Investigadores han descubierto DarkSpectre, un actor de amenazas chino bien financiado responsable de infectar a más de 8.8 millones de usuarios en los navegadores Chrome, Edge y Firefox a través de una serie de campañas de malware altamente coordinadas que abarcan siete años.

El descubrimiento revela un nivel de sofisticación operativa raramente visto en el panorama de amenazas, con el grupo ejecutando múltiples campañas distintas simultáneamente, cada una dirigida a diferentes objetivos que van desde el fraude al consumidor hasta el espionaje corporativo.

La operación consta de tres campañas principales: ShadyPanda, que afecta a 5.6 millones de usuarios, la campaña recién descubierta Zoom Stealer, que ataca a 2.2 millones de usuarios, y GhostPoster, que impacta a 1.05 millones de usuarios.

En lugar de operar como actores de amenazas separados, los investigadores confirmaron que estas representan una única organización criminal, altamente organizada, con recursos sustanciales y capacidades de planificación estratégica.

El grupo demuestra una paciencia notable, manteniendo extensiones de navegador de apariencia legítima durante cinco o más años antes de convertirlas en armas con cargas útiles maliciosas.

Los analistas de Koi identificaron la conexión entre estas campañas mientras analizaban la infraestructura vinculada a ShadyPanda.

Descubrieron que, si bien el grupo utilizaba dos dominios legítimos—infinitynewtab.com e infinitytab.com—para alimentar características reales de la extensión, como widgets meteorológicos y páginas de nueva pestaña, estos mismos dominios se conectaban a una infraestructura de comando y control completamente diferente y maliciosa.

Esta inteligente técnica de incrustar funcionalidad legítima junto con código malicioso oculto se convirtió en el hilo conductor que unía las tres operaciones.

El proceso de descubrimiento se asemejó a seguir una compleja red. Un dominio llevó a extensiones, que revelaron nuevos dominios, que se conectaron a extensiones adicionales operadas por editores con docenas de otras herramientas maliciosas.

La expansión finalmente descubrió más de 100 extensiones conectadas en múltiples mercados de navegadores.

A medida que los investigadores investigaban más a fondo, notaron que ciertas extensiones recién descubiertas se comunicaban con dominios que ya habían sido marcados en investigaciones anteriores, confirmando que ShadyPanda, GhostPoster y Zoom Stealer representaban a un único actor que operaba a escala estatal.

Activación de Bomba de Tiempo y Tácticas de Evasión

El aspecto más alarmante de la metodología de DarkSpectre radica en sus sofisticadas técnicas de persistencia y evasión de detección.

El grupo emplea lo que los investigadores denominan extensiones “bomba de tiempo”—herramientas maliciosas que permanecen inactivas durante períodos prolongados antes de activar su carga útil.

Una extensión llamada “New Tab – Customized Dashboard” demuestra este enfoque esperando tres días después de la instalación antes de conectarse a los servidores de comando y control para descargar su código malicioso real.

Durante el proceso de revisión, cuando los mercados evalúan las extensiones para su seguridad, esta extensión aparece completamente legítima. Los revisores del navegador no pueden detectar el comportamiento malicioso porque simplemente no se activa durante las pruebas.

La extensión solo comienza sus actividades maliciosas después de pasar todas las verificaciones de seguridad y llegar al navegador de un usuario real.

Para evadir aún más la detección, el malware solo se activa en aproximadamente el diez por ciento de las cargas de página, lo que dificulta exponencialmente su identificación durante las pruebas o el análisis rutinario.

La entrega de la carga útil en sí muestra técnicas avanzadas de ofuscación. DarkSpectre disfraza el código malicioso como archivos de imagen PNG, un método conocido como esteganografía.

La extensión carga su propio logotipo, extrae el código JavaScript oculto incrustado dentro del archivo de imagen y lo ejecuta silenciosamente en segundo plano.

El JavaScript está envuelto en múltiples capas de protección, incluido el codificación personalizada, el cifrado XOR y el código empaquetado diseñado específicamente para derrotar las herramientas de detección automatizadas.

Una vez activada, la extensión descarga aproximadamente sesenta y siete kilobytes de JavaScript adicional codificado desde los servidores de los operadores, lo que les da a los actores de amenazas el control total sobre lo que se ejecuta en el navegador del usuario sin requerir una actualización de la extensión que volvería a activar el proceso de revisión.

Este enfoque basado en la configuración representa la verdadera innovación en la operación de DarkSpectre. En lugar de enviar actualizaciones para cambiar la funcionalidad—lo que alertaría a los revisores y usuarios—, los operadores simplemente modifican lo que sus servidores devuelven cuando las extensiones llaman a casa.

Los defensores no pueden combatir la amenaza bloqueando una sola actualización maliciosa porque el actor de amenazas cambia la carga útil en sus servidores de backend dinámicamente, manteniendo una flexibilidad operativa completa.