🔍 Contexte
Publié le 20 avril 2026 par LayerX Security, cet article présente les résultats d’une recherche interne sur une campagne baptisée StealTok, impliquant au moins 12 extensions navigateur malveillantes distribuées sur les marketplaces Google Chrome et Microsoft Edge.
🎯 Nature de la campagne
Les extensions se présentent comme des téléchargeurs de vidéos TikTok (sans filigrane) tout en implémentant des mécanismes couverts de collecte de données et de configuration distante. Elles partagent toutes une base de code commune (Manifest V3), indiquant une opération coordonnée par un acteur unique ou un groupe étroitement coordonné.
La campagne repose sur un modèle opérationnel de type « whack-a-mole » :
- Upload d’une extension propre ou peu suspecte
- Acquisition d’utilisateurs et de confiance
- Introduction de fonctionnalités malveillantes via des mises à jour (6 à 12 mois après publication)
- Suppression partielle ou signalement
- Réapparition sous de nouvelles identités
📊 Impact
- Plus de 130 000 utilisateurs compromis
- ~12 500 installations actives au moment de l’analyse
- Plusieurs extensions portaient le badge “Featured” dans les stores officiels
- 8 extensions encore actives, 4 supprimées
⚙️ Capacités techniques
- Configuration distante via des serveurs contrôlés par l’attaquant (JSON fetchés depuis des domaines typosquattés)
- Injection différée de fonctionnalités malveillantes (6–12 mois après installation)
- Fingerprinting utilisateur : langue, fuseau horaire, user agent, statut de batterie, patterns d’usage
- Contournement des processus de revue des marketplaces
- Permissions et host permissions quasi-identiques entre toutes les extensions
🌐 Infrastructure C2
Domaines de configuration distante identifiés :
https://user.trafficreqort.com/data.jsonhttps://report.browsercheckdata.com/info.jsonhttps://check.qippin.com/config.jsonhttps://help.virtualbrowserer.com/rest.json
Ces domaines présentent des patterns de typosquatting (ex: “trafficreqort” au lieu de “trafficreport”).
📋 Type d’article
Il s’agit d’une publication de recherche produite par l’équipe de sécurité de LayerX, visant à documenter et exposer une campagne active de malwares sous forme d’extensions navigateur, avec fourniture d’IOCs et de TTPs.
🧠 TTPs et IOCs détectés
TTP
- T1589 — Gather Victim Identity Information (Reconnaissance)
- T1199 — Trusted Relationship (Initial Access)
- T1592 — Gather Victim Host Information (Reconnaissance)
- T1185 — Browser Session Hijacking (Collection)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1027 — Obfuscated Files or Information (Defense Evasion)
IOC
- Domaines :
trafficreqort.com— VT · URLhaus · ThreatFox - Domaines :
browsercheckdata.com— VT · URLhaus · ThreatFox - Domaines :
qippin.com— VT · URLhaus · ThreatFox - Domaines :
virtualbrowserer.com— VT · URLhaus · ThreatFox - URLs :
https://user.trafficreqort.com/data.json— URLhaus - URLs :
https://report.browsercheckdata.com/info.json— URLhaus - URLs :
https://check.qippin.com/config.json— URLhaus - URLs :
https://help.virtualbrowserer.com/rest.json— URLhaus - Emails :
mhm.mhm.mhm.mhm.mhm@gmail.com - Emails :
mhm.mhm.mhm.mhm@gmail.com - Emails :
mhm.mhm.mhm@gmail.com - Emails :
mhm.mhm@gmail.com - Emails :
mhm@gmail.com - Emails :
tiktak@gmail.com - Emails :
tiktok@gmail.com - Emails :
tik.tok@gmail.com
Malware / Outils
- StealTok (stealer)
🟡 Indice de vérification factuelle : 58/100 (moyenne)
- ⬜ layerxsecurity.com — source non référencée (0pts)
- ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
- ✅ 16 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 1/6 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 6 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
qippin.com(domain) → VT (4/94 détections)
🔗 Source originale : https://layerxsecurity.com/blog/stealtok-130k-users-compromised-by-data-stealing-tiktok-video-downloaders/