Investigadores en ciberseguridad de Koi han destapado una de las operaciones de espionaje y fraude digital más amplias de los últimos años. Bautizada como DarkSpectre, la campaña vincula múltiples ataques maliciosos distribuidos a través de extensiones de navegador que, durante años, se presentaron como herramientas legítimas y funcionales. El alcance es difícil de ignorar: más de 8,8 millones de usuarios descargaron estos complementos, quedando expuestos a riesgos de seguridad a lo largo de un periodo de siete años.
El hallazgo se produjo de forma casi accidental. Los analistas de Koi investigaban inicialmente una campaña conocida como ShadyPanda, basada en extensiones populares para Chrome y Edge que habían infectado a más de cuatro millones de dispositivos. Sin embargo, lo que parecía un caso aislado terminó revelándose como una operación mucho más compleja. ShadyPanda era solo una pieza dentro de una estructura de tres campañas interconectadas, todas ellas con métodos similares y objetivos maliciosos alineados.
Una infraestructura compartida y cuidadosamente ocultada
Al analizar la infraestructura técnica de ShadyPanda, los investigadores detectaron dominios ocultos y patrones de comunicación que no encajaban con una única campaña. Esos mismos dominios estaban vinculados a otras extensiones disponibles en distintos marketplaces oficiales, incluidos Firefox, Edge y Chrome. La conclusión fue clara: los atacantes habían desplegado un ecosistema completo de extensiones aparentemente benignas, todas conectadas a una misma red de mando y control.
DarkSpectre se articula en torno a tres campañas principales. La primera, Zoom Stealer, logró infectar a unos 2,2 millones de usuarios en Firefox, Chrome y Edge. La segunda, ShadyPanda, alcanzó a 5,6 millones de usuarios en esos mismos navegadores. La tercera, GhostPoster, afectó a 1,05 millones de instalaciones de Firefox. En todos los casos, las extensiones cumplían funciones útiles —descarga de vídeos, gestión de reuniones o automatización de tareas— lo que facilitó su adopción masiva sin levantar sospechas.
Activación retardada y malware bajo demanda
Uno de los aspectos más inquietantes de DarkSpectre es su enfoque basado en la paciencia. Las extensiones no eran abiertamente maliciosas en el momento de su instalación. Por el contrario, permanecían inactivas durante largos periodos, funcionando como herramientas legítimas. Solo cuando los operadores lo decidían, se activaba la carga maliciosa.
El malware real se entregaba desde servidores de mando y control mediante código JavaScript oculto, descargado de forma remota. Esta activación diferida complicó enormemente la detección por parte de los sistemas de seguridad y permitió que las extensiones permanecieran años en las tiendas oficiales antes de ser “armadas”.
Además, aunque compartían infraestructura, las tres campañas no perseguían exactamente los mismos objetivos. Según Koi, ShadyPanda estaba orientada a la vigilancia a gran escala y el fraude de afiliación, mientras que otras variantes apuntaban a la recopilación de información más específica.
Esteganografía y técnicas avanzadas de evasión
Otra campaña asociada, conocida como Trojan Image, utilizó técnicas de esteganografía para ocultar código malicioso dentro de archivos PNG que se presentaban como simples iconos. Las extensiones cargaban estas imágenes, extraían el JavaScript oculto y ejecutaban la carga tras un retraso de 48 horas. Este tipo de técnicas, más comunes en operaciones avanzadas de espionaje, refuerzan la idea de que DarkSpectre no es obra de ciberdelincuentes oportunistas.
La lista de extensiones comprometidas incluye nombres que resultan familiares para millones de usuarios, como Chrome Audio Capture, Zoom Easy Downloader, Google Meet Auto Admit o supuestos traductores y descargadores de contenido para redes sociales. En algunos casos, incluso imitaban herramientas oficiales, aprovechando la confianza que los usuarios depositan en marcas ampliamente utilizadas.
Zoom Stealer y el espionaje corporativo
Entre las tres campañas, Zoom Stealer destaca por su orientación claramente corporativa. Según los investigadores, esta variante era capaz de extraer información en tiempo real de más de 28 plataformas de videoconferencia. Utilizando exfiltración de datos basada en WebSockets, los atacantes podían acceder a enlaces de reuniones, credenciales, dossiers internos y otra información sensible.
En un contexto en el que el teletrabajo y las reuniones virtuales forman parte del día a día de empresas y administraciones, este tipo de acceso supone un riesgo estratégico. No se trata solo de robo de datos aislado, sino de la posibilidad de reconstruir dinámicas internas, relaciones comerciales y procesos de toma de decisiones.
