Mustang Panda, sebuah kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan Tiongkok, telah diamati menggunakan perangkat lunak Visual Studio Code dalam operasi spionase yang menargetkan entitas pemerintah di Asia Tenggara. Kelompok ini menggunakan fitur reverse shell tertanam Visual Studio Code untuk mendapatkan pijakan di jaringan target, teknik yang pertama kali didemonstrasikan pada September 2023 oleh Truvis Thornton. Kampanye ini dianggap sebagai kelanjutan dari aktivitas serangan yang didokumentasikan sebelumnya yang ditujukan untuk entitas pemerintah Asia Tenggara yang tidak disebutkan namanya pada akhir September 2023. Mustang Panda, yang juga dikenal sebagai BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, dan Red Lich, telah beroperasi sejak tahun 2012, melakukan kampanye spionase siber yang menargetkan entitas pemerintah dan agama di seluruh Eropa dan Asia, terutama yang berada di negara-negara Laut Cina Selatan.
Rangkaian serangan terbaru ini terkenal karena penyalahgunaan reverse shell Visual Studio Code untuk mengeksekusi kode arbitrer dan mengirimkan muatan tambahan. Penyerang dapat menggunakan versi portabel code.exe atau versi perangkat lunak yang sudah terinstal untuk menyalahgunakan perangkat lunak, yang memungkinkan mereka menjalankan perintah atau membuat file baru. Penggunaan jahat dari teknik ini sebelumnya disorot oleh perusahaan keamanan siber Belanda, mnemonic, sehubungan dengan eksploitasi zero-day terhadap kerentanan pada produk gateway Keamanan Jaringan Check Point awal tahun ini.
Analisis yang lebih dekat dari lingkungan yang terinfeksi telah mengungkapkan kelompok aktivitas kedua yang menggunakan malware ShadowPad, pintu belakang modular yang dibagikan secara luas oleh kelompok spionase Tiongkok. Saat ini tidak jelas apakah kedua set intrusi ini terkait atau jika dua kelompok yang berbeda “membonceng akses satu sama lain”.