El ataque puede realizarse tanto desde una versión instalada como portable de Visual Studio Code. Al ejecutar el comando code.exe tunnel, el atacante recibe un enlace que le requiere iniciar sesión en GitHub con su propia cuenta. Una vez hecho esto, el atacante es redirigido a un entorno web del editor de texto que está conectado a la máquina infectada, lo que le permitiría ejecutar comandos en dicha máquina. Mustang Panda utilizó este mecanismo para enviar malware, realizar tareas de reconocimiento y exfiltrar datos sensibles