Grupo chinês TA415 usa túneis remotos do VS Code para espionar especialistas em política econômica dos EUA

O grupo de ameaças TA415, alinhado com a China, conduziu campanhas de spear-phishing contra o governo dos EUA, think tanks e organizações acadêmicas utilizando iscas temáticas sobre relações econômicas EUA-China.

Entre julho e agosto de 2025, os ataques se passaram pelo Comitê de Competição Estratégica EUA-PCC e pelo Conselho de Negócios EUA-China, visando especialistas em relações bilaterais, comércio e política econômica.

A campanha utilizou emails de phishing com links para arquivos maliciosos hospedados em serviços de nuvem como Zoho WorkDrive, Dropbox e OpenDrive. Os arquivos continham um script LNK que executava um carregador Python chamado WhirlCoil.

O malware estabelece túneis remotos do Visual Studio Code para acesso persistente, coleta informações do sistema e envia dados para serviços de logging através de requisições HTTP codificadas em base64.

A técnica mantém similaridades com ataques anteriores de setembro de 2024 contra setores aeroespacial, químico e de manufatura, demonstrando a evolução contínua das táticas de espionagem cibernética chinesa.