Durant més de set anys, una xarxa d'extensions malicioses va aconseguir campar a gust en navegadors com Chrome i Edge, afectant també altres com Firefox i Opera sense aixecar sospites en milions d'usuaris. El que semblava ser un ecosistema relativament segur a les botigues oficials de complements ara s'ha destapat com un dels incidents de seguretat més prolongats i massius dels últims temps.
La investigació, revelada recentment per la signatura de ciberseguretat Koi.ai, detalla com un grup organitzat, batejat com Espectre Fosc, va aconseguir introduir i mantenir actiu un entramat al voltant de 300 extensions fraudulentes. Aquestes eines, instal·lades per uns 8,8 milions d'usuaris a tot el món, van estar actives des del 2018 fins a finals del 2025, robant dades, espiant l'activitat en línia i explotant la confiança de les botigues oficials.
Un atac silenciós a Chrome, Edge i altres navegadors
El nucli de l'atac es va recolzar a extensions presentades com a eines aparentment útils: bloquejadors d'anuncis, utilitats de productivitat, traductors o complements per personalitzar el navegador. Moltes estaven disponibles en catàlegs oficials de Google Chrome, Microsoft Edge, Mozilla Firefox i Opera, cosa que va donar als usuaris una sensació de seguretat que, amb el temps, es va demostrar infundada.
Segons les dades fetes públiques, DarkSpectre va anar perfeccionant els seus mètodes des del 2018, de manera que les extensions malicioses aconseguien passar els filtres automatitzats i les revisions periòdiques. La clau va ser que bona part del codi perillós s'activava només després d'assolir un volum rellevant d'instal·lacions o mitjançant actualitzacions posteriors que modificaven el comportament original del complement.
A la pràctica, això significava que una extensió podia arribar a les botigues com una eina legítima, acumular descàrregues i valoracions, i només després, mitjançant una actualització silenciosa, incorporar-hi el component maliciós. L'atac va aconseguir aprofitar així un dels punts febles del model de confiança als repositoris oficials, on es tendeix a assumir que les actualitzacions són millores rutinàries.
Koi.ai subratlla que la majoria de les víctimes van utilitzar navegadors basats en Chromium, especialment Chrome i Edge, per la seva enorme quota de mercat a Europa i la resta del món. Tot i això, la campanya també va aconseguir usuaris de Firefox i Opera, cosa que evidencia que l'objectiu no era un únic navegador, sinó l'ecosistema d'extensions al complet.
Mètodes d'engany: ressenyes falses i actualitzacions encobertes
DarkSpectre va recórrer a escalar l'abast de l'atac. tècniques de reputació artificial. Moltes de les extensions afectades apareixien a les botigues amb puntuacions elevades i ressenyes positives generades de forma automatitzada o coordinada, cosa que les col·locava entre les recomanacions destacades i augmentava la seva visibilitat de cara a nous usuaris.
A més, el grup va desplegar un sistema de actualitzacions encobertes que canviaven gradualment la funcionalitat del complement. Durant els primers mesos de vida d'una extensió, el comportament podia ser gairebé irreprotxable, limitant-se a la funció promesa. Un cop aconseguida una base sòlida d'instal·lacions, s'hi afegien mòduls ocults orientats a robar dades, manipular el trànsit web o inserir publicitat invasiva sense el consentiment de lusuari.
En alguns casos documentats, aquestes extensions funcionaven com a autèntics “cavalls de Troia” al navegador. Almenys una trentena de complements populars -entre ells falsos bloquejadors d'anuncis i eines de personalització- incloïen codi preparat per a capturar credencials bancàries, contrasenyes de xarxes socials i dades d'autocompletat. Tota aquesta informació s'enviava en temps real a servidors controlats pels atacants.
Al costat del robatori directe de dades, es va detectar també un component orientat a la injecció de publicitat i la redirecció a pàgines de phishing. És a dir, l'usuari podia veure com les cerques es desviaven cap a webs fraudulentes o com apareixien anuncis de procedència dubtosa, generant ingressos per a la xarxa criminal i obrint la porta a estafes addicionals.
Aquest model híbrid -barreja de frau econòmic, robatori d'informació i manipulació del trànsit- va permetre que l'atac fos rendible mentre seguia passant desapercebut per a la majoria de sistemes de detecció i, sobretot, per als mateixos afectats.
Tres campanyes principals: ShadyPanda, GhostPoster i Zoom Stealer
L'operació orquestrada per DarkSpectre es va dividir en tres grans línies d'actuació, cadascuna amb objectius i mètodes diferents, però amb un denominador comú: aprofitar la confiança dels usuaris a les botigues d'extensions i esprémer els permisos concedits al navegador.
La primera gran fase, coneguda com ShadyPanda, es va centrar en extensions que simulaven ser utilitats inofensives. Més d'un centenar d'aquests complements van arribar a infectar-ne uns 5,6 milions d'usuaris, sobretot en navegadors basats en Chromium. Mentre van mantenir un perfil baix, oferien les funcions promeses, però un cop assolit un volum crític d'instal·lacions, es van activar capacitats ocultes per a:
- Cometre fraus en compres en línia, modificant o interceptant formularis i passarel·les de pagament.
- Robar dades sensibles, des de credencials d'accés fins a informació de targetes i adreces d'enviament.
- Manipular enllaços legítims a grans portals de comerç electrònic, redirigint l'usuari a llocs clonats o modificant la destinació final de certes transaccions.
La segona campanya, batejada com GhostPoster, va afectar més de 1 milió d'usuaris, amb especial incidència en Firefox i Opera. El seu tret més cridaner va ser l'ús de esteganografia, una tècnica que permet amagar codi maliciós dins d'imatges aparentment normals. D'aquesta manera, les extensions podien descarregar i executar instruccions remotes o nous mòduls de codi maliciós sense aixecar sospites en els sistemes d'anàlisi tradicionals.
En el marc de GhostPoster es va descobrir un cas especialment preocupant: una versió manipulada de la popular extensió de “Google Translate” per a Opera. Aquesta variant incloïa un iframe invisible que n'instal·lava una porta del darrere, desactivava mecanismes antifrau del navegador i enviava informació a servidors associats a DarkSpectre. L'usuari, mentrestant, seguia veient el traductor funcionant amb normalitat aparent.
La tercera i última gran ofensiva es va conèixer com Lladre de zoom i es va desplegar a la fi de 2025, quan l'ús d'eines de videoconferència ja estava plenament establert a l'entorn laboral europeu. Aquesta campanya va utilitzar 18 extensions específiques per a plataformes com Zoom, Microsoft Teams i Google Meet, arribant a comprometre a uns 2,2 milions d'usuaris, entre ells empleats d'empreses i administracions públiques.
Zoom Stealer estava orientada al espionatge corporatiu ia obtenir intel·ligència de negoci. Les extensions aconseguien accés a reunions confidencials, recopilaven enllaços d'invitació, credencials d'accés i fins i tot dades associades a calendaris corporatius. Amb això, els atacants van poder fer bases de dades amb informació professional, documents compartits i detalls estratègics d'alt valor econòmic.
Impacte en usuaris i empreses europees
L‟efecte acumulat d‟aquestes campanyes va ser notable. Milions d'usuaris es van veure sotmesos a vigilància constant, robatori de dades personals i exposició a estafes financeres, en molts casos sense ser conscients de lorigen del problema. Rebre càrrecs sospitosos, notar canvis subtils a les cerques o patir redireccions estranyes podien atribuir-se a errors puntuals, quan en realitat responien a l'activitat d'aquestes extensions.
A l'àmbit corporatiu, especialment a Espanya i la resta d'Europa, les conseqüències van ser encara més delicades. La combinació de ShadyPanda i Zoom Stealer va obrir portes tant al frau directe com a l'espionatge empresarial: accés a reunions estratègiques, filtració de documents compartits per pantalla, captures de xats interns i recopilació d'informació sobre projectes, clients i proveïdors.
Empreses amb seus a la Unió Europea, subjectes a regulacions com el Reglament General de Protecció de Dades (RGPD), s'enfronten ara al repte de avaluar l'abast real de la fugida d'informació. No es tracta només de dades personals de treballadors i clients, sinó també de secrets comercials, fulls de ruta de productes i acords confidencials que van poder quedar exposats durant anys.
La naturalesa pròpia de les extensions fa que l'impacte sigui difícil de mesurar: moltes s'instal·laven en equips de teletreball, portàtils personals i dispositius mòbils utilitzats per connectar-se a xarxes corporatives. Això difumina les fronteres entre allò domèstic i allò professional, complicant tant la investigació forense com la resposta organitzativa.
En paral·lel, l'atac ha revifat el debat a Europa sobre la responsabilitat dels grans proveïdors de navegadors i botigues d'aplicacions a l'hora de filtrar i supervisar continguts. Tot i que hi ha processos de revisió, el cas DarkSpectre evidencia que els sistemes actuals no han estat suficients per aturar una operació de llarg recorregut tan ben planificada.
Com es va mantenir ocult durant tants anys
Un dels aspectes que més crida l'atenció en aquest ciberatac és el vostre durada inusualment perllongada. No estem davant d'un incident puntual, sinó davant d'una operació que va evolucionar durant més de set anys, adaptant-se a canvis als navegadors, polítiques de les botigues i eines d'anàlisi de seguretat.
DarkSpectre va emprar una estructura modular, amb infraestructures de comandament i control distribuïdes i dominis que s'anaven rotant per dificultar-ne el seguiment. En molts casos, el codi maliciós s'activava només sota determinades condicions —per exemple, en visitar certs llocs de comerç electrònic, iniciar sessió en serveis bancaris o unir-se a una trucada de vídeo—, reduint així el soroll que podia cridar l'atenció d'eines de seguretat.
Un altre element clau va ser l'ús de tècniques d'ofuscació i càrrega diferida de components. En lloc d'incloure tot el codi maliciós (malware) en el propi paquet de l'extensió, part de la lògica perjudicial es descarregava més tard des de servidors remots o s'amagava en recursos aparentment innocus, com imatges. Això feia que les anàlisis estàtiques —les que es fan sobre l'arxiu abans de la seva instal·lació— fossin menys eficaces.
A més, l'operació es va beneficiar de la fragmentació de l'ecosistema de seguretat. Mentre algunes extensions podien ser detectades o reportades en un navegador o regió concreta, altres variants seguien actives a diferents botigues o sota noms lleugerament modificats. Aquesta capacitat per reinventar-se amb petits canvis va ajudar que la campanya es mantingués viva malgrat les baixes puntuals.
Els investigadors assenyalen també la manca de consciència generalitzada sobre el risc real de les extensions. Molts usuaris concedeixen permisos amplis sense revisar quin accés estan atorgant: lectura i modificació de totes les dades a les pàgines visitades, accés a pestanyes, historial de navegació o integració amb altres serveis. Aquestes autoritzacions, en mans de grups com DarkSpectre, esdevenen la porta d'entrada ideal per a l'exfiltració massiva d'informació.
Recomanacions per a usuaris de Chrome i Edge
Arran de la publicació de la investigació, experts en ciberseguretat han insistit en la necessitat que usuaris i organitzacions revisin a fons les extensions instal·lades als seus navegadors, especialment a Chrome i Edge, on s'ha concentrat una part substancial de l'atac.
Com a primer pas, s'aconsella fer-ne una auditoria manual de tots els complements presents al navegador. Convé eliminar qualsevol extensió que no es reconegui, que no s'utilitzi de manera habitual o la procedència de la qual no sigui clarament identificable. En entorns corporatius, el que és recomanable és establir-ne una llista blanca d'extensions permeses i bloquejar la instal·lació de noves eines sense supervisió del departament de TI.
També és essencial assegurar-se que el navegador està actualitzat a la versió més recent. Els principals proveïdors han anat incorporant pegats i millores específiques per bloquejar cadenes d'atac com la utilitzada per DarkSpectre, per la qual cosa continuar utilitzant versions desfasades incrementa innecessàriament el risc.
En cas d'haver instal·lat alguna extensió sospitosa en els darrers anys, és prudent procedir a un canvi preventiu de contrasenyes, començant per comptes de correu, bancs, xarxes socials i serveis crítics. Sempre que sigui possible, es recomana activar la autenticació de dos factors (2FA), que afegeix una capa extra de protecció fins i tot si les credencials shan vist compromeses.
Finalment, tant a nivell domèstic com a professional, convé reforçar les polítiques de formació i conscienciació en seguretat digital. Entendre que no totes les extensions amb bones valoracions són fiables, revisar amb calma els permisos sol·licitats i limitar al màxim la instal·lació d'eines prescindibles pot marcar la diferència entre mantenir el control de les dades o exposar-les a operacions com la de DarkSpectre.
Tot allò descobert al voltant d'aquest ciberatac prolongat deixa clar que, encara que les botigues oficials de Chrome, Edge i altres navegadors segueixen sent el canal més raonable per instal·lar extensions, la confiança no pot ser cega ni automàtica. La combinació de campanyes com ShadyPanda, GhostPoster i Zoom Stealer demostra fins a quin punt un complement aparentment innocent es pot transformar en un vector d'espionatge, frau i filtració massiva d'informació, afectant tant usuaris particulars com empreses i institucions a tot Europa.