Dans le monde complexe de la cybersécurité, un groupe se distingue par sa capacité à attendre patiemment pour frapper, une qualité mise en avant dans le dernier rapport des experts de Koi Security. ShadyPanda, ce collectif de cybercriminels, a orchestré des campagnes sournoises en exploitant des extensions de navigateur, et leur modus operandi s’avère aussi ingénieux qu’inquiétant. Plongeons dans leurs opérations pour comprendre comment ces extensions, d’apparence inoffensive, se sont révélées être des outils de surveillance redoutables.
Les 3 infos à ne pas manquer
- ShadyPanda utilise des extensions de navigateur fonctionnelles pour infiltrer les systèmes des utilisateurs.
- Le groupe a réussi à obtenir des milliers d’installations avant de déployer un code malveillant.
- Des extensions comme Clean Master ont été retirées, mais les machines compromises restent en danger.
Extension de navigateur : un cheval de Troie moderne
ShadyPanda a mis en place un stratagème qui lui permet de gagner la confiance des utilisateurs et des plateformes de marché numérique. En concevant des extensions de navigateur qui remplissent parfaitement leur fonction, le groupe a réussi à accumuler des avis positifs et des installations massives. Ces extensions ont même été labellisées « à la une » et « vérifiées » sur les marketplaces de Chrome et d’Edge, comme en témoigne le succès de Clean Master, avec plus de 200 000 installations.
Ce n’est que plus tard que le piège s’est refermé : en 2024, ShadyPanda a injecté un logiciel malveillant via une mise à jour, exploitant le mécanisme de mise à jour automatique des navigateurs. Cette intrusion subtile a permis au groupe d’exercer une surveillance complète des activités des utilisateurs, transformant un outil anodin en une porte dérobée redoutable.
Une menace évolutive et persistante
Les chercheurs de Koi Security mettent en garde contre la nature adaptable de la menace que représente ShadyPanda. Le code malveillant intégré dans les extensions n’est pas limité à une fonction fixe. Il offre au groupe criminel la possibilité de modifier ses objectifs en fonction des besoins, allant de la surveillance à l’espionnage industriel, voire au déploiement de ransomwares.
Bien que les extensions identifiées aient été retirées des plateformes Chrome et Edge, les machines déjà infectées restent vulnérables. Cette persistance de la menace souligne l’importance de rester vigilant et de mettre à jour régulièrement les systèmes pour éviter d’autres compromissions.
Les nouvelles cibles de ShadyPanda
Après le succès de la campagne de Clean Master, ShadyPanda ne s’est pas arrêté là. En 2023, le groupe a lancé d’autres extensions, toujours disponibles sur Edge au moment de la publication du rapport de Koi Security. Parmi elles, WeTab, présentée comme un outil de productivité, a réussi à atteindre environ trois millions de téléchargements.
Cependant, derrière cette façade innocente, WeTab servait en réalité à collecter de nombreuses données des utilisateurs, telles que les URLs visitées, les requêtes de recherche et les clics de souris. Ces informations étaient ensuite envoyées en temps réel vers des serveurs situés en Chine, illustrant la portée internationale et sophistiquée des opérations de ShadyPanda.
ShadyPanda : un acteur redouté dans le monde de la cybersécurité
ShadyPanda est devenu un nom redouté dans le domaine de la cybersécurité. Évoluant dans l’ombre, ce groupe de cybercriminels parvient à infiltrer les systèmes en contournant les méthodes classiques de phishing et d’ingénierie sociale. En utilisant des extensions de navigateur comme vecteurs de leurs attaques, ils réussissent à atteindre un grand nombre d’utilisateurs avant de déclencher leurs opérations malveillantes.
La capacité de ShadyPanda à s’adapter et à étendre ses activités à l’international en fait un acteur particulièrement préoccupant pour les experts en cybersécurité. Le rapport de Koi Security met en lumière la nécessité de rester sur ses gardes face à des menaces de plus en plus sophistiquées et de renforcer les mesures de protection pour les utilisateurs et les entreprises.
