Campagne AiFrame : extensions Chrome malveillantes ciblant les credentials 2FA et données utilisateurs

🔍 Contexte

Publié le 24 avril 2026 par DomainTools (SecuritySnacks), cet article présente une analyse technique approfondie de la campagne AiFrame, active depuis au moins début 2025, ciblant les utilisateurs de navigateurs Chrome via des extensions malveillantes.

🎯 Extension principale : faux Google Authenticator

Une extension Chrome intitulée “2FA Authenticator” (ID : ebhcbenbgjmaebpgbldimndmfomjmphd), publiée le 2 avril 2026 avec plus de 30 000 téléchargements, usurpe l’identité de Google Authenticator. Elle utilise :

• Le système de localisation de Chrome et du code squelette pour contourner les revues de sécurité
• Des permissions excessives (<all_urls>) non utilisées dans le code initial — stratégie dite “deploy clean, update dirty”
• Un listener dormant (chrome.runtime.onMessage.addListener) servant de hook pour une future activation C2
• Un phone home vers authenticator.whitelab[.]studio à l’installation
• Un Google Form pour tracker les désinstallations

🦠 Extensions liées avec payloads actifs

AI Chat to PDF (ID : nlfkaldinolmacagmiddfpnfaeclfibn) — C2 : appbox[.]space :

• Injection d’un script JS de 241 Ko dans chaque page
• iframe invisible (0×0 px) chargeant appbox.space/paywall/502
• Proxy de stockage distant via Supabase (lecture/écriture/suppression)
• Accès complet Chrome DevTools Protocol
• Communication bidirectionnelle via postMessage
• Déploiement de faux paywalls pour des services gratuits (Gemini)

Convert HEIC to JPG (ID : nmijijenojhiaohkfedfgchgbmjnfcpp) — C2 : onlineapp[.]pro :

• iframe cachée dans un Shadow DOM pour échapper aux scanners
• Commande redirect permettant au C2 d’ouvrir n’importe quelle URL
• Validation C2 triple-redondante
• Tracker Yandex ID : 96330078

🏗️ Infrastructure et attribution

L’acteur opère sous plusieurs fronts de développeur :

• whitelab[.]studio — hub principal liant 7 extensions
• airnetic[.]space — domaine email du soumetteur
• tapnetic[.]pro — ancien C2 avec de nombreux sous-domaines imitant des services IA (ChatGPT, Gemini, Claude, Grok, DeepSeek, etc.)
• appbox[.]space — nouveau C2 actif
• onlineapp[.]pro / onlineapp[.]live — C2 original AiFrame toujours actif
• Registrar commun : Porkbun LLC ; hébergement : Vercel et Cloudflare
• Présence de commentaires en langue russe dans le code
• Pixel de tracking Facebook : 762928773371443 sur claude.tapnetic[.]pro

Les domaines C2 originaux signalés en février 2026 par LayerX Security restent actifs malgré les divulgations publiques. L’acteur a ajouté de nouveaux domaines de repli, démontrant une résilience opérationnelle à long terme.

📊 Impact

• Plus de 260 000 utilisateurs compromis depuis 2025
• Au moins 7 extensions liées dans le même portefeuille
• 5 extensions supplémentaires non encore analysées, potentiellement compromises
• Ciblage apparent d’individus security-conscious via l’usurpation d’un outil 2FA

📄 Type d’article

Il s’agit d’une analyse technique et de threat intelligence publiée par DomainTools, visant à documenter l’évolution de la campagne AiFrame, exposer ses IOCs et décrire les mécanismes techniques de ses extensions malveillantes.

🧠 TTPs et IOCs détectés

Acteurs de menace

• AiFrame (cybercriminal) —

TTP

• T1176 — Browser Extensions (Persistence)
• T1185 — Browser Session Hijacking (Collection)
• T1056.003 — Input Capture: Web Portal Capture (Collection)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1102 — Web Service (Command and Control)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1114 — Email Collection (Collection)
• T1119 — Automated Collection (Collection)

IOC

• Domaines : authenticator.sh — VT · URLhaus · ThreatFox
• Domaines : whitelab.studio — VT · URLhaus · ThreatFox
• Domaines : authenticator.whitelab.studio — VT · URLhaus · ThreatFox
• Domaines : airnetic.space — VT · URLhaus · ThreatFox
• Domaines : appbox.space — VT · URLhaus · ThreatFox
• Domaines : onlineapp.pro — VT · URLhaus · ThreatFox
• Domaines : onlineapp.live — VT · URLhaus · ThreatFox
• Domaines : tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : api.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : www.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : xai.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : bard.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : grok.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : llama.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : claude.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : gemini.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : gemini.google.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : chat-ai.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : chatgbt.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : chatgpt.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : chat-gbt.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : deepseek.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : ask-gemini.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : chat-bot-gpt.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : grok-chatbot.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : authenticator.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : asking-chat-gpt.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : deepseek-to-pdf.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : chat-with-gemini.tapnetic.pro — VT · URLhaus · ThreatFox
• Domaines : sidenox.stream — VT · URLhaus · ThreatFox
• Domaines : sidentica.app — VT · URLhaus · ThreatFox
• Domaines : softnetica.com — VT · URLhaus · ThreatFox
• Domaines : ai-chat-to-pdf.com — VT · URLhaus · ThreatFox
• Domaines : heic-to-jpg.pro — VT · URLhaus · ThreatFox
• URLs : https://authenticator.whitelab.studio — URLhaus
• URLs : https://appbox.space/paywall/502 — URLhaus
• URLs : https://docs.google.com/forms/d/e/1FAIpQLScVCo51wR7L4fAbE1KRrcbHGFPwyj9i_xsSIGG9YHueZxsIAA/viewform?usp=publish-editor — URLhaus
• Emails : airnetic.space@gmail.com
• Emails : airtronics307@gmail.com
• Emails : tapnetic307@gmail.com
• Emails : convertheic2jpg@gmail.com
• Fichiers : background/service-worker.js

Malware / Outils

• AiFrame Chrome Extension (other)
• 2FA Authenticator (fake) (other)
• AI Chat to PDF (malicious) (stealer)
• Convert HEIC to JPG (malicious) (other)

🟢 Indice de vérification factuelle : 83/100 (haute)

• ✅ dti.domaintools.com — source reconnue (Rösti community) (20pts)
• ✅ 18486 chars — texte complet (fulltext extrait) (15pts)
• ✅ 42 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 1/6 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
• ✅ 10 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : AiFrame (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• whitelab.studio (domain) → VT (3/94 détections)

🔗 Source originale : https://dti.domaintools.com/securitysnacks/the-ai-frame-campaign-continues