Visual Studio Code utilizado en ataques de ciberespionaje en el sudeste asiático

El grupo de ciberespionaje conocido como Mustang Panda, vinculado a China, ha sido recientemente descubierto explotando el popular editor de texto y desarrollo Visual Studio Code para llevar a cabo sofisticadas campañas de espionaje en el sudeste asiático. Este grupo, que ha estado activo desde 2012, ha enfocado su atención en entidades gubernamentales y religiosas de la región, utilizando nuevas técnicas para infiltrarse en redes sensibles.

Técnica de ataque: Remote – Tunnels en Visual Studio Code

Según un informe de Tom Fakterman, investigador de la Unidad 42 de Palo Alto Networks, Mustang Panda ha comenzado a explotar una técnica relativamente nueva que involucra la extensión de Visual Studio Code llamada Remote – Tunnels. Esta extensión permite crear un shell inverso, permitiendo a los atacantes infiltrarse en sistemas comprometidos y ejecutar comandos de manera remota.

El ataque se activa mediante el comando code.exe tunnel, que genera un enlace para que el atacante inicie sesión con su cuenta de GitHub. Una vez completado este paso, el atacante accede a una interfaz web de Visual Studio Code, conectada directamente al equipo infectado. Esta técnica les otorga la capacidad de ejecutar comandos, distribuir malware y extraer información confidencial sin levantar sospechas inmediatas.

Impacto y herramientas adicionales

Mustang Panda ha utilizado este método para realizar reconocimiento, exfiltrar datos sensibles y distribuir malware. En algunos casos, se sospecha que el grupo ha empleado OpenSSH para ejecutar comandos adicionales, transferir archivos y moverse lateralmente a través de las redes infectadas.

Además, el análisis de estas campañas ha revelado la utilización de otro vector de ataque en paralelo: ShadowPad, un backdoor ampliamente conocido en operaciones de espionaje patrocinadas por el estado chino. Este malware se ha detectado ejecutándose de manera simultánea en los mismos puntos finales comprometidos, lo que refuerza la sofisticación y el alcance de estas operaciones.

Contexto histórico de Mustang Panda

El grupo Mustang Panda, también conocido por múltiples alias como Bronze President, RedDelta o HoneyMyte, ha estado en el centro de varias campañas de ciberespionaje en Asia y Europa. El sudeste asiático, especialmente las naciones del Mar de China Meridional, ha sido un foco recurrente de sus ataques, dado su interés en las actividades gubernamentales y religiosas de la región.

Los últimos incidentes parecen ser una continuación de un ataque previamente documentado a una entidad gubernamental del sudeste asiático a finales de 2023. Este ataque subraya cómo Mustang Panda sigue evolucionando sus técnicas, combinando tanto herramientas conocidas como innovaciones en la explotación de software común, como es el caso de Visual Studio Code.

La explotación de Visual Studio Code por parte de grupos de ciberespionaje como Mustang Panda plantea una seria amenaza para entidades gubernamentales y organizaciones que utilizan este editor de texto. Si bien la herramienta es ampliamente utilizada por desarrolladores, su mal uso puede abrir una puerta trasera para ataques de espionaje sofisticados. Por tanto, es crucial implementar medidas de seguridad como la detección de abuso de Remote – Tunnels, el monitoreo de actividad inusual en redes y la actualización constante de las políticas de acceso a herramientas de desarrollo.

Fuentes de referencia:

• Chinese Hackers Exploit Visual Studio Code in Southeast Asian Cyberattacks

• Visual Studio Code: embedded reverse shell and how to block

• Developing with Remote Tunnels