Destapan gigantesco ciberataque en Google Chrome, Microsoft Edge y más navegadores: 8,8 millones de usuarios afectados

Durante más de siete años, una de las campañas de malware más complejas y persistentes logró evadir la atención global de los sistemas de seguridad. El grupo responsable, identificado como DarkSpectre, desarrolló una infraestructura sofisticada que permitió infiltrar navegadores como Google Chrome, Microsoft Edge, Mozilla Firefox y Opera, comprometiendo los dispositivos de 8,8 millones de usuarios en todo el mundo.

Esta operación, que combinó estrategias de espionaje, fraude financiero y recopilación de inteligencia corporativa, expone los riesgos que enfrentan los usuarios al instalar extensiones aparentemente legítimas desde tiendas oficiales.

Cómo fue el ataque a los navegadores web

Investigadores de la firma de ciberseguridad Koi.ai revelaron que DarkSpectre no actuó como una campaña aislada, sino como una operación criminal altamente organizada que desplegó al menos tres campañas principales y gestionó cerca de 300 extensiones maliciosas.

Estas extensiones pasaron inadvertidas durante años, logrando obtener millones de instalaciones y acumular valoraciones positivas en los marketplaces oficiales, lo que facilitó su propagación y la confianza de los usuarios.

Las campañas, conocidas como ShadyPanda, GhostPoster y Zoom Stealer, comparten infraestructura y modus operandi, pero se especializaron en objetivos y técnicas diferentes.

La legitimidad de las extensiones, su mantenimiento sostenido durante años y su activación diferida convirtieron a esta operación en un caso emblemático de amenazas persistentes avanzadas.

Las campañas alcanzaron extensiones para Chrome, Edge, Firefox y Opera, impactando tanto a usuarios individuales como a organizaciones y empresas. La campaña ShadyPanda, por ejemplo, concentró sus esfuerzos en la manipulación del tráfico de comercio electrónico y la vigilancia masiva, mientras que GhostPoster se orientó a la entrega de cargas maliciosas de manera sigilosa a través de navegadores menos vigilados como Firefox y Opera.

El segmento corporativo, sin embargo, se convirtió en blanco de una ofensiva aún más preocupante. La campaña Zoom Stealer permitió a los ciberdelincuentes recolectar de manera sistemática información sensible sobre reuniones y sesiones virtuales en plataformas como Zoom, Microsoft Teams y Google Meet.

Los investigadores registraron la presencia de extensiones maliciosas que se presentaban como herramientas de productividad o utilidades para vídeo, capaces de sustraer datos en tiempo real, como enlaces, credenciales, listas de participantes y detalles de sesiones online.

Así fueron las tres modalidades de ataque

La operación de DarkSpectre se basó en tres grandes “playbooks” o estrategias diferenciadas, adaptadas a los objetivos y características de cada plataforma.

• ShadyPanda: vigilancia y fraude a escala masiva

La campaña ShadyPanda logró infectar a 5,6 millones de usuarios mediante más de 100 extensiones que, durante años, operaron como herramientas inofensivas (gestores de pestañas, traductores, páginas de nueva pestaña). Solo tras acumular una base de usuarios considerable, los operadores activaron funciones maliciosas a través de actualizaciones remotas.

Estas extensiones comenzaban a descargar configuraciones desde servidores de comando y control, lo que permitía modificar su comportamiento en cualquier momento, sin necesidad de actualizaciones visibles.

Entre las acciones maliciosas destacan la inyección remota de código para robar información sensible, el secuestro de resultados de búsqueda, el rastreo persistente de la actividad del usuario y el reemplazo de enlaces legítimos por enlaces de afiliados fraudulentos en sitios de comercio electrónico como JD.com y Taobao.

• GhostPoster: sigilo y esteganografía

La campaña GhostPoster afectó a más de 1 millón de usuarios, principalmente de Firefox y Opera. Su técnica más destacada consistió en ocultar código JavaScript malicioso dentro de archivos de imagen PNG, mediante esteganografía. Al instalarse la extensión, esta extraía y ejecutaba el código oculto, permitiendo la ejecución remota de comandos y la entrega de cargas adicionales.

Además, el despliegue de la carga maliciosa podía demorarse hasta 48 horas y activarse solo en un pequeño porcentaje de los usuarios, lo que dificultó aún más su detección.

Uno de los ejemplos más notorios fue la extensión “Google Translate” para Opera, que instalaba un backdoor mediante un iframe oculto, deshabilitaba protecciones antifraude y comunicaba información a servidores previamente relacionados con otras campañas de DarkSpectre.

• Zoom Stealer: espionaje corporativo y exfiltración en tiempo real

La campaña más reciente, Zoom Stealer, identificada a finales de 2025, supuso un salto cualitativo hacia el espionaje corporativo. Afectó a 2,2 millones de usuarios a través de al menos 18 extensiones distribuidas en Chrome, Edge y Firefox.

Estas extensiones, presentadas como utilidades de productividad para videollamadas, solicitaban permisos de acceso a más de 28 plataformas de videoconferencia. Una vez instaladas, recolectaban de forma automática enlaces de reuniones, credenciales, listas de participantes, nombres, cargos, fotos y otros datos profesionales de los ponentes y asistentes.

La información era exfiltrada en tiempo real mediante conexiones WebSocket a bases de datos en la nube, como Firebase, y a través de servicios aparentemente legítimos que oficiaban de fachada. Esta operación facilitó el acceso a reuniones corporativas confidenciales y permitió la construcción de una base de datos con inteligencia profesional y comercial de alto valor.