Un groupe de pirates informatiques lié à la Chine, DarkSpectre, a mené pendant sept ans une campagne de logiciels malveillants qui a infecté 8,8 millions de navigateurs tels que Chrome, Edge, Firefox et Opera via des extensions trompeuses. Ces dernières ont volé des données sensibles, notamment des frappes clavier et des détails de réunions Zoom, à des fins d'espionnage potentiel. Cette violation met en évidence les vulnérabilités des navigateurs, ce qui incite à renforcer les mesures de sécurité et la vigilance des utilisateurs.Dans les recoins obscurs du monde numérique, une cybermenace sophistiquée a fait son apparition, jetant une ombre sur des millions d'internautes. L’affaire aurait pu rester invisible encore longtemps si plusieurs équipes de chercheurs n’avaient pas fini par comprendre qu’un réseau d’extensions « tout à fait banales » pour Chrome et Microsoft Edge, actives depuis parfois plus de trois ans, dissimulait en réalité un mécanisme de compromission à retardement. Avec 4,3 millions d’utilisateurs touchés, cette opération démontre à quel point l’écosystème des extensions navigateurs est devenu un terrain d’attaque sophistiqué, patient et diablement efficace. Les professionnels de la cybersécurité y voient désormais l’un des vecteurs les plus sous-estimés de la menace moderne.
Récemment, un rapport a révélé qu'un groupe de pirates informatiques lié à la Chine, connu sous le nom de DarkSpectre, a orchestré l'une des campagnes de logiciels malveillants les plus importantes de l'histoire récente, infectant plus de 8,8 millions d'utilisateurs de navigateurs web populaires, notamment Google Chrome, Microsoft Edge, Mozilla Firefox et même Opera. Cette opération, qui s'est étendue sur sept ans, impliquait des extensions de navigateur malveillantes qui collectaient discrètement des données sensibles, allant de l'historique de navigation aux informations commerciales.
L'ampleur de la campagne est stupéfiante, DarkSpectre employant des tactiques coordonnées pour distribuer des logiciels malveillants via des extensions apparemment légitimes. Les chercheurs en sécurité ont découvert les activités du groupe pour la première fois fin 2025, les reliant à une série d'infections qui ont commencé dès 2018. En se faisant passer pour des outils utiles tels que des bloqueurs de publicités ou des outils d'amélioration de la productivité, ces extensions ont gagné la confiance des utilisateurs avant de se retourner contre eux. Une fois installées, elles exfiltraient des données vers des serveurs distants contrôlés par les pirates, souvent sans que les utilisateurs ne remarquent immédiatement quoi que ce soit d'anormal. Cette méthode a permis à DarkSpectre d'amasser une vaste quantité d'informations, potentiellement à des fins d'espionnage ou de gain financier.
Un rapport a décrit comment le groupe ciblait les utilisateurs sur plusieurs plateformes. Le logiciel malveillant ne se contentait pas de voler des mots de passe ou des cookies ; il allait plus loin, capturant des captures d'écran, des frappes au clavier et même des détails provenant de réunions en ligne. Dans une variante, baptisée « Zoom Stealer », les extensions récoltaient des données provenant de sessions de vidéoconférence, notamment des URL, des identifiants de réunion et des mots de passe intégrés.
Ce niveau d'intrusion soulève des inquiétudes quant à la sécurité des entreprises, celles-ci s'appuyant de plus en plus sur des outils basés sur des navigateurs pour le travail à distance. Ces révélations interviennent à un moment où la sécurité des navigateurs fait l'objet d'une attention particulière, mettant en évidence des vulnérabilités que même les géants de la technologie ont du mal à contenir.
Dévoilement des opérateurs fantômes
Selon les experts en cybersécurité qui ont analysé l'infrastructure de commande et de contrôle, les origines de DarkSpectre remontent à la Chine. Les techniques du groupe portent la marque d'opérations parrainées par l'État, bien que l'attribution définitive reste difficile à établir. Au fil des ans, ils ont mené trois campagnes distinctes, chacune affinant leur approche pour échapper à la détection. La première vague consistait à publier des extensions inoffensives sur des boutiques officielles telles que le Chrome Web Store, afin de constituer une base d'utilisateurs avant de diffuser des mises à jour malveillantes. Cette tactique d'appât et de substitution exploitait la confiance des utilisateurs dans les marchés vérifiés.
Les campagnes suivantes sont devenues plus audacieuses, intégrant des mécanismes de persistance avancés. Les logiciels malveillants détournaient les sessions de navigation, injectant du code qui survivait aux redémarrages et aux mises à jour. Les utilisateurs de Firefox, souvent considérés comme plus soucieux de leur vie privée, n'ont pas été épargnés ; des extensions adaptées au navigateur ont siphonné les données avec la même efficacité. ces infections se sont propagées grâce à l'ingénierie sociale, attirant les utilisateurs avec la promesse d'une expérience de navigation améliorée. Il en a résulté un réseau d'appareils compromis, qui fournissait des informations aux responsables de DarkSpectre.
L'élément humain dans cette saga ne peut être négligé. De nombreuses victimes étaient des utilisateurs lambda, mais l'accent mis par la campagne sur les données d'entreprise suggère une approche d'espionnage ciblée. Des extensions telles que celles imitant les VPN ou les gestionnaires de mots de passe populaires ont collecté des identifiants dans des environnements d'entreprise. Dans des publications sur les réseaux sociaux, des passionnés de cybersécurité ont exprimé leur choc face à la durée de la violation, l'un d'entre eux soulignant que ShadyPanda, un acteur potentiellement lié, avait également utilisé des extensions à des fins malveillantes après avoir gagné en popularité. Ce schéma souligne une tendance plus large selon laquelle les pirates exploitent les faiblesses de l'écosystème des extensions.
Les mécanismes de la tromperie numérique
En se plongeant dans les fondements techniques, le logiciel malveillant DarkSpectre a exploité les API des navigateurs pour accéder à des informations sensibles sans déclencher d'alerte. Pour Chrome et Edge, qui partagent le moteur Chromium, le groupe a utilisé des exploits de version manifeste pour contourner les contrôles d'autorisation. Les extensions Firefox, construites sur une architecture différente, nécessitaient des charges utiles personnalisées, impliquant souvent des API WebExtensions pour l'exfiltration de données. Opera, bien que moins souvent ciblé, a été victime d'extensions compatibles qui reflétaient celles d'autres plateformes.
Le processus d'infection commençait généralement par le téléchargement d'une extension depuis une boutique officielle ou une publicité trompeuse par l'utilisateur. Une fois active, elle communiquait avec des serveurs de commande, recevant des instructions pour collecter des types de données spécifiques. Dans certains cas, le logiciel malveillant utilisait le chiffrement pour masquer le trafic sortant, ce qui rendait sa détection plus difficile pour les moniteurs réseau. Au cours des sept dernières années, ces campagnes ont évolué, intégrant des vulnérabilités zero-day pour maintenir leur persistance même après les mises à jour des navigateurs.
La comparaison avec les menaces passées met en lumière la sophistication de DarkSpectre. Contrairement aux attaques brutales comme les ransomwares, il s'agissait d'une opération subtile et de longue haleine qui rappelait la violation de SolarWinds. Des rapports ont souligné les similitudes avec des logiciels malveillants antérieurs qui avaient exfiltré des données de plusieurs navigateurs, qualifiant l'un de ces incidents de « plus grand vol de données de l'histoire ». Avec 8,8 millions d'utilisateurs touchés, DarkSpectre est en passe de remporter ce titre douteux, avec des implications pour la confidentialité à...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.