Selon l’équipe Threat Research de Socket, deux extensions Chrome baptisées “Phantom Shuttle” et publiées par le même acteur (theknewone.com@gmail[.]com) se présentent comme un VPN/proxy commercial légitime, mais réalisent en réalité une interception de trafic via injection d’identifiants, un MITM ciblé et une exfiltration continue de données vers un C2 actif.

• Le modèle commercial est trompeur: interface professionnelle, inscription, paiements Alipay/WeChat Pay et paliers VIP (¥9.9 à ¥95.9). Après paiement, le mode proxy “smarty” s’active automatiquement et redirige le trafic de 170+ domaines à haute valeur (développeurs, clouds, réseaux sociaux, sites adultes) via l’infrastructure de l’attaquant. Plus de 2 180 utilisateurs sont recensés et les extensions sont encore en ligne.

• Détails techniques clés: les bibliothèques jquery-1.12.2.min.js et scripts.js sont cheval de Troie (code malveillant préfixé) et contiennent une obfuscation personnalisée qui encode des identifiants hardcodés (topfany / 963852wei). Un écouteur chrome.webRequest.onAuthRequired injecte automatiquement ces identifiants proxy sur chaque défi d’authentification HTTP, assurant une authentification transparente aux proxys contrôlés par l’attaquant. Un script PAC configure le proxy en modes “close” / “always” / “smarty”, excluant les IP privées et le domaine C2 et redirigeant sélectivement les cibles. Positionné en homme du milieu, l’acteur capte tout le trafic HTTP, manipule les réponses et peut voler des cookies; le HTTPS reste chiffré sauf si un certificat racine malveillant est déployé.

• Exfiltration et persistance: un heartbeat toutes les 60 s (avec envoi effectif toutes les 5 min) contacte phantomshuttle[.]space et transmet email et mot de passe en clair, ainsi que des métadonnées (niveau VIP, version). Des commandes serveur (types 999, 3, 88, 801, 99) gèrent l’état VIP et les actions (désactivation proxy, déconnexion forcée). Des endpoints actifs livrent configuration, identifiants encodés et URLs de paiement. Les données (email, password, token, config proxy, listes de domaines) sont persistées en clair dans chrome.storage.local.

• Infrastructure: le C2 phantomshuttle[.]space (Cloudflare en frontal) résout vers 47[.]244[.]125[.]55 (Alibaba Cloud, Hong Kong) et reste opérationnel au 23 décembre 2025. Domaine enregistré le 3 nov. 2017 (exp. 3 nov. 2026). Des endpoints actifs incluent: /index.php?g=user&m=register&a=do_query_server, /price.php, /index.php?g=Pay&m=Index&a=payaction, /index.php?g=wxpay&m=wxpay&a=wxpay_api.

• Impact: vol d’identifiants, cookies/sessions, clés API et données de paiement via le proxy; historique de navigation ciblé (y compris sites adultes). Le ciblage de développeurs et de personnels du commerce extérieur augmente le risque supply chain (dépôts GitHub, registres npm, consoles cloud, etc.).

IoCs relevés:

  • Extensions Chrome: IDs fbfldogmkadejddihifklefknmikncaj, ocpcmfmiidofonkbodpdhgddhlcmcofd; version 3.1.9
  • Éditeur: theknewone.com@gmail[.]com
  • C2: domaine phantomshuttle[.]space; IP 47[.]244[.]125[.]55
  • Identifiants proxy: topfany / 963852wei

TTPs (MITRE ATT&CK):

  • T1176 (Browser Extensions)
  • T1557 (Adversary-in-the-Middle)
  • T1090.002 (Proxy: External Proxy)
  • T1539 (Steal Web Session Cookie)
  • T1056.003 (Input Capture: Web Portal Capture)
  • T1027 (Obfuscated Files or Information)
  • T1071.001 (Application Layer Protocol: Web Protocols)
  • T1573 (Encrypted Channel)

Type d’article: analyse de menace visant à documenter une campagne durable d’extensions Chrome malveillantes se faisant passer pour un service VPN/proxy commercial.

🧠 TTPs et IOCs détectés

TTP

T1176 (Browser Extensions), T1557 (Adversary-in-the-Middle), T1090.002 (Proxy: External Proxy), T1539 (Steal Web Session Cookie), T1056.003 (Input Capture: Web Portal Capture), T1027 (Obfuscated Files or Information), T1071.001 (Application Layer Protocol: Web Protocols), T1573 (Encrypted Channel)

IOC

Extensions Chrome IDs: fbfldogmkadejddihifklefknmikncaj, ocpcmfmiidofonkbodpdhgddhlcmcofd; Éditeur: theknewone.com@gmail[.]com; C2: domaine phantomshuttle[.]space; IP 47[.]244[.]125[.]55; Identifiants proxy: topfany / 963852wei

🔗 Source originale : https://socket.dev/blog/malicious-chrome-extensions-phantom-shuttle