar tareas de reconocimiento y extraer datos confidenciales. Además, se cree que el atacante usó OpenSSH para ejecutar comandos, transferir archivos y propagarse por la red.

Sin embargo, eso no es todo. Un análisis más profundo del entorno infectado reveló un segundo conjunto de actividades “que ocurren simultáneamente e incluso en los mismos puntos finales” utilizando el malware ShadowPad, una puerta trasera modular ampliamente compartida entre grupos de espionaje chinos.

No está claro si estos dos conjuntos de intrusiones están relacionados o si dos grupos diferentes están “aprovechando el acceso del otro”.

“Basándonos en las pruebas forenses y en la cronología, se podría concluir que estos dos grupos se originaron a partir del mismo actor de amenazas (Stately Taurus)”, comentó Fakterman. “Sin embargo, también podrían existir otras explicaciones posibles para esta conexión, como un esfuerzo colaborativo entre dos actores de amenazas APT chinos”.

Fuente:thehackernews.com