🔍 Contexte

Publié le 13 avril 2026 par l’équipe de recherche de Socket (socket.dev), cet article présente les résultats d’une investigation technique approfondie sur une campagne coordonnée de 108 extensions Chrome malveillantes, toujours actives au moment de la publication. Des demandes de suppression ont été soumises au Chrome Web Store et à Google Safe Browsing.

🎯 Description de la campagne

Les 108 extensions sont publiées sous cinq identités d’éditeurs distincts (Yana Project, GameGen, SideGames, Rodeo Games, InterAlt) et totalisent environ 20 000 installations sur le Chrome Web Store. Toutes partagent la même infrastructure C2 hébergée sur cloudapi[.]stream (IP : 144.126.135.238, Contabo GmbH VPS), enregistrée le 30 avril 2022 via Hosting Ukraine LLC. Le serveur exécute un CMS Strapi sur le port 1337 avec une base de données PostgreSQL.

🛠️ Capacités malveillantes

La campagne couvre plusieurs catégories de menaces :

  • 54 extensions volent l’identité Google via OAuth2 (email, nom, photo, identifiant sub permanent) vers mines.cloudapi.stream/auth_google
  • 1 extension (Telegram Multi-account – obifanppcpchlehkjipahhphbcbjekfa) exfiltre la session Telegram Web toutes les 15 secondes vers tg.cloudapi.stream/save_session.php, avec capacité de remplacement de session à distance
  • 1 extension (Teleside – mdcfennpfgkngnibjbpnpaafcjnhcjno) dispose d’une infrastructure de vol de session Telegram non encore activée
  • 45 extensions contiennent un backdoor universel (loadInfo()) ouvrant des URLs arbitraires à chaque démarrage du navigateur
  • 2 extensions suppriment les en-têtes de sécurité YouTube et injectent des publicités
  • 1 extension cible TikTok de la même manière
  • 1 extension (Text Translation) proxifie toutes les requêtes de traduction via le serveur de l’acteur
  • 78 extensions permettent une injection HTML arbitraire via innerHTML sans sanitisation depuis le C2

🧩 Attribution

L’unification des 108 extensions sous un seul opérateur est prouvée par :

  • 56 client IDs OAuth2 uniques rattachés à seulement deux projets Google Cloud : 1096126762051 et 170835003632
  • L’email de contact kiev3381917@gmail.com présent dans plusieurs extensions
  • Trois adresses email contenant des variantes de « nadejdin »/« nadiezhdin »
  • Des commentaires en russe dans le code source (authentification, vol de session)
  • Des artefacts de copier-coller entre extensions (fichier ukraine.html réutilisé)
  • Le portail topup.cloudapi.stream décrivant un modèle Malware-as-a-Service (MaaS)

📊 Infrastructure C2 confirmée

Sous-domaine Rôle
tg.cloudapi.stream Exfiltration sessions Telegram
mines.cloudapi.stream Vol d’identité Google, beacon C2
topup.cloudapi.stream Portail de paiement MaaS
cdn.cloudapi.stream Hébergement assets jeux
multiaccount.cloudapi.stream Hub d’injection publicitaire
api.cloudapi.stream:8443 API de traduction / surveillance
top.rodeo Backend serveur de jeux

📌 Type d’article

Publication de recherche technique par l’équipe Threat Research de Socket, visant à documenter et exposer une campagne malveillante active sur le Chrome Web Store avec fourniture complète d’IOCs exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1176 — Browser Extensions (Persistence)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1185 — Browser Session Hijacking (Collection)

IOC

  • IPv4 : 144.126.135.238AbuseIPDB · VT · ThreatFox
  • Domaines : cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : tg.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : mines.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : topup.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : cdn.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : multiaccount.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : wheel.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : gamewss.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : api.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : chat.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : crm.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : metal.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : coin-miner.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : goldminer.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : herculessportslegend.cloudapi.streamVT · URLhaus · ThreatFox
  • Domaines : top.rodeoVT · URLhaus · ThreatFox
  • URLs : https://tg.cloudapi.stream/save_session.phpURLhaus
  • URLs : https://tg.cloudapi.stream/count_sessions.phpURLhaus
  • URLs : https://tg.cloudapi.stream/get_sessions.phpURLhaus
  • URLs : https://tg.cloudapi.stream/get_session.phpURLhaus
  • URLs : https://tg.cloudapi.stream/delete_session.phpURLhaus
  • URLs : https://tg.cloudapi.stream/save_title.phpURLhaus
  • URLs : https://mines.cloudapi.stream/auth_googleURLhaus
  • URLs : https://mines.cloudapi.stream/user_infoURLhaus
  • URLs : https://mines.cloudapi.stream/slot_test/URLhaus
  • URLs : https://api.cloudapi.stream:8443/RegisterURLhaus
  • URLs : https://api.cloudapi.stream:8443/TranslationURLhaus
  • URLs : https://top.rodeo/server/remote.phpURLhaus
  • URLs : https://top.rodeo/server/remote3.phpURLhaus
  • URLs : https://top.rodeo/notify.phpURLhaus
  • URLs : https://cloudapi.stream/install/URLhaus
  • URLs : https://cloudapi.stream/uninstall/URLhaus
  • URLs : https://multiaccount.cloudapi.stream/game.htmlURLhaus
  • Emails : kiev3381917@gmail.com
  • Emails : formatron.service@gmail.com
  • Emails : nashprom.info@gmail.com
  • Emails : viktornadiezhdin@gmail.com
  • Emails : support@top.rodeo
  • Emails : slava.nadejdin.kiev@gmail.com
  • Emails : nadejdinv@gmail.com
  • Fichiers : content.js
  • Fichiers : background.js
  • Fichiers : sidepanel.js
  • Fichiers : userpage.js
  • Fichiers : sys-content.js
  • Fichiers : content-sidebar.html
  • Fichiers : ukraine.html
  • Fichiers : rules_1.json

Malware / Outils

  • Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa) (stealer)
  • Web Client for Telegram - Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno) (stealer)
  • loadInfo() backdoor (backdoor)
  • Text Translation (ogogpebnagniggbnkbpjioobomdbmdcj) (stealer)

🟢 Indice de vérification factuelle : 85/100 (haute)

  • ✅ socket.dev — source reconnue (liste interne) (20pts)
  • ✅ 30352 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 49 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/7 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • cloudapi.stream (domain) → VT (8/94 détections)
  • tg.cloudapi.stream (domain) → VT (4/94 détections)
  • mines.cloudapi.stream (domain) → VT (13/94 détections)

🔗 Source originale : https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2