La operación ShadyPanda, analizada en profundidad por especialistas de Koi Security, revela hasta qué punto las extensiones de navegador pueden convertirse en una infraestructura de ciberespionaje a gran escala. A lo largo de varios años, los atacantes desplegaron una red de 145 extensiones maliciosas para Google Chrome y Microsoft Edge, que acumularon más de 4,3 millones de instalaciones desde 2018 y continúan activas en ciertos segmentos.
Operación ShadyPanda: escala y arquitectura de la campaña
Según Koi Security, la campaña ShadyPanda se compone de 20 extensiones para Chrome y 125 para Edge. La arquitectura del ataque se basa en una evolución por etapas: las extensiones comienzan con funcionalidades aparentemente benignas y gradualmente incorporan capacidades intrusivas, pasando de fraude de afiliación a ciberespionaje con ejecución remota de código en el navegador.
Las primeras extensiones fueron publicadas en las tiendas oficiales en 2018. Durante años se comportaron como complementos útiles y sin señales claras de malware, lo que les permitió acumular reputación, reseñas positivas y una base amplia de usuarios. A partir de 2023 se empezó a detectar actividad abiertamente maliciosa, activada mediante actualizaciones silenciosas, una táctica habitual en campañas de este tipo.
Evolución de las extensiones maliciosas ShadyPanda
Fase 1: fraude de afiliación disfrazado de utilidades inofensivas
En la fase inicial, los atacantes distribuyeron extensiones presentadas como herramientas para cambiar fondos de pantalla, mejorar la interfaz o aumentar la productividad. Su objetivo principal era el fraude de afiliados: el complemento modificaba silenciosamente los enlaces que el usuario visitaba, inyectando identificadores de programas de afiliación de servicios como eBay, Booking o Amazon.
De este modo, los operadores de ShadyPanda obtenían comisiones por compras realizadas por las víctimas, sin necesidad de mostrar código abiertamente malicioso. Esta fase servía para monetizar la campaña y, al mismo tiempo, consolidar la presencia de las extensiones en los navegadores.
Fase 2: secuestro de búsquedas y robo de cookies
A comienzos de 2024, varias extensiones evolucionaron hacia técnicas más agresivas. Un ejemplo destacado es Infinity V+, que empezó a interceptar las búsquedas del usuario y redirigirlas a dominios controlados por los atacantes, entre ellos variantes de trovi[.]com y subdominios de gotocdn. Este secuestro del motor de búsqueda permite insertar publicidad, manipular resultados e incluso dirigir al usuario a páginas de phishing.
Paralelamente, estas extensiones comenzaron a robar cookies, lo que abre la puerta al secuestrado de sesiones: un atacante puede reutilizar estas cookies para acceder a cuentas en servicios web sin conocer la contraseña, comprometiendo correo electrónico, redes sociales, paneles administrativos y aplicaciones corporativas.
Fase 3: backdoor con ejecución remota de código en el navegador
La tercera fase representa el salto al ciberespionaje avanzado. Al menos cinco extensiones, publicadas entre 2018 y 2019 y con buenas valoraciones acumuladas, recibieron una actualización que incluía un backdoor. Este módulo permitía a los atacantes ejecutar JavaScript arbitrario con acceso completo a las APIs del navegador.
El caso más significativo es la extensión Clean Master, con unas 200 000 instalaciones. En total, las extensiones con este tipo de puerta trasera alcanzaron aproximadamente 300 000 usuarios. Los navegadores comprometidos establecían conexión cada hora con un servidor de mando y control (C2) para recibir nuevas órdenes, convirtiéndose de facto en clientes dentro de una infraestructura de espionaje gestionada remotamente.
Fase 4: recolección masiva de datos en extensiones para Edge
La fase más reciente afecta sobre todo a Microsoft Edge. Cinco extensiones publicadas en 2023 por la empresa Starlab Technology superaron conjuntamente los 4 millones de instalaciones. Estas extensiones se centran en el perfilado silencioso del usuario y la exfiltración de información sensible, manteniendo un comportamiento aparentemente legítimo en la interfaz.
Qué datos roban las extensiones espía del navegador
La telemetría recolectada por ShadyPanda se envía, según Koi Security, a 17 dominios alojados en China. El conjunto de información exfiltrada incluye, entre otros:
- Historial de navegación y términos de búsqueda introducidos por el usuario;
- Detalles de las páginas visitadas y pestañas activas en tiempo real;
- Información técnica del navegador y del dispositivo (versión, idioma, sistema operativo, resolución de pantalla);
- Identificadores y metadatos que permiten rastrear y correlacionar la actividad de un mismo usuario;
- Cookies y datos de sesión accesibles para la extensión.
La estructura del código indica que estas extensiones podrían recibir en cualquier momento, mediante una simple actualización, un backdoor más agresivo, similar al observado en Clean Master. Aunque hasta ahora no se ha documentado este escenario en la última fase, la arquitectura deja la puerta abierta a una rápida escalada de privilegios.
Respuesta de Google y Microsoft y riesgos para usuarios y organizaciones
Tras la publicación del informe, Google eliminó las extensiones maliciosas identificadas del Chrome Web Store. Sin embargo, en el catálogo de Microsoft Edge Add-ons seguían disponibles al menos dos complementos sospechosos en el momento del análisis: WeTab (en torno a 3 millones de usuarios) e Infinity New Tab (Pro) (unas 650 000 instalaciones).
Los riesgos van mucho más allá de la publicidad intrusiva. Un backdoor con capacidad de ejecutar JavaScript arbitrario desde una extensión equivale a conceder al atacante acceso al contenido de todas las páginas abiertas, incluidos formularios, credenciales, tokens de autenticación, paneles internos de empresas y aplicaciones SaaS críticas. Desde la perspectiva de la seguridad, se asemeja a instalar un spyware persistente directamente en el navegador.
Para usuarios individuales, los expertos recomiendan eliminar de inmediato cualquier extensión sospechosa y cambiar las contraseñas de cuentas críticas (correo, redes sociales, servicios de copia de seguridad e internet banking). Es igualmente importante revisar y reforzar la autenticación multifactor, validando dispositivos de confianza y cerrando sesiones activas desconocidas.
Para las organizaciones, el caso ShadyPanda demuestra la necesidad de tratar las extensiones de navegador como software de riesgo. Es recomendable implementar políticas de control de extensiones (por ejemplo, mediante directivas de grupo o soluciones MDM), restringir la instalación a una lista aprobada, monitorizar cambios de configuración del navegador y formar al personal sobre los riesgos de instalar complementos “de productividad” sin una revisión previa.
La operación ShadyPanda ilustra que reducir la superficie de ataque empieza por algo tan simple como limitar el número de extensiones instaladas. Revisar periódicamente los complementos, desinstalar los que no se usan, priorizar desarrolladores reconocidos y estar atento a cambios inesperados en el comportamiento del navegador son medidas básicas que pueden evitar convertirse en la próxima víctima de una campaña similar. Mantener una higiene digital estricta y seguir formándose en ciberseguridad es hoy una inversión imprescindible para usuarios y empresas por igual.
