Selon Koi, des recherches ont relié trois grandes campagnes d’extensions malveillantes à un même acteur, DarkSpectre, actif depuis 7 ans et opérant à grande échelle sur Chrome, Edge, Firefox et Opera.

• Panorama des campagnes (8,8 M de victimes) 🧩

  • ShadyPanda (5,6 M, +1,3 M récents): surveillance et fraude d’affiliation à grande échelle via des extensions légitimes puis « retournées » après des années, C2 modulable et activation différée.
  • GhostPoster (1,05 M): livraison furtive de payload par stéganographie PNG, backdoor via iframe, désactivation d’anti-fraude sur liens d’affiliation chinois, mêmes C2 que ShadyPanda.
  • The Zoom Stealer (2,2 M, nouveau): espionnage d’entreprise ciblant 28+ plateformes de visioconférence, exfiltration temps réel par WebSocket, base de données de « meeting intelligence ».

• Liens d’infrastructure et modus operandi 🕵️

  • Réutilisation de domaines « propres » (ex. infinitynewtab.com, infinitytab.com) pour les fonctions légitimes des extensions, tandis que la partie malveillante pointe vers d’autres C2.
  • Clusters identifiés: jt2x.com (C2, configs, exfiltration, fraude d’affiliation) et zhuayuya.com / muo.cc (patrons opérationnels identiques).
  • Connexions GhostPoster: extensions déposées sur d’autres marketplaces mais mêmes C2 (ex. liveupdt.com, dealctr.com, mitarchive.info, gmzdaily.com) et même technique de payload camouflé en PNG.

• Zoom Stealer: collecte de « meeting intelligence » 🎯

  • Extensions « utiles » (téléchargeurs vidéo, timers, assistants de réunion) demandant accès à 28+ plateformes (Zoom, Teams, Meet, WebEx, GoToWebinar, ON24, Demio, etc.).
  • Scraping de liens de réunion (incluant mots de passe), IDs, sujets, horaires, statuts d’inscription, plus des dossiers professionnels de speakers/hosts (noms, titres, bios, photos, entreprises).
  • Exfiltration en direct via WebSocket vers une Firebase Realtime Database (zoocorder.firebaseio.com) et un Google Cloud Function (webinarstvus.cloudfunctions.net). Infrastructure associée à un service public Zoomcorder.com.

• ShadyPanda: persistance et fraude d’affiliation 🧪

  • 100+ extensions supplémentaires reliées, dont 9 actives (vol de données, détournement de recherche, fraude d’affiliation) et 85+ dormantes.
  • Cluster api.jt2x.com: téléchargement de configuration JSON dictant comportements (injection de code distant depuis bcaicai.com, suivi persistant, hijacking de recherches sur 9+ moteurs, ciblage JD.com/Taobao).
  • Extension « New Tab - Customized Dashboard »: bombe logique (activation après 3 jours, ~10% des chargements), payload JavaScript encodé dans PNG téléchargé depuis C2 et exécuté sur chaque site.
  • WeTab: spyware phare (historique, requêtes, clics, données personnelles) exfiltrant vers 17 domaines (Baidu/WeTab en Chine + Google Analytics).

• Attribution et portée 🛰️

  • Indices pointant vers la Chine: hébergement Alibaba Cloud et ICP chinois (notamment Hubei), chaînes de code en chinois, horaires de développement, ciblage spécifique JD.com/Taobao.
  • Caractéristiques: patience extrême (extensions propres 3–5+ ans), multi-plateforme, objectifs évolutifs (fraude → surveillance → espionnage), investissements d’infrastructure sur 7+ ans.

• IOCs (extraits) et TTPs 🔗

  • Domains – Zoom Stealer: meetingtv[.]us; webinarstvus.cloudfunctions[.]net; zoocorder.firebaseio[.]com
  • Domains – GhostPoster: liveupdt[.]com; dealctr[.]com; mitarchive[.]info; gmzdaily[.]com
  • Domains – ShadyPanda (nouveaux): infinitynewtab[.]com; infinitytab[.]com; jt2x[.]com; zhuayuya[.]com; muo[.]cc; websiteshare[.]cn; diytab[.]com; userscss[.]top; istartnewtab[.]com; letsearchesp[.]com; policies.extfans[.]com; IP 58.144.143.27
  • Extensions et identifiants (exemples): • Zoom Stealer Chrome: kfokdmfpdnokpmpbjhjbcabgligoelgp; pdadlkbckhinonakkfkdaadceojbekep; akmdionenlnfcipmdhbhcnkighafmdha; … • Zoom Stealer Edge: mhjdjckeljinofckdibjiojbdpapoecj • Zoom Stealer Firefox: {7536027f-96fb-4762-9e02-fdfaedd3bfb5}; xtwitterdownloader@benimaddonum.com • ShadyPanda Chrome (sélection): aikflfpejipbpjdlfabpgclhblkpaafo; dbfmnekepjoapopniengjbcpnbljalfg; nnnkddnnlpamobajfibfdgfnbcnkgngh; … • ShadyPanda Edge (sélection): edohfgmjmdnibeihfcajfclmhapjkooa; pdjpkfbpeniinkdlmibcdebccnkimnna; hmpjibmngagmkafmijncjokocepchnea; … • ShadyPanda Firefox (sélection): {34b0d04c-29cf-473c-bb6c-c2fe94377b99}; {7cc10397-c6f4-4a27-a1e7-83b870dd6cab}; nickyfeng2@edgetranslate[.]com; 1305302314@qq[.]com; … • GhostPoster Opera: Google™ Translate by charliesmithbons
  • TTPs (principaux): • Extensions légitimes « retournées » après 3–5+ ans; activation différée (48–72 h), faible probabilité d’activation (~10%) pour l’évasion. • Stéganographie PNG pour charger du JavaScript; multi‑étapes; C2 configurable (payload via JSON, sans mise à jour marketplace). • Injection de code à la volée (ex. bcaicai.com) sur tous les sites; tracking persistant (IDs locaux/sync). • Hijacking de recherche et fraude d’affiliation (JD.com, Taobao); backdoor iframe et désactivation d’anti‑fraude. • Exfiltration WebSocket en temps réel vers Firebase/Cloud Functions; collecte de données de réunions, profils de speakers et ressources visuelles.

Type d’article: analyse de menace / publication de recherche dont l’objectif est d’attribuer l’opération DarkSpectre, détailler ses campagnes, ses infrastructures, et publier des IoCs.

🧠 TTPs et IOCs détectés

TTP

Extensions légitimes retournées après 3–5+ ans; activation différée (48–72 h), faible probabilité d’activation (~10%) pour l’évasion. Stéganographie PNG pour charger du JavaScript; multi‑étapes; C2 configurable (payload via JSON, sans mise à jour marketplace). Injection de code à la volée (ex. bcaicai.com) sur tous les sites; tracking persistant (IDs locaux/sync). Hijacking de recherche et fraude d’affiliation (JD.com, Taobao); backdoor iframe et désactivation d’anti‑fraude. Exfiltration WebSocket en temps réel vers Firebase/Cloud Functions; collecte de données de réunions, profils de speakers et ressources visuelles.

IOC

Domains – Zoom Stealer: meetingtv[.]us; webinarstvus.cloudfunctions[.]net; zoocorder.firebaseio[.]com. Domains – GhostPoster: liveupdt[.]com; dealctr[.]com; mitarchive[.]info; gmzdaily[.]com. Domains – ShadyPanda (nouveaux): infinitynewtab[.]com; infinitytab[.]com; jt2x[.]com; zhuayuya[.]com; muo[.]cc; websiteshare[.]cn; diytab[.]com; userscss[.]top; istartnewtab[.]com; letsearchesp[.]com; policies.extfans[.]com. IP 58.144.143.27. Extensions et identifiants (exemples): Zoom Stealer Chrome: kfokdmfpdnokpmpbjhjbcabgligoelgp; pdadlkbckhinonakkfkdaadceojbekep; akmdionenlnfcipmdhbhcnkighafmdha. Zoom Stealer Edge: mhjdjckeljinofckdibjiojbdpapoecj. Zoom Stealer Firefox: {7536027f-96fb-4762-9e02-fdfaedd3bfb5}; xtwitterdownloader@benimaddonum.com. ShadyPanda Chrome (sélection): aikflfpejipbpjdlfabpgclhblkpaafo; dbfmnekepjoapopniengjbcpnbljalfg; nnnkddnnlpamobajfibfdgfnbcnkgngh. ShadyPanda Edge (sélection): edohfgmjmdnibeihfcajfclmhapjkooa; pdjpkfbpeniinkdlmibcdebccnkimnna; hmpjibmngagmkafmijncjokocepchnea. ShadyPanda Firefox (sélection): {34b0d04c-29cf-473c-bb6c-c2fe94377b99}; {7cc10397-c6f4-4a27-a1e7-83b870dd6cab}; nickyfeng2@edgetranslate[.]com; 1305302314@qq[.]com. GhostPoster Opera: Google™ Translate by charliesmithbons.

🔗 Source originale : https://www.koi.ai/blog/darkspectre-unmasking-the-threat-actor-behind-7-8-million-infected-browsers