Selon Koi Security (blog), une enquête attribue à l’acteur « ShadyPanda » une campagne d’extensions de navigateur étalée sur sept ans, visant Chrome et Edge, ayant infecté 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor à exécution de code à distance (RCE).

• Phases de la campagne (2018–2025) :

  • Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, éditeurs nuggetsno15 et rocket Zhang) : fraude à l’affiliation (injection de codes affiliés eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics).
  • Phase 2 (début 2024)Détournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffré).
  • Phase 3 (milieu 2024) – La « longue traque » : extensions légitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisées via mise à jour silencieuse après accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchés par un backdoor RCE commun à 5 extensions.
  • Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab 新标签页 à 3 M) ; opération toujours active au moment du rapport.

• Capacités et impacts clés :

  • Backdoor RCE horaire: requêtes à api.extensionplay[.]com pour télécharger/exécuter du JavaScript arbitraire avec accès complet aux APIs du navigateur. Charge utile actuelle: surveillance complète (URLs, referrers, timestamps, fingerprinting; UUID persistant via chrome.storage.sync), chiffrement AES et exfiltration vers api.cleanmasters.store.
  • Évasion et attaques: anti-analyse (détection des DevTools), obfuscation lourde (exécution via interpréteur JS 158 KB pour contourner CSP), Service Worker MITM permettant d’intercepter/modifier le trafic, remplacer du JS légitime (vol d’identifiants, session hijacking, injection de contenu), même en HTTPS.
  • Détournement de recherche & profilage: redirections, collecte de requêtes au niveau des frappes, manipulation des résultats et profilage en temps réel.

• Échelle, statut et abus de la chaîne de confiance :

  • Certaines extensions affichées comme « Featured » et « Verified » par Google ont servi de tremplin à la distribution et à la confiance.
  • La mise à jour automatique des marketplaces a été détournée comme vecteur d’attaque: extensions légitimes pendant des années, puis « weaponisées » par une version silencieuse.
  • Les extensions de Phase 3 ont été retirées, mais l’infrastructure demeure sur les navigateurs infectés. Les 5 extensions Edge de Phase 4 sont encore en ligne et disposent déjà de permissions dangereuses (toutes URLs, cookies), avec possibilité de weaponisation future.

• IOCs et TTPs 🧩

  • C2 / Contrôle: extensionplay[.]com, yearnnewtab[.]com, api.cgatgpt[.]net
  • Exfiltration: dergoodting[.]com, yearnnewtab[.]com, cleanmasters[.]store, s-85283.gotocdn[.]com, s-82923.gotocdn[.]com
  • Extensions impliquées: de nombreuses IDs Chrome/Edge sont listées dans le rapport (voir article pour la liste complète).
  • TTPs: weaponisation via mise à jour silencieuse, RCE horaire par fetch/exec de JS, obfuscation avancée et interpréteur JS pour bypass CSP, anti-debug/anti-analysis, MITM via Service Worker, exfiltration chiffrée AES, fingerprinting et identifiants persistants, search hijacking (trovi), cookie exfiltration, keylogging de requêtes, abus de Google Analytics et fraude à l’affiliation.

Article de recherche dévoilant une campagne multi-phases et documentant les indicateurs (IOCs) et techniques (TTPs) employées, avec pour objectif principal l’analyse détaillée de la menace et de son évolution.

🧠 TTPs et IOCs détectés

TTP

[‘weaponisation via mise à jour silencieuse’, ‘RCE horaire par fetch/exec de JS’, ‘obfuscation avancée et interpréteur JS pour bypass CSP’, ‘anti-debug/anti-analysis’, ‘MITM via Service Worker’, ’exfiltration chiffrée AES’, ‘fingerprinting et identifiants persistants’, ‘search hijacking (trovi)’, ‘cookie exfiltration’, ‘keylogging de requêtes’, ‘abus de Google Analytics’, ‘fraude à l’affiliation’]

IOC

[’extensionplay[.]com’, ‘yearnnewtab[.]com’, ‘api.cgatgpt[.]net’, ‘dergoodting[.]com’, ‘cleanmasters[.]store’, ’s-85283.gotocdn[.]com’, ’s-82923.gotocdn[.]com’]

🔗 Source originale : https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign