Darkspectre, el actor detrás de tres campañas para extensiones de navegador con más de 8,8 millones de víctimas

Durante siete años, un conjunto de extensiones de navegador que funcionaban de manera aparentemente legítima ha mantenido actividad maliciosa persistente, según una investigación realizada por la firma de seguridad KOI. A raíz del análisis de las campañas conocidas como ShadyPanda, GhostPoster y The Zoom Stealer, se identificó cómo estos complementos afectaron a más de 8,8 millones de usuarios de navegadores web, con consecuencias que abarcaron desde el robo de información personal hasta fraudes en línea. El principal responsable de estas operaciones ha sido identificado como Darkspectre, un actor de amenazas vinculado a China, según reportó KOI en su blog oficial.

De acuerdo con KOI, Darkspectre concentró su actividad en campañas dirigidas a extender su alcance mediante extensiones que operaban en algunos de los navegadores web más utilizados, incluyendo Chrome, Edge, Firefox y Opera. Las campañas detectadas, distribuidas bajo los nombres ShadyPanda, GhostPoster y The Zoom Stealer, presentaban técnicas diferenciadas para infiltrarse en el entorno digital de las víctimas. ShadyPanda permitió a los investigadores descubrir cien extensiones relacionadas con dos dominios —infinitynewtab.com e infinitytab.com— los cuales ofrecían servicios legítimos, pero funcionaron como fachada para la actividad ilícita.

El medio KOI detalló que estas extensiones permanecieron activas entre tres y cinco años, logrando obtener incluso diferentes insignias oficiales de verificación en las tiendas de complementos de los navegadores. Durante ese tiempo, los programas ofrecieron siempre las funciones promocionadas, como nuevas pestañas y traducción, pero, de forma oculta, ejecutaron labores de vigilancia, robo de datos corporativos y fraude de afiliados. El éxito de la operación radicó en el hecho de que las extensiones lograron mezclarse entre los programas considerados seguros por los propios distribuidores de software.

La interconexión entre diferentes campañas también resultó clave para dimensionar el alcance del riesgo, según publicó KOI. Una de las extensiones conectada a ShadyPanda compartía la infraestructura empleada por GhostPoster, otra campaña de gran alcance que comprometió a millones de usuarios de Firefox. En el caso de GhostPoster, las acciones maliciosas se camuflaban en archivos PNG que ocultaban cargas útiles, permitiendo el acceso no autorizado a los datos de los usuarios. Además, otra extensión para el navegador Opera, centrada en servicios de traducción, también estaba vinculada a esta misma red de operaciones.

KOI explicó que, junto a las anteriores, una tercera extensión presentó un patrón distinto al facilitar también la vigilancia y extracción de información, pero destinada adicionalmente a obtener datos de plataformas de videoconferencias. El análisis de esta herramienta permitió identificar otras 17 extensiones vinculadas, que conformaban la campaña denominada The Zoom Stealer. Con esta estrategia, Darkspectre amplió su capacidad de espionaje digital hacia nuevas áreas de comunicación remota y trabajo corporativo.

Las campañas asociadas a Darkspectre no se limitaron a copiar fórmulas exitosas; en lugar de reiterar un solo método, el responsable puso en marcha operaciones paralelas en distintos navegadores, cada una con objetivos y tácticas singularizadas, indicó KOI en su blog oficial. Estos esfuerzos coordinados emplearon herramientas distintas que, aunque compartían ciertas infraestructuras, perseguían metas específicas con técnicas adaptadas a cada ecosistema digital.

La firma de seguridad digital KOI logró identificar más de 300 extensiones asociadas con Darkspectre, consolidando a este actor como responsable de una de las operaciones más extensas y estructuradas en el ámbito de las amenazas cibernéticas a través de extensiones para navegador. La investigación subraya la complejidad para los usuarios comunes de distinguir entre productos legítimos y aquellos que, aunque certificados y aparentemente confiables, ejecutan actividades fraudulentas al amparo de la tecnología de los navegadores.

Según consignó KOI, la presencia de las insignias oficiales de verificación y el hecho de que las extensiones realizaban las funciones prometidas supuso un reto extraordinario para la detección de sus acciones ilícitas. Las investigaciones expusieron la necesidad de vigilancia constante en las plataformas de distribución de software y la importancia de que las políticas de control se adapten ante nuevas estrategias empleadas por actores como Darkspectre.

En los reportes publicados, KOI señaló que los hallazgos ponen de manifiesto cómo las técnicas de ataque evolucionan en paralelo a las medidas de seguridad y que incluso herramientas aparentemente inofensivas pueden convertirse en vectores efectivos para el espionaje y el fraude digital masivo.