Una campaña silenciosa perpetrada durante siete años por el grupo ShadyPanda, aprovechó la confianza de los usuarios en Chrome y Edge para transformar extensiones legítimas en plataformas de vigilancia, robo de datos y ejecución remota de código, sin que usuarios ni marketplaces detectaran la amenaza.
Una investigación de la firma de seguridad Koi Security reveló un grupo de amenazas identificado como ShadyPanda, llevó adelante una campaña de siete años para convertir extensiones de navegador aparentemente inocuas en herramientas de espionaje digital. Según los investigadores, el operativo acumuló más de 4,3 millones de instalaciones entre Google Chrome y Microsoft Edge, aprovechando el prestigio de extensiones “featured” o “verified” antes de inyectar actualizaciones maliciosas. “El auto-update -diseñado para mantener a los usuarios seguros- se convirtió en el vector de ataque”, adviertieron desde Koi, al señalar que las tiendas de extensiones “no observan qué ocurre después de aprobarlas”.
De acuerdo con la investigación, el proceso de infección se desarrolló en etapas. Las primeras señales aparecieron en 2023, cuando decenas de extensiones publicadas por desarrolladores como “nuggetsno15” o “rocket Zhang” imitaban herramientas de productividad o colecciones de fondos de pantalla. Su función inicial era generar fraude de afiliados. Para ello inyectaban códigos de seguimiento en enlaces de sitios como eBay, Amazon o Booking.com para obtener comisiones ilícitas. Pero en 2024 la evolución fue más agresiva, cuando aparecieron extensiones como Infinity V+, las que comenzaron a redirigir todas las búsquedas hacia trovi.com, un conocido secuestrador de navegadores, mientras enviaban cookies y consultas a dominios controlados externamente.
El punto de quiebre llegó a mediados de 2024, cuando cinco extensiones -entre ellas varias que llevaban años operando legítimamente- recibieron una actualización que añadió capacidades de ejecución remota de código. El cambio permitió que cada navegador infectado consultara una vez por hora el dominio api.extensionplay[.]com para descargar e implementar nuevas instrucciones. “Cada navegador comprometido ejecuta un framework de RCE con acceso completo a la API del navegador”, señalaron desde Koi. Esta puerta trasera podía monitorear todas las visitas, obtener huellas digitales completas y enviar la información cifrada a servidores como api.cleanmasters[.]store, además de inyectar código malicioso en cualquier sitio, incluso en conexiones HTTPS.
Una de las extensiones más destacadas en esta fase fue Clean Master, que llegó a tener 200 mil instalaciones en Chrome y contaba con verificación de Google antes de ser modificada. Aunque ya fue eliminada de las tiendas, Koi advirtió que la infraestructura que permite ataques “a escala industrial” aún se mantiene activa en los navegadores que siguen infectados.
La etapa final del operativo continúa activa en el marketplace de Edge. Cinco extensiones publicadas en 2023, incluidas WeTab y Infinity New Tab Pro, suman más de cuatro millones de instalaciones y aún pueden descargarse. Estas recopilan información con un nivel de detalle inusual, registrando cada URL visitada, consultas de búsqueda, clics con coordenadas precisas, comportamiento de desplazamiento, datos de almacenamiento local, cookies e identificadores persistentes. Los datos se envían a 17 servidores en China. “Los usuarios las están descargando ahora mismo”, recalcaron los especialistas de Koi, advirtiendo que todas poseen permisos suficientes para recibir un backdoor idéntico al de Clean Master si los operadores deciden activarlo.
Google confirmó que ninguna de estas extensiones sigue disponible en su tienda, Microsoft no ha informado si se mantienen en Edge. Los especialistas recomendaron eliminar cualquier extensión vinculada a la campaña -145 en total- y restablecer contraseñas ante el riesgo de robo de credenciales o secuestro de sesiones.