Durante siete años, un grupo de cibercriminales conocidos como ShadyPanda convirtió extensiones de navegadores aparentemente inofensivas en auténticas herramientas de espionaje, alcanzando más de 4,3 millones de instalaciones en Chrome y Microsoft Edge. La compaña, descubierta por Koi Security, representa uno de los casos más prolongados y sofisticados de abuso de confianza en los ecosistemas de extensiones.
Cinco de estas extensiones comenzaron siendo legítimas, hasta que en 2024 se transformaron en puertas traseras que recopilaban datos de navegación, huellas digitales y cookies. Algunos incluso estaban verificadas por Google, lo que amplificó su alcance antes de que se descubrieran sus verdaderas intenciones.
Extensiones comprometidas con acceso total al navegador
Estas extensiones ejecutaban código remoto cada hora, descargando y ejecutando JavaScript arbitrario con acceso completo al navegador. Según el investigador de seguridad Tuval Admoni, su comportamiento era claro:
Monitorean cada visita a un sitio web, extraen el historial de navegación cifrado y recopilan huellas digitales completas del navegador.
Este mecanismo convertía funciones cotidianas -como limpiar caché o gestionar pestañas- en operaciones de espionaje encubiertas. Entre las afectadas se encontraba Clean Master, que alguna vez fue promocionada como una extensión segura y recomendada en Chrome Web Store.
El fraude de afiliación y la transición al espionaje
Los primeros indicios de actividad maliciosa se remontan a 2023, cuando desarrolladores bajo los alias “nuggetsno15” y “rocket Zhang” publicaron cientos de extensiones que parecían utilidades de productividad o temas de fondo. En realidad, ejecutaban fraudes de afiliación, inyectando códigos de seguimiento en plataformas como Amazon, eBay o Booking para generar comisiones ilícitas.
Con el tiempo, la campaña escaló a algo más grave: redirecciones de búsqueda a través de dominios como trovi punto com, manipulación de resultados y exfiltración de cookies. Esto permitió a los atacantes controlar las consultas, historial y comportamiento de usuario, monetizando cada clic.
Un ataque silencioso mediante actualizaciones legítimas
A mediados de 2024, ShadyPanda introdujo una actualización oculta en cinco extensiones legítimas. El código se conectaba cada hora al dominio “api.extensionplay[.]com” para obtener y ejecutar cargas útiles desde servidores remotos. Esa carga útil, alojada en “api.cleanmasters[.]store”, cifraba los datos antes de enviarlos a los operadores.
Los investigadores detectaron que, si el usuario abría las herramientas de desarrollo del navegador, la extensión simulaba comportarse de forma inocente, ocultando así si su verdadero propósito. Esta táctica permitió que las actualizaciones maliciosas se distribuyeran a través de los sistemas oficiales de Google Chrome y Edge, sin alertar a nadie.
El mecanismo de actualización automática, diseñado para proteger a los usuarios, se convirtió en el vector de ataque, explicó Koi Security. Nada de phishing. Nada de ingeniería social. Solo actualizaciones confiables que transformaban herramientas de productividad en plataformas de vigilancia.
Otro conjunto de extensiones, entre ellas WeTab, alcanzó más de tres millones de instalaciones en Microsoft Edge. Estas versiones permitían recopilar todas las URLs visitadas, consultas de búsqueda, clics del ratón y datos de interacción, enviándolos a servidores en China. Aún más preocupante, WeTab seguía disponible al momento del informe, lo que deja abierta la posibilidad de más víctimas.
El ataque evolucionó en cuatro fases, pasando de simples fraudes a un sistema de vigilancia masiva a través de complementos legítimos. Aunque no se sabe si las descargas fueron infladas artificialmente, el caso demuestra una falla estructural: los mercados de extensiones solo revisan el código en el momento de la aprobación, pero no supervisan sus actualizaciones posteriores.
Los expertos recomiendan eliminar de inmediato las extensiones afectadas y cambiar las contraseñas. Entre las identificadas se encuentran: Clean Master, Speedtest Pro, BlockSite, WeTab, Infinity V+, SafeSwift, OneTab Plus, y otras variantes de “New Tab” con fondos personalizados.