Kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan Tiongkok yang dikenal sebagai Kuda Mustang telah diamati menjadikan perangkat lunak Visual Studio Code sebagai senjata sebagai bagian dari operasi mata-mata yang menargetkan entitas pemerintah di Asia Tenggara.
“Pelaku ancaman ini menggunakan fitur reverse shell tertanam Visual Studio Code untuk mendapatkan pijakan di jaringan target,” kata peneliti Unit 42 Palo Alto Networks Tom Fakterman dalam sebuah laporan, yang menggambarkannya sebagai “teknik yang relatif baru” yang pertama kali didemonstrasikan pada September 2023 oleh Truvis Thornton.
Kampanye ini dinilai sebagai kelanjutan dari aktivitas serangan yang didokumentasikan sebelumnya yang ditujukan terhadap entitas pemerintah Asia Tenggara yang tidak disebutkan namanya pada akhir September 2023.
Mustang Panda, juga dikenal dengan nama BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, dan Red Lich, telah beroperasi sejak 2012, secara rutin melakukan kampanye spionase cyber yang menargetkan entitas pemerintah dan keagamaan di seluruh Eropa dan Asia, khususnya yang berlokasi di negara-negara Laut Cina Selatan.
Urutan serangan terakhir yang teramati penting karena penyalahgunaan reverse shell Visual Studio Code untuk mengeksekusi kode sembarangan dan mengirimkan muatan tambahan.
“Untuk menyalahgunakan Visual Studio Code demi tujuan jahat, penyerang dapat menggunakan versi portabel code.exe (file yang dapat dieksekusi untuk Visual Studio Code), atau versi perangkat lunak yang sudah terinstal,” catat Fakterman. “Dengan menjalankan perintah code.exe tunnel, penyerang menerima tautan yang mengharuskan mereka masuk ke GitHub dengan akun mereka sendiri.”
Setelah langkah ini selesai, penyerang diarahkan ke lingkungan web Visual Studio Code yang terhubung ke mesin yang terinfeksi, yang memungkinkan mereka menjalankan perintah atau membuat file baru.
Perlu diperhatikan bahwa penggunaan teknik berbahaya ini sebelumnya disorot oleh firma keamanan siber Belanda mnemonic sehubungan dengan eksploitasi zero-day terhadap kerentanan di produk gateway Keamanan Jaringan Check Point (CVE-2024-24919, skor CVSS: 8.6) awal tahun ini.
Unit 42 mengatakan pelaku Mustang Panda memanfaatkan mekanisme tersebut untuk mengirimkan malware, melakukan pengintaian, dan mencuri data sensitif. Lebih jauh, penyerang tersebut dikatakan telah menggunakan OpenSSH untuk menjalankan perintah, mentransfer file, dan menyebarkannya ke seluruh jaringan.
Itu belum semuanya. Analisis yang lebih cermat terhadap lingkungan yang terinfeksi telah mengungkap kelompok aktivitas kedua “yang terjadi secara bersamaan dan terkadang bahkan pada titik akhir yang sama” yang memanfaatkan malware ShadowPad, backdoor modular yang banyak digunakan oleh kelompok mata-mata Tiongkok.
Saat ini masih belum jelas apakah kedua set intrusi ini saling terkait satu sama lain, atau apakah dua kelompok berbeda “saling memanfaatkan akses”.
“Berdasarkan bukti forensik dan kronologi, dapat disimpulkan bahwa kedua klaster ini berasal dari pelaku ancaman yang sama (Stately Taurus),” kata Fakterman. “Namun, mungkin ada penjelasan lain yang dapat menjelaskan hubungan ini, seperti upaya kolaboratif antara dua pelaku ancaman APT Tiongkok.”